• STATISTIQUES
  • Il y a eu un total de 2 membres et 14696 visiteurs sur le site dans les dernières 24h pour un total de 14 698 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Hack This Site
    Hack This Site est considéré comme un réel terrain d'entraînement légal pour le...
    Hacking
    [FR] Le top web
    Nous offrons une sélection la plus large possible de resources webmaster gratuites, hébergement gratuit...
    Webmaster
    [FR] Microcontest
    Cryptographie: 7, Mathématiques: 8, Image Son Vidéo: 5, Intelligence artificielle: 3, Réseau: 2, Divers: 7, Phy...
    Challenges
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] dcode
    dcode.fr est le site indispensable pour décoder des messages, tricher aux jeux de lettres, résoudre des énigmes...
    Outils / Add-on
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking
    [EN] wechall
    Pour les gens n'étant pas familiers avec les sites de challenges, un site de challenges est un site propos...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[C-HELP] Malware Process Detecting
06-11-2013, 22h59
Message : #1
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
[C-HELP] Malware Process Detecting
Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile
+1 (0) -1 (0) Répondre
06-11-2013, 23h16
Message : #2
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 204
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 22h59)sakiir a écrit : Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile

Je n'ai pas grande connaissance en malware sakiir, mais moi j'aurai tendance a rechercher via google le nom du process qui me parait suspect...

Ensuite certainement en analysant les "faits" du process en question. C'est a dire regarder ce qu'il fait, quand et de qu'elle façons...

Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

Junky
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (1) -1 (0) Répondre
06-11-2013, 23h25 (Modification du message : 06-11-2013, 23h26 par Kiwazaru.)
Message : #3
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: [C-HELP] Malware Process Detecting
http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
06-11-2013, 23h50
Message : #4
Loup Hors ligne
Membre actif
*



Messages : 85
Sujets : 8
Points: 8
Inscription : Sep 2013
RE: [C-HELP] Malware Process Detecting
Check les vidéos et articles de Xylitol tu trouveras sûrement ce que tu veux, enfin si c'est bien ce que tu veux car comme on l'a dit au-dessus:

Citation : Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile
+1 (0) -1 (0) Répondre
07-11-2013, 09h46
Message : #5
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 23h25)ReVeRse a écrit : http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

Oui j'ai bien compris ce systeme !
Le truc c'est que supersnail m'a parlé de "check dans les zones memoire" je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^
+1 (0) -1 (0) Répondre
07-11-2013, 10h19
Message : #6
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: [C-HELP] Malware Process Detecting
Salut,

T'as des API pour lire/écrire/lister les pages mémoires dans un autre processus win32 (ReadProcessMemory pour lire une zone mémoire et VirtualQueryEx pour récupérer des infos sur les pages mémoires présentes dans le process).

Sinon si tu peux récupérer le chemin vers l'exécutable du processus suspect (via Process Explorer par exemple), t'as plusieurs solutions:
- Tu le scannes avec un ou plusieurs antivirus (pas fiable si le binaire est un malware packé avec un packer pas encore connu des AV, si c'est un nouveau malware tout juste sorti ou encore un faux positif)
- Tu le fous dans une sandbox qui va te dire en gros quelles opération le binaire fait niveau accès fichier/registres/réseau ce qui est un poil plus informatif qu'une bête analyse par un antivirus.
- Tu sors IDA ou OllyDBG et tu analyses toi-même le programme pour déterminer s'il est dangereux ou non (c'est de loin la méthode la plus "difficile", mais d'un autre côté c'est celle qui est la plus enrichissante et qui te fera sûrement progresser).

Bref je t'invite à creuser ces pistes, à réfléchir un peu par toi-même, bref à te débrouiller un peu tout seul Wink(c'est comme ça qu'on apprend en fait, ça vient pas tout cuit dans le bec)

PS: c'est mon 1337ème message \o/
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (3) -1 (0) Répondre
07-11-2013, 11h57
Message : #7
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 204
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 09h46)sakiir a écrit : je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

Déjà si je ne dis pas de bêtises, il faut que le programme te "laisse faire" Cad que le Malware te laisse lire ses adresses mémoires partagés. (Je me trompe peu être si un barbu est dans le coin pour confirmer ou pas .. Smile )

Ensuite regarde du coté de <sys/shm.h> en C... Smile

Tu peu faire des truc vraiment sympa. J'ai déjà codé un tool pour lire dans des adresses mémoires plus ou moins spécifique.

Junky.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
07-11-2013, 12h05
Message : #8
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: [C-HELP] Malware Process Detecting
@Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-11-2013, 12h30
Message : #9
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 204
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 12h05)supersnail a écrit : @Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

Merci supersnail pour cette précision. Smile

Junky.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
09-11-2013, 10h32
Message : #10
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C-HELP] Malware Process Detecting
Merci Beaucoup !
j'avance grace à vous ! Thanks
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Process windows skii 6 1,812 26-10-2016, 18h43
Dernier message: skii
  IPKiller Malware Reversing sakiir 4 1,364 23-11-2013, 16h55
Dernier message: sakiir
  [C] [Win32] Injection de DLL dans un process avant son initialisation supersnail 4 1,718 26-03-2013, 23h27
Dernier message: fr0g

Atteindre :


Utilisateur(s) parcourant ce sujet : 7 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut