Affichage hiérarchique

sakiir · 23-10-2013, 17h29

Thanx !!!

Kiwazaru · 23-10-2013, 17h31

(23-10-2013, 17h22)sakiir a écrit : Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?

Les joies du malware reversing :')

thxer · 23-10-2013, 17h44

Je répète ce qui c'est dit sur irc pour éclaircir.

Ici la signature ce n'est pas un 'Header' spécifique comme pour un JPEG.
(c'était un exemple)

En fait la signature que cherche le programme.c est propre à iStealer.

Exemple de gruik : la "fonction" qui va décrypter le reste de iStealer.

http://fr.wikipedia.org/wiki/Logiciel_antivirus //cf signature

sakiir · 23-10-2013, 18h05

Oui ca j'ai bien compris mais j'aimerai une reponse à la question "Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?"

thxer · (Modification du message : 23-10-2013, 18h07 par thxer.)

Il a du chercher un point commun à plusieurs Istealer.exe et trouver ça.
Trouvez ça signature.

Loup · (Modification du message : 23-10-2013, 18h19 par Loup.)

Tu ne sembles juste ne pas comprendre se qu'est une signature:
L'exemple de l'antivirus fournis par thxer, enregistre cette série de bits dans un fichier texte et enregistre-le: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Normalement, ton antivirus va gueuler & éradiquer/bloquer l'accès au fichier..
C'est se qu'on appelle le fonctionnement de détection par "signature", l'av va parcourir le fichier dans l'ensemble de ses bits juste à trouver cette signature

Citation :X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

qui est propre à ce virus, il va donc le supprimer...

En gros, si tu n'as pas encore compris (oulàlàlà) une signature est un ensemble de bits unique pour chaque logiciel, ça aurait très bien pu être une autre série de bits unique, mais c'est cette série qui a été choisie!

cdt, Loup

sakiir · 23-10-2013, 18h27

Si je sais ce qu'est une signature hein !! Smile

j'ai juste pas compris comment il a trouver la signature !

supersnail · (Modification du message : 23-10-2013, 18h40 par supersnail.)

Ben tu prends juste une séquance d'octets "au pif" dans le binaire suffisament longue (en général) de manière à ce qu'il soit peu probable que cette séquence appartienne à un autre binaire n'ayant "rien à voir" avec le malware.

Bon ici en l'occurence j'ai juste fait une vérif à l'arrache en récupérant les octets à cette adresse (j'sais plus trop à quoi elle correspond l'adresse d'ailleurs, ça date ce truc) pour éviter que l'extracteur chie n'importe quoi quand on le lance sur un binaire qui n'a rien à voir avec du istealer Wink

Edit: ah si jviens de me rappeler, le truc que je compare était un bout appartenant à une chaîne xorée qu'on retrouvait dans tous les samples d'istealer sur lesquels j'étais tombé :'')

23-10-2013, 19h05

Tu peux aller faire un tour ici: https://github.com/0pc0deFR/YaraRules tu trouveras plusieurs signatures de malwares. Pour pondre une signature, il suffit d'analyser plusieurs binaires du même malware et de chercher une/des chaine(s) de caractères qui ce retrouve dans tous les binaires et qui sont potentiellement propre à ce malware.

sakiir · 24-10-2013, 13h33

C'est sympa j'ai effectivement compris maintenant !
e merci 0pc0deFR ! Wink

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[MASM] Extracteur de dll pour Backdoor.Win32.Papras	Horgh	10	492	25-04-2013, 13h41 Dernier message: Kiwazaru

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler