Aller au contenu


Comment demander à un hips de faire la révérence


  • Vous ne pouvez pas répondre à ce sujet
33 replies to this topic

#1 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 12 mai 2010 - 19:47

Salut,

J'ai pu tester dernièrement un moyen débile pour contourner un hips par rapport à une idée que j'avais, et comme ça marche, je pense que certains seront intéressés par ce topic : http://forums.comodo...y-t56353.0.html

Ce message a été modifié par Shaoran - 12 mai 2010 - 19:48 .


#2 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 13 mai 2010 - 08:25

Bravo Shaoran, ça doit être un peu la panique à bord chez Comodo, du coup: j'espère qu'une solution sera vite trouvée. ^^

Sinon, honte à moi, ça faisait des lustres que je n'étais pas allé farfouiller dans la config de comodo, j'ai réussi à zapper l'apparition d'une Sandbox: est-ce bien, comme je le présume, une coopération avec SandBoxIE ?

P.S: mais quelle bande de connards sur Wikipedia France, quand j'y pense ...

#3 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 13 mai 2010 - 08:28

CITATION(noisette @ 13/05/2010, 09:25:38) <{POST_SNAPBACK}>
Bravo Shaoran, ça doit être un peu la panique à bord chez Comodo, du coup: j'espère qu'une solution sera vite trouvée. ^^

Sinon, honte à moi, ça faisait des lustres que je n'étais pas allé farfouiller dans la config de comodo, j'ai réussi à zapper l'apparition d'une Sandbox: est-ce bien, comme je le présume, une coopération avec SandBoxIE ?

P.S: mais quelle bande de connards sur Wikipedia France, quand j'y pense ...


Online Armor est aussi touché ^^ Et tout hips fonctionnant sur le principe d'application sûre a de fort risque d'être touché.

Ce message a été modifié par Shaoran - 13 mai 2010 - 08:29 .


#4 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 13 mai 2010 - 08:53

Les antivirus sont touchées aussi par les .jar, Il ne peuvent detecter si celui-ci est un malware.
L'avenir ! La virtualization ! biggrin.gif

" returnil, comodo time machine, malware defender "

Ce message a été modifié par visualbasic - 13 mai 2010 - 08:53 .


#5 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 13 mai 2010 - 08:58

ici, il n'est pas question de jar uniquement, il y a vraiment une quantité monstrueuse d'applications qui sont des failles potentiels. Ici j'ai juste utilisé le java pour démontrer ma théorie, mais, une appli comme Firefox, outlook ou n'importe quelle application considérée comme sûre peut faire l'affaire.
Le tout est de faire en sorte que cela soit l'application sûre qui exécute notre code et pas un autre processus, ainsi, ayant tous les droits car étant sûre, on peut tout faire ! La faille est là, c'est pour ça que c'est bête car on utilise le principe de l'hips pour le contourner.

#6 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 13 mai 2010 - 14:12

CITATION(Sharoan)
It's really a very very very very very very stupid method that works on Online armor too just because java is considered as safe application, so we just have to make a malware in java.
Si j'ai bien compris, avec ce procédé, tu peux "tuer" à peu près n'importe quoi (à condition de l'adapter à chaque logiciel).
CITATION(Sharoan)
You can download it and try it (if you use vista (I didn't try on seven) you must run it has admin with the command java -jar kill_cis.jar ). You need to have install Comodo in partition C:\

Comme je ne connais pas assez Java (très loin de là), je vais peut-être poser des questions stupides ...
- Que tues-tu ainsi ? Le processus, les drivers, tout le répertoire d'installation ?
- Comment caches-tu le fait que tu ais tué ?
Note : sur mon PC, Comodo n'est pas dans C:\ ni aucun autre logiciel "sensible".
CITATION(Josho)
So what your saying is CIS can be killed, by an application that is in Comodo's Safelist or Trust Vendor List, if it's some what modified to do malicious actions
Avec ce principe d'usage du mode administrateur et après avoir mis un ARK ou une saleté (voir l'interface homme-machine) en logiciel "sûr", il est facile de tuer beaucoup d'applications.

