Affichage hiérarchique

sakiir · 06-11-2013, 22h59

Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile

Junky · 06-11-2013, 23h16

(06-11-2013, 22h59)sakiir a écrit : Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée

Je n'ai pas grande connaissance en malware sakiir, mais moi j'aurai tendance a rechercher via google le nom du process qui me parait suspect...

Ensuite certainement en analysant les "faits" du process en question. C'est a dire regarder ce qu'il fait, quand et de qu'elle façons...

Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

Junky

Kiwazaru · (Modification du message : 06-11-2013, 23h26 par Kiwazaru.)

http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

Loup · 06-11-2013, 23h50

Check les vidéos et articles de Xylitol tu trouveras sûrement ce que tu veux, enfin si c'est bien ce que tu veux car comme on l'a dit au-dessus:

Citation : Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

sakiir · 07-11-2013, 09h46

(06-11-2013, 23h25)ReVeRse a écrit : http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

Oui j'ai bien compris ce systeme !
Le truc c'est que supersnail m'a parlé de "check dans les zones memoire" je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

***supersnail*** · 07-11-2013, 10h19

Salut,

T'as des API pour lire/écrire/lister les pages mémoires dans un autre processus win32 (ReadProcessMemory pour lire une zone mémoire et VirtualQueryEx pour récupérer des infos sur les pages mémoires présentes dans le process).

Sinon si tu peux récupérer le chemin vers l'exécutable du processus suspect (via Process Explorer par exemple), t'as plusieurs solutions:
- Tu le scannes avec un ou plusieurs antivirus (pas fiable si le binaire est un malware packé avec un packer pas encore connu des AV, si c'est un nouveau malware tout juste sorti ou encore un faux positif)
- Tu le fous dans une sandbox qui va te dire en gros quelles opération le binaire fait niveau accès fichier/registres/réseau ce qui est un poil plus informatif qu'une bête analyse par un antivirus.
- Tu sors IDA ou OllyDBG et tu analyses toi-même le programme pour déterminer s'il est dangereux ou non (c'est de loin la méthode la plus "difficile", mais d'un autre côté c'est celle qui est la plus enrichissante et qui te fera sûrement progresser).

Bref je t'invite à creuser ces pistes, à réfléchir un peu par toi-même, bref à te débrouiller un peu tout seul Wink

(c'est comme ça qu'on apprend en fait, ça vient pas tout cuit dans le bec)

PS: c'est mon 1337ème message \o/

Junky · 07-11-2013, 11h57

(07-11-2013, 09h46)sakiir a écrit : je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

Déjà si je ne dis pas de bêtises, il faut que le programme te "laisse faire" Cad que le Malware te laisse lire ses adresses mémoires partagés. (Je me trompe peu être si un barbu est dans le coin pour confirmer ou pas .. Smile

)

Ensuite regarde du coté de <sys/shm.h> en C... Smile

Tu peu faire des truc vraiment sympa. J'ai déjà codé un tool pour lire dans des adresses mémoires plus ou moins spécifique.

Junky.

***supersnail*** · 07-11-2013, 12h05

@Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

Junky · 07-11-2013, 12h30

(07-11-2013, 12h05)supersnail a écrit : @Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

Merci supersnail pour cette précision. Smile

Junky.

sakiir · 09-11-2013, 10h32

Merci Beaucoup !
j'avance grace à vous ! Thanks

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Process windows	skii	6	1,812	26-10-2016, 18h43 Dernier message: skii
	IPKiller Malware Reversing	sakiir	4	1,360	23-11-2013, 16h55 Dernier message: sakiir
	[C] [Win32] Injection de DLL dans un process avant son initialisation	supersnail	4	1,718	26-03-2013, 23h27 Dernier message: fr0g

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler