-
CréateurSujet
-
avril 10, 2024 à 8:49 pm #39288BotParticipant
Ca fais quelque temps que j’essaie de modifier une signature hexadécimal mais je n’y arrive pas, auriez vous une aide a m’apportez ?
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
CréateurSujet
-
AuteurRéponses
-
-
avril 10, 2024 à 8:50 pm #39289
Bonsoir,
Que voulez-vous dire par « signature » ?——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 8:57 pm #39290
Salut, il se peut que je me trompe mais pour moi il s’agit d’une suite de caractères hexadécimaux permettant à l’antivirus, justement en la comparant avec d’autres signatures connues préalablement, de détecter s’il s’agit d’un virus. Dans mon projet de justement créer un antivirus (pour le moment uniquement en théorie) j’ai besoin de comprendre comment des personnes mal intentionnées feraient. Justement pour voir si par exemple sur une chaine de 15 caractère héxadécimaux 1 seul est différent d’une signature d’un virus classique alors on va le mettre en quarantaine etc. comprendre comment il modifie pour anticiper les micros changement
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 8:57 pm #39291
oui j’explique mal excuse moi
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:09 pm #39292
Oui, c’est le concept recherché d’un antivirus cependant cependant cela fait plusieurs années que la signature n’est plus considéré comme un élément assez fiable de détection concernant les nouvelles menaces.
——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:10 pm #39293
okay merci, donc pas besoin d’intégrer cela ?
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:11 pm #39294
C’est utile mais un antivirus est un complément d’outil de détection, il existe en plus des EPP (Endpoint Protection Platform), des EDR (Endpoint detection and response ) qui permettent une détection comportementale.
——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:12 pm #39295
ca ma l’air intéressant, tu pourrais en faire une explication approfondie s’il te plais ?
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:25 pm #39296
Tout d’abord, je ne valide pas le terme « antivirus » mais plutôt « antimalware », mais j’utiliserais le terme commun « antivirus » ici:
Il existe une chaîne de caractère permettant à un utilisateur de vérifier qu’un antivirus sur son poste est bien fonctionnel, cela se nomme la chaîne de test EICAR, voici un lien: https://fr.wikipedia.org/wiki/Fichier_de_test_Eicar.
Ce fonctionnement de détection effectué par l’antivirus est le même que pour détecter un malware, il se base effectivement sur une signature.
Il est donc en effet possible de rendre non-détectable un malware en changeant au moins un seul octet de sa signature.Vous pourriez éventuellement effectuer le test suivant:
– Installez un antivirus sur une machine hôte ou virtuelle
– Créez ou téléchargez un malware détectable par l’antivirus
– Ouvrez le malware avec un éditeur de données
– Supprimez les premiers et derniers octets puis vérifiez avec l’antivirus si votre malware est encore détectable
– Réitérez cette dernière opération jusqu’à obtenir le plus petit nombre d’octets consécutifs encore détectable par l’antivirus
– Félicitation, vous avez trouvé la signature utilisée par l’antivirus pour détecter le malware, vous pouvez maintenant changer au moins un octet pour voir que l’antivirus ne détecte plus votre fichier——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:27 pm #39297
merci
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:27 pm #39298
comment puis-je faire pour supprimer des octets ?
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:38 pm #39299
Vous pourriez écrire un programme capable d’extraire automatiquement les signatures détectés par les antivirus (et éventuellement partager ce projet et le publier en open source):
– Celui-ci pourrait écrire les octets d’un malware détectable un à un dans un fichier puis lancer une analyse antivirus en ligne de commande sur ce fichier jusqu’à ce que celui-ci soit détecté. Cela permettra d’en déduire que les octets consécutifs finaux sont la signature.
– Il vous faudra ensuite recommencer l’écriture des octets dans un fichier en partant cette fois ci à la fin de la séquence précédemment trouvée, puis en lançant à nouveau l’analyse antivirus à chaque étape jusqu’à ce que le fichier soit à nouveau détectable. Cela vous donne ainsi la plus petite liste d’octets consécutifs et donc la signature utilisée par l’antivirus.——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:39 pm #39300
ce serait effectivement une bonne idée mais je n’ai pas les compétences pour cela
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:40 pm #39301
Vous pourriez également effectuer ce test manuellement en ouvrant l’exécutable dans un bloc-note et en supprimant très rapidement des parties conséquentes du binaire, vous pouvez affiner l’opération en utilisant ensuite un éditeur hexadécimal.
——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code -
avril 10, 2024 à 9:41 pm #39302
merci
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 11, 2024 à 8:03 pm #39359
Salut, j’en ai déjà fait une conférence à ce sujet « Comment les pirates bypass les AV », je te partage le PDF résumé en mp si tu veux
——————–
yessir123 – Envoyé depuis le Discord : Culte du code -
avril 11, 2024 à 8:03 pm #39360
Ce serait avec plaisir
——————–
voidx12 – Envoyé depuis le Discord : Culte du code -
avril 11, 2024 à 8:04 pm #39361
Concernant les EDR, ils ont certains coût de manière global, aujourd’hui très peu d’entreprises ont des EDR sur leurs workstation. Ils font à l’anciennce avec Trend lol
——————–
yessir123 – Envoyé depuis le Discord : Culte du code
-
-
AuteurRéponses
- Vous devez être connecté pour répondre à ce sujet.
Sujets récents
-
Cloud caméra
par Bot
il y a 13 heures et 21 minutes
-
Problème écran en 144hz
par Bot
il y a 1 jour et 5 heures
-
Discord bot projetc
par Bot
il y a 1 jour
-
Seeking a new work as a Full Stack Developer
par Bot
il y a 3 jours et 11 heures
-
Seeking a new work as a Full Stack Developer
par Bot
il y a 3 jours et 11 heures
Réponses récentes
- Bot sur Cloud caméra
- Bot sur Cloud caméra
- Bot sur Cloud caméra
- Bot sur Cloud caméra
- Bot sur Cloud caméra
Statistiques des Forums
- Comptes enregistrés
- 2 604
- Forums
- 51
- Sujets
- 939
- Réponses
- 17 604
- Mot-clés du sujet
- 0