Ta démonstration est intéressante, mais comment comptes-tu introduire ce script dans un PC sans être repéré ?

CITATION(visualbasic @ 13/05/2010, 09:53:08) <{POST_SNAPBACK}>
Les antivirus sont touchées aussi par les .jar, Il ne peuvent detecter si celui-ci est un malware.
L'avenir ! La virtualization ! biggrin.gif
" returnil, comodo time machine, malware defender "
Pour l'utilisation de "machines virtuelles", je partage tout à fait ton opinion.
Qu'en est-il de Comodo Time Machine ? Pourquoi pas Comodo SandBox ou une bonne vielle version de Sandboxie ?

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#7 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 13 mai 2010 - 14:47

Premièrement, sachez que je demande à ce que CIS soit dans c:\ simplement parce que j'ai la flème de créer un vrai code malveillant.
Sachant que le code ressemble un peu à celui de mon appli Comodo Database Updater qui permet de changer la base virale en un redémarrage et qui lui sais gérer des emplacements diffèrents de CIS.

Là, en fait, ce que je veux dire c'est que dans le premier cas
java - jar kill_cis.jar je demande à java.exe de lire et exécuter le jar kill_cis.jar
dans l'autre cas
kill_cis.jar j'exécute directement l'application

La différence réside au fait qu'au final, c'est toujours java.exe qui fera le boulot, mais l'un est directement lancé par java lui même en tant qu'application sûre, l'autre et lance comme un programme à part qui va demander à java.exe de s'exécuter.

Derrière, le code crée un fichier vide cmdagent et une clé PendingFileRenameOperations qui permettra d'intervertir les fichiers aux redémarrage du pc. Autrement dit, après, le vrai cmdagent du dossier Comodo fera 0 octet.
Je ne kill personne directement, cette clé permet de modifier ce que l'on veut durant le démarrage windows avant le lancement des services par exemple. Autrement dit Comodo est inactif lorsque la modification est faite, et suite au changement, windows va lancer les services et cmdagent, ne contenant aucun code, va planter.

Concernant la méthode pour m'introduire, je n'en chercherai pas, comme toujours. Je veux juste démontrer une vulnérabilité qui est d'ailleurs déjà utilisée pour passer Comodo sur ce post https://forums.comod...s-t56246.0.html
où rst antivirus se lance grâce aux droits de msiexec.exe considérée comme une application sûre.

Suite à ça, on peut tout inventer, il faut juste trouver un moyen de faire en sorte qu'une application sûre fasse le boulot sans créer de nouveau processus ou application. naturellement, cela dépendra aussi de ce que l'on veut faire. Ici je vise l'hips puisque dès qu'il n'est plus présent bien, je n'ai plus de restrictions. Mais ces failles là seront simple à combler.

Comme dit un autre modérateur de Comodo qui résume bien la situation, le soucis c'est qu'en faisant confiance à des applications, on fait aussi confiance à tous les exploits possibles via ces même applications.

Ce message a été modifié par Shaoran - 13 mai 2010 - 14:49 .


#8 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 13 mai 2010 - 16:24

CITATION
Qu'en est-il de Comodo Time Machine ? Pourquoi pas Comodo SandBox ou une bonne vielle version de Sandboxie ?

Je voulais dire par là, une vrai technologies, qui permette de retourner sur une machine sainte, les sandbox réduits justes le " niveau d'administration de l'application ", et sandboxie a trop de failles sur du code assez facile ,

en delphi :
CODE
if Form1.Caption <> 'Form1' then
begin
  ShowMessage('Sandboxie Detected!');
  ExitProcess(1);
end;

ou :
CODE
if pos('[#]',form2.Caption) <> 0 then
begin
  ShowMessage('Sandboxie Detected!');
  ExitProcess(1);
end;

Si le malware ce lance il donnera un message Sandboxie detected!

Ce code n'est pas le mien, mais ce code date que de 3heures.

en vb.net :

CODE
Private Declare Function GetModuleHandle Lib "kernel32" Alias "GetModuleHandleA" (ByVal lpModuleName As String) As Long

Private Function Sandboxie() As Boolean
        Try
               If GetModuleHandle("SbieDll.dll") Then
                Return True
               End If
                 Catch ex As Exception
        End Try
            End Function


Ce message a été modifié par visualbasic - 13 mai 2010 - 16:35 .


#9 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 13 mai 2010 - 16:56

Bonjour Shaoran, content de te lire ici !
kimouss.gif

Là en l'occurence c'est java le probleme tous comme le cmd pour d'autres.

Je vous soumet une petite aventure personnelle, sur la machine maitre jdownloader tourne (avec le java donc), je lance vmware, je test je ne sais quel anti-virus (je me fais vieux ^^), tout d'un coup je vois g-data qui s'affole, je reviens sur le bureau (j'étais en mode pleine écran), et tous les virus que j'avais downloader avait leurs double sur mon bureau.

Donc grosso modo les copier-coller fais sur vmware était détecter par jdownloader..pas cool..

Quand a comodo je jette un oeil sur leur forum de temps en temps pour voir l'évolution des produits, mais pour ma part c'est fini.


#10 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 13 mai 2010 - 17:07

CITATION(vigen @ 13/05/2010, 17:56:43) <{POST_SNAPBACK}>
Quand a comodo je jette un oeil sur leur forum de temps en temps pour voir l'évolution des produits, mais pour ma part c'est fini.

Pareil, Ensuite shaoran est global modo sur comodo, 1heures aprés il l'est plus.. fin bon, je trouve pas ca serieux.
Ensuite y'a un gros ..* qui s'appele Endymion
Y me soule , ces ecris me rendent nerveux.

Ce message a été modifié par visualbasic - 13 mai 2010 - 17:11 .


#11 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 14 mai 2010 - 10:13

En effet, j'ai été modérateur global pendant moins de 12 h, le fait est que Melih s'est aperçu après coup de mon fameux post et de la grosse vulnérabilité des hips que je décrivais. Dans les grandes lignes (je n'ai pas tous les détails vu qu'il ne m'a même pas averti, je me suis aperçu de ça par hasard) Il me reproche le fait que j'aurais du envoyer ça au staff de Comodo (sachant que je n'étais pas encore modo), même staff qui ne répond jamais quand on leur envois un message, c'est tellement beau.

Pour l'instant, j'attends encore une journée une réponse de Melih, où de voir s'il y a au moins quelque chose se passe dans le bon sens, Symbian m'a dit rapidement que certains modos étaient contre la décision de Melih.

Mais certes, là ça dépasse les bornes, j'attend de voir si Melih aura un peu plus de bon sens ou sinon, ba ça fera un utilisateur / traducteur principal / support français en moins.

La suite des feux de l'amour, prochainement.

Ce message a été modifié par Shaoran - 14 mai 2010 - 10:15 .


#12 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 14 mai 2010 - 12:09

En meme temps, et tu sais bien que je ne les défends pas spécialement, Mélih a suivis la logique d'un patron de boite, a savoir la hiérarchie^^
Il est logique d'envoyer un bug au staff, il est moins logique que celui-ci ne répondent pas.

Maintenant gérer un forum international pas si simple je pense, mais n'attends-tu pas trop de Comodo?

Ce n'est pas non plus une super grosse structure, de plus, si toute les réponses ce trouvées sur le forum, il n'y aurait plus l'utilité du live support (de plus en plus présent d'ailleurs).

Déja les tuto, sont fait par des bénévoles, et desfois les réponses farfelues. Concernant net-transport on m'avais répondu qu'il y'avait d'autre downloadeur... euh..certes mais sinon? another solution.

