Aller au contenu


Comment demander à un hips de faire la révérence


  • Vous ne pouvez pas répondre à ce sujet
33 replies to this topic

#31 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 28 mai 2010 - 17:35

CITATION(visualbasic @ 28/05/2010, 15:44:27) <{POST_SNAPBACK}>
CITATION
obfuscated codes
Ouép, y'en a tellement .. et les antivirus font que rajouter leur md5 et pas une detection quelquonque ..y'a aussi le junk code, qui rajoute du faux code, je ne sais pas trop expliquer, je ne sais pas m'en servir !
Mais ca reste indectable par l'antivirus ! sourire.png
L'obfuscation est une technique pour transformer du code source et, après compilation, du code exécutable, de manière à le rendre illisible/incompréhensible par les nerds et autres informaticiens qui se pencheraient dessus. Elle permet, entre autres, de déjouer les tentatives de rétro-ingénierie qui permettraient une analyse comportementale d'un logiciel en général et d'un maliciel en particulier.
L'ajout de "junk code" (code "indésirable", inutile) dans les sources d'un logiciel est une des approches de l'obfuscation.

Les antivirus peuvent détecter un maliciel lorsqu'il est connu (nom, taille, md5 ...) sans avoir besoin d'analyse comportementale. Celle-ci devient intéressante pour les saletés jusqu'alors inconnues (nouveaux maliciels ou évolution d'anciens). Lorsque cette "heuristique" est confrontée à une obfuscation bien faite, elle a une fâcheuse tendance à merder.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#32 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 28 mai 2010 - 19:17

Il ne font pas que " merder ", faut pas confondre entre packaged, comme thermida et les crypters, qui sont des hacks.
packaged = crypter pour empecher les hex editeurs, les debugeurs, etc qui pourrait etre atteinte a une violation intelectuelle
Encryption = Cache le code pour pas que les antivirus le detect, faut pas oublier que aucun antivirus peut detecter ca ..
Appars avira qui detecte bien le runpe, et malwarebytes le RC4, les autres sont dans le vent.

Malheureusement, les crypters y'en a plus de 600 qui sors par jour en publique version Codé differement, voir plusieur algorithms différent, qui veux dire, qui peut faire des hash différent sur le md5, voir plus sa dépends le code, et que le md5 est différent a chaque fois, et ce, l'antivirus ne peut que le detecté par md5 ou sha1, Certes
Les antivirus font des faux positives, mais il ajouterait une detection sur les crypters, quitte a faire des faux positifs ca arrangerait tout. De plus un trojan downloader,
il encrypte l'url, le fichier est clean, ce fichier ce fait changer toute les .. 20minutes, ou telecharges different lien, ca fait 20 trojans, 20 encryptions différent, les malwares seront toujours gagnant, vue que les downloader, ne peuvent pas etre rajouter dans la base de donnée, ca perturberais la moitié des updaters.
et ceci fait 600 trojan, les memes trojan, encrypté différement, le crypters crypte un autre trojan, il est possible que l'antivirus ne le detect pas, mais le detecte sur un autre trojan, c'est un endroit viscieux clindoeil.gif

Ce message a été modifié par visualbasic - 28 mai 2010 - 19:26 .


#33 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 29 mai 2010 - 08:57

CITATION(visualbasic @ 28/05/2010, 20:17:47) <{POST_SNAPBACK}>
... faut pas confondre ...
Je ne sais pas si j'ai confondu quoi que ce soit, mais tes explications m'ont parues quelque peu « embrouillées ». Pour le cas ou je ne serais pas le seul à éprouver des difficultés de lecture, et pour l'usage des malheureux qui me ressembleraient, voici quelques explications ... Il faudra que je mette à jour le « lexique du windows furtif ».
  • Themida (et pas « thermida ») ... Système de protection des logiciels de Oreans Technologies pour Windows, disponible pour les développeurs de logiciels qui souhaitent protéger leurs applications contre l'ingénierie inverse et les logiciels avancés de « craquage ». NOD32, entre autres, l'utilise . Mais qu'est-ce qui empêcherait un maliciel de s'en servir également ? ... Voir aussi Code Virtualizer pour l'obfuscation.
  • Cryptor (crypteur) ... Outil qui peut être utilisé, légitimement ou non, pour protéger contre l'ingénierie inverse, ou autre type d'analyse. Ces outils utilisent le cryptage afin de masquer le contenu d'un logiciel (maliciel compris) que ce soit afin d'éviter la détection ou d' entraver l'analyse. C'est une des approches de l'« obfuscation ».
  • Encryption (chiffrement, cryptage, encryptage) ... Le chiffrement est la méthode de transformation des données « lisibles » en des données « illisibles » (incompréhensibles) pour les rendre secrètes. Une fois cryptées, ces données ne peuvent être interprétées par des humains ou des machines jusqu'à ce qu'elles soit déchiffrées. Le chiffrement est effectué en utilisant un algorithme de chiffrement et une valeur secrète appelée «clé». Les données chiffrées ne peuvent généralement pas être décryptées sans la connaissance des clés secrètes ou sans des moyens importants et beaucoup de temps. Les logiciels malveillants peuvent utiliser le chiffrement afin de masquer leur code (rendre le son code « illisible »), en spérant ainsi empêcher sa détection par des méthodes d'analyse du comportement. Une technique de cryptage commune et simple utilisé par les logiciels malveillants est la « disjonction », XORing, dans laquelle l'opération Exclusive Or (XOR) est appliquée à chaque bit selon une clé donnée.
  • Packer (emballeur) ... Programme qui permet à son utilisateur d'emballer ou enrober un fichier par l'utilisation conjointe de deux techniques, la compression et le cryptage. Il peut être utilisé ...
    • Par les maliciels comme par les logiciels légitimes pour rendre inefficace les techniques de désassemblage (reconstitution du code source à partir du code exécutable) et/ou empêcher toute modification (patch). Dès 2006-2007 les ARKs comme Icesword et DarkSpy étaient « packed ».
    • Par les auteurs de maliciels pour masquer la structure d'un fichier et ainsi éviter la détection. Il faut noter que l'emballage d'un même fichier à l'aide de plusieurs « packers » différents donne bien entendu des résultats distints. Les maliciels ainsi traités sont particulièrement furtifs.
    • Par les auteurs de maliciels pour empaqueter les données d'une victime et le faire chanter avant de lui fournir un outil de décompression et de décryptage.
    • Exemple bien connu et simple : Packer Javascript en PHP et -> ici <- le site de son auteur d'origine
@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#34 visualbasic

visualbasic

    Deimosien

  • Eminence Verte
  • PipPipPipPipPipPip
  • 349 Messages :
  • Gender:Male

Posté 29 mai 2010 - 09:03

oui, mais c'etais justement ce que je voulais expliquer, Et l'encryption est a ce jour, restes indectable par les antivirus, themida ne peut pas être utilisée par des malwares, il est fortement detectée par l'antivirus, et ce na protege pas contre le hex editeur, enfin si, mais dés que l'application est crackée, celui-ci peut prendre son mail et son password.(Ce que fait malwarebytes sur les stealers.) L'encryption non.

Ce message a été modifié par visualbasic - 29 mai 2010 - 09:05 .




1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)