[Bot]

Ca fais quelque temps que j’essaie de modifier une signature hexadécimal mais je n’y arrive pas, auriez vous une aide a m’apportez ?

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

Sujet

[Bot]

Bonsoir,
Que voulez-vous dire par « signature » ?

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

Salut, il se peut que je me trompe mais pour moi il s’agit d’une suite de caractères hexadécimaux permettant à l’antivirus, justement en la comparant avec d’autres signatures connues préalablement, de détecter s’il s’agit d’un virus. Dans mon projet de justement créer un antivirus (pour le moment uniquement en théorie) j’ai besoin de comprendre comment des personnes mal intentionnées feraient. Justement pour voir si par exemple sur une chaine de 15 caractère héxadécimaux 1 seul est différent d’une signature d’un virus classique alors on va le mettre en quarantaine etc. comprendre comment il modifie pour anticiper les micros changement

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

oui j’explique mal excuse moi

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Oui, c’est le concept recherché d’un antivirus cependant cependant cela fait plusieurs années que la signature n’est plus considéré comme un élément assez fiable de détection concernant les nouvelles menaces.

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

okay merci, donc pas besoin d’intégrer cela ?

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

C’est utile mais un antivirus est un complément d’outil de détection, il existe en plus des EPP (Endpoint Protection Platform), des EDR (Endpoint detection and response ) qui permettent une détection comportementale.

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

ca ma l’air intéressant, tu pourrais en faire une explication approfondie s’il te plais ?

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Tout d’abord, je ne valide pas le terme « antivirus » mais plutôt « antimalware », mais j’utiliserais le terme commun « antivirus » ici:
Il existe une chaîne de caractère permettant à un utilisateur de vérifier qu’un antivirus sur son poste est bien fonctionnel, cela se nomme la chaîne de test EICAR, voici un lien: https://fr.wikipedia.org/wiki/Fichier_de_test_Eicar.
Ce fonctionnement de détection effectué par l’antivirus est le même que pour détecter un malware, il se base effectivement sur une signature.
Il est donc en effet possible de rendre non-détectable un malware en changeant au moins un seul octet de sa signature.

Vous pourriez éventuellement effectuer le test suivant:
– Installez un antivirus sur une machine hôte ou virtuelle
– Créez ou téléchargez un malware détectable par l’antivirus
– Ouvrez le malware avec un éditeur de données
– Supprimez les premiers et derniers octets puis vérifiez avec l’antivirus si votre malware est encore détectable
– Réitérez cette dernière opération jusqu’à obtenir le plus petit nombre d’octets consécutifs encore détectable par l’antivirus
– Félicitation, vous avez trouvé la signature utilisée par l’antivirus pour détecter le malware, vous pouvez maintenant changer au moins un octet pour voir que l’antivirus ne détecte plus votre fichier

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

merci

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

comment puis-je faire pour supprimer des octets ?

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Vous pourriez écrire un programme capable d’extraire automatiquement les signatures détectés par les antivirus (et éventuellement partager ce projet et le publier en open source):
– Celui-ci pourrait écrire les octets d’un malware détectable un à un dans un fichier puis lancer une analyse antivirus en ligne de commande sur ce fichier jusqu’à ce que celui-ci soit détecté. Cela permettra d’en déduire que les octets consécutifs finaux sont la signature.
– Il vous faudra ensuite recommencer l’écriture des octets dans un fichier en partant cette fois ci à la fin de la séquence précédemment trouvée, puis en lançant à nouveau l’analyse antivirus à chaque étape jusqu’à ce que le fichier soit à nouveau détectable. Cela vous donne ainsi la plus petite liste d’octets consécutifs et donc la signature utilisée par l’antivirus.

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

ce serait effectivement une bonne idée mais je n’ai pas les compétences pour cela

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Vous pourriez également effectuer ce test manuellement en ouvrant l’exécutable dans un bloc-note et en supprimant très rapidement des parties conséquentes du binaire, vous pouvez affiner l’opération en utilisant ensuite un éditeur hexadécimal.

——————–
badwolf1337 – Envoyé depuis le Discord : Culte du code

[Bot]

merci

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Salut, j’en ai déjà fait une conférence à ce sujet « Comment les pirates bypass les AV », je te partage le PDF résumé en mp si tu veux

——————–
yessir123 – Envoyé depuis le Discord : Culte du code

[Bot]

Ce serait avec plaisir

——————–
voidx12 – Envoyé depuis le Discord : Culte du code

[Bot]

Concernant les EDR, ils ont certains coût de manière global, aujourd’hui très peu d’entreprises ont des EDR sur leurs workstation. Ils font à l’anciennce avec Trend lol

——————–
yessir123 – Envoyé depuis le Discord : Culte du code

[Auteur]

Réponses