Je pense et ce n'est que mon avis que tu t'es peut etre trop impliquer la dedans, un peu de recul ne ferais pas de mal, mais tu fais ce que tu veux tu es un homme libre ;-)

Apparement la version 64 bits récolte le plus de bugs?

#13 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 14 mai 2010 - 12:20

Je ne pense pas que demander d'améliorer des softs est demander trop.

Aussi, je n'aime pas trop entendre les "tu t'investis trop" c'est pour moi une habitude depuis longtemps, Comodo n'est pas le seul ni le premier loin de là.


Concernant les bugs, il me semble que le pire est sur les versions XP avec des consommations de ressource importantes.

#14 Visiteur_PegHorse_*

Visiteur_PegHorse_*
  • Invités

Posté 14 mai 2010 - 13:02

Pour ma part je suis assez déçu des réactions excessifs de chez Comodo et de certains Modérateurs qui ont démissionné et que j'appréciais, je pense à Experiences qui était un bon gars.
De ce fait je laisse les choses se dérouler chez eux... et c'est tout.

Pour l'instant rien ne peut remplacer Comodo en terme de légèreté même si on pourrait lui faire des reproches, mais si un jour je trouve un concurrent plus efficace et sans bug je passerai vers lui volontier.

Sinon moi j'utilise Comodo en 64 bits du fait de Seven 64, j'ai pas de gros bugs particulier. J'ai exécuté la manip de Shaoran dans Comodo et maintenant le Firewall réagit bien comme avant dans la version 3.
Disons que les éléments qui m'agacent le plus chez Comodo sont 2 choses :

- La Sandbox qui agit toujours quand il ne faut pas genre une Update d'un jeu, d'un logiciel normal mais qui ne passe pas par MSIEXEC.
- Le threatcast qui marche n'importe comment, car le serveur répond rarement, ça fait donc ramer les popups pour au final n'avoir aucun conseil, ne m'estimant pas noob je l'ai désactivé et je réponds moi même...


Voilà donc en attendant je reste neutre quant aux affaires de Comodo et j'adopte la politique du "Wait & See", ben quoi ça fait bien dit en Anglais ça fait cool...

Ce message a été modifié par PegHorse - 14 mai 2010 - 13:03 .


#15 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 14 mai 2010 - 13:37

Je pense aussi qu'ils veulent un peu trop lancés de logiciels, d'ailleurs desfois avec des bonnes idées comme CTM par exemple, mais le développement ne suis pas..A trop vouloir en faire...

Personnellement j'ai rencontrer deux problemes, celui de Punkbuster (résolu depuis), et celui de Net-transport.


Peghorse as-tu prévu de tester CIS 4?

Ce message a été modifié par vigen - 14 mai 2010 - 13:51 .


#16 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 14 mai 2010 - 14:03

Et bien, voila, pour moi, c'est terminé.

#17 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 14 mai 2010 - 14:27

CITATION(Shaoran @ 14/05/2010, 15:03:47) <{POST_SNAPBACK}>
Et bien, voila, pour moi, c'est terminé.



Je viens de lire ça....

Tu as eu une discussion si courte que cela?

Etant pleins de ressources, je ne doute pas que tu rebondisses rapidement yes.gif

#18 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 14 mai 2010 - 14:34

Voila la réponse de Melih à mon pm

Shaoran

I am sorry about what has happened.
thank you

Melih

#19 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 14 mai 2010 - 14:45

difficile de faire plus court en effet....

#20 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 14 mai 2010 - 15:26

lol.
CITATION
Personnelement, je l'ai quitté et je me suis tourné vers returnil, l'antivirus et son heuristique est vraiment pénible, mais bon, j'installerais oa free avec returnil pour le pare-feu, mais pour ma parts un antivirus, j'en installerais plus meme si on me le propose gratuit.
Un fichier que je connais pas ?, j'active la virtualisation, au cas ou, aprés on voit ca avec l'hips de oa, et si il a pas etait suffisant, bah.. je reboot, si le fichier est saint, bah je reboot, et je l'use sans virtualisation , la seul chose qui me manque c'est de restreindre l'accés du navigateur.
ps : ca va plus vite que d'avoir 80 alertes a Chaque jeux par exemple et je comprends ton choix, melih est un peu con, voir beaucoup.
D'ailleur avoir un chef d'entreprise riche, c'est vraiment un calvers, un vrai patron, c'est un homme pauvre.

Voici le message, si vous connaisez une autre sorte de sandbox, hors de sandboxie en gratuit, merci de le faire savoir !

Ce message a été modifié par visualbasic - 14 mai 2010 - 15:26 .


#21 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 15 mai 2010 - 12:00

En repensant à ce sujet, et en cherchant comment le parer, je me rend compte d'une chose. En fait, les hips sont de la poudre aux yeux.
Cela ne sert à rien d'en avoir sauf pour se penser en sécurité alors que ce n'est pas le cas.
Pour qu'un hips soit réelement performant, il faudrait bannir ce système d'application sûre et ne pas s'arrêter à de simple règle comme modifier un fichier, ou écrire en mémoire, etc etc.

En comparaison, les hips actuels, pour ce qui est de Comodo et OA, c'est faire la même chose qu'autoriser une application à accéder à internet, et non à certains ports qui sont les seuls quelle devrait utiliser. Sachant que même si l'on bridait aux seul port qu'elle doit utiliser, on pourrait peut être contourner la protection.

Un hips efficace serait un hips afficherait une alerte pour chaque fichier lu/écrit, chaque accès à une adresse mémoire, bref, le truc qui ferait 10000 pop up / sec le tout sans fonction "se souvenir" et qui serait probablement une usine à gaz monstre. Je ne vois pas d'autre méthode pour parer mon idée.

Il est sûr que dans ce cas, il vaut mieux tenter de chercher une autre solution.

Ce message a été modifié par Shaoran - 15 mai 2010 - 12:28 .


#22 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 15 mai 2010 - 12:33

les antivirus amélioré leur detection sur les cryptages.
Seul antivir et bitdefender peut en detecter, et qui s'y mettent a les detecters, pareil pour sophos qui s'est mis.

L'addsection - (bien pour bypass AVIRA met minimum 10 caractères à ta section sinon bitdefender le detecte)
Réaligne PE (détecté par avira)
Change PE (détecté par avira)
(compression upx peut rentre le fichier crypté détecté par avira )
Aprés pour les encryptions,

DES
SkipJack
CryptApi
BLOWFISH
RC4
HUFFMAN
x0r

Aucun antivirus peut detecter ces encryptions , appars malwarebytes qui detect bien le rc4.
Le restes des antivirus detecte quedal.
Si il s'y mettaient pour avoir une detection sur ces encryptions, les malwares seraient mal parti déjà.

D'ailleurs les hips sont vaincu par les polymorphes.
CITATION
Returnil n'était pas mal (quoique assez chiant parfois) mais je ne sais pas s'il existe encore une version gratuite (à vérifier). Les bons logiciels de virtualisation par isolation deviennent trop facilement "commerciaux"
Il y a ...
-> VirtualBox <- gratuit pour une utilisation personnelle et dont la dernière version fonctionne même sous "Seven".
-> iCORE <- qui, je crois, ne fonctionne que sous XP.
Tout en anglais bien entendu.

@+

Oui returnil est encore gratuit, et son antivirus est plutots bon/mauvais, dans un sens, il utilise la base de données f-prot.
je parlais de sandbox a la sandboxie ou comodo sandbox ou avast sandbox , gratuit.

Ce message a été modifié par visualbasic - 15 mai 2010 - 12:56 .


#23 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 15 mai 2010 - 17:25

CITATION(Shaoran @ 15/05/2010, 13:00:28) <{POST_SNAPBACK}>
En repensant à ce sujet, et en cherchant comment le parer, je me rend compte d'une chose. En fait, les hips sont de la poudre aux yeux.
Cela ne sert à rien d'en avoir sauf pour se penser en sécurité alors que ce n'est pas le cas.
Pour qu'un hips soit réelement performant, il faudrait bannir ce système d'application sûre et ne pas s'arrêter à de simple règle comme modifier un fichier, ou écrire en mémoire, etc etc.

En comparaison, les hips actuels, pour ce qui est de Comodo et OA, c'est faire la même chose qu'autoriser une application à accéder à internet, et non à certains ports qui sont les seuls quelle devrait utiliser. Sachant que même si l'on bridait aux seul port qu'elle doit utiliser, on pourrait peut être contourner la protection.

Un hips efficace serait un hips afficherait une alerte pour chaque fichier lu/écrit, chaque accès à une adresse mémoire, bref, le truc qui ferait 10000 pop up / sec le tout sans fonction "se souvenir" et qui serait probablement une usine à gaz monstre. Je ne vois pas d'autre méthode pour parer mon idée.

Il est sûr que dans ce cas, il vaut mieux tenter de chercher une autre solution.



bonjour à tous!

Shoaran, peu-tu me dire si le hips de chez emisoft, présente les memes failles que les autres? L'ayant un peu testé contrairement à celui de comodo, lorsque tu approuve un exe, il cré une régle, tout en le gardant sous surveillance.


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#24 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 15 mai 2010 - 17:59

ce n'est pas un hips , mais un ids.
je vais reporter mes bouts de code anti-sandboxie a tzuk. sourire.png

Ce message a été modifié par visualbasic - 15 mai 2010 - 18:13 .


#25 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 15 mai 2010 - 23:04

Quelqun pourrait tester un malware contre comodo ? , ca le démonte.

#26 Shaoran

Shaoran

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 207 Messages :
  • Gender:Male

Posté 15 mai 2010 - 23:24

J'ai tenté mamutu sur un XP sous virtualbox, il ne démarre pas, hormis pour consommer tout le processeur et la ram.
Il faudra que je le tente sur un machine non virtuelle.


Quand a Comodo, c'est pas nouveau.

#27 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 16 mai 2010 - 06:33

CITATION(visualbasic @ 15/05/2010, 18:59:57) <{POST_SNAPBACK}>
je vais reporter mes bouts de code anti-sandboxie a tzuk. sourire.png
Je pense que c'est la bonne attitude.
La découverte de toute vulnérabilité doit être annoncée à l'éditeur du logiciel surtout si celui-ci est gratuit ou dispose d'une version gratuite. Encore faudrait-il qu'il soit averti en priorité absolue afin qu'il ait le temps de corriger la faille de sécurité avant que des "black-hat hackers" s'y engouffrent.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#28 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 16 mai 2010 - 11:31

Oui, meme si je doute qu'il pourra faire quelque choses.

#29 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 268 Messages :
  • Gender:Male
  • Location:Suisse

Posté 27 mai 2010 - 21:58

Mince, j'ai réussi à louper un débat aussi passionnant que ça ^^'

étonnant comme vulnérabilité, j'aurais jamais pensé que des trucs aussi bête fonctionnait encore sur Comodo et d'autre grand FW...

Pour le reste...
@visualbasic: qu'entends-tu par "détection sur cryptage" ?
Tu parles là de "obfuscated codes" ou vraiment de fichiers cryptés contenant un virus ?
Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#30 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 28 mai 2010 - 14:44

CITATION
obfuscated codes

Ouép, y'en a tellement .. et les antivirus font que rajouter leur md5 et pas une detection quelquonque ..
y'a aussi le junk code, qui rajoute du faux code, je ne sais pas trop expliquer, je ne sais pas m'en servir !
Mais ca reste indectable par l'antivirus ! sourire.png

Ce message a été modifié par visualbasic - 28 mai 2010 - 14:45 .




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)