logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Virus & Anti-Virus >> Killer Antivirus en C Newtopic | Reply
poster txt
hostille
Inscrit le 01-02-2009
Posté le 10-02-2009 14:20

Bonjour

j'essaie de voir comment on peut neutraliser un antivirus j'aimerai bien que l'on me donne des sources de virus qui neutralise les antivirus ou des killer d'antivirus si possible en C pour voir comment il font si il s'attaque au registre au processus ou au fichier.

Merci
profil | edit | quote
Sol
Inscrit le 26-07-2008
Avatar
Posté le 19-05-2009 22:43

Neutraliser un antivirus? T'es de chez Mc Afee? tu fais un audit?

Je pense que le mieux est de le contourner, "killer" un antivirus...plutot hard quoi

Les antivirus repèrent les virus grace a leur "signature" ou des comportements a risque/déja observés, c'est de la qu'ils se basent (en trééééés trés gros, et peut etre trés incomplet)

Une piste : Le polymorphisme mais c'est en C++ et c'est pas donné de le maitriser...
profil | edit | quote
hostille
Inscrit le 01-02-2009
Posté le 21-05-2009 16:12

Oui je c'est killer un antivirus ces hard.

mais justement je me suis dit que si j'arrive à killer l'antivirus comme beaucoup on une détection heuristique
eh ben je n'aurai plus de problème.lol

oui le polymorphies ok.Pour contourner mais ces depuis que les virus polymorphes existe que il on créer la détection heuristique.
profil | edit | quote
ombre.mantis
Inscrit le 16-07-2010
Posté le 16-07-2010 16:15

Sérieusement, te casse pas la tête avec la détection heuristique, en théorie c'est beau, en pratique ca vaut pas un clou la plupart du temps.

Pour te donner un apercu, j'ai test ma dernière création avec 4 antivirus très connut, possédant tous les soit-disants détections heuristiques ...

Pas un n'a levé une alerte, malgrès :

- de multiples serveurs udp/tcp
- tentative d'accès à internet
- clé de registre de démarrage
- protection des clés de registres, avec un thread vérifiant qu'elles existent toujours.
- keylogger (la j'ai pas utilisé de dll, mais un check de l'état du clavier toutes les 10 ms, c'est moins visible)
- recopie du fichier à divers endroits
- utilisation du smtp en direct to mx
- raw socket / sniffer

...

Sérieusement, je suis à court d'idée sur ce qui pourrait bien déclencher une alerte à ce niveau.

Alors si vraiment tu comptes faire un trucs qui doit passer les antivirus, une fois qu'ils connaitront ta signature, bah fait comme tout le monde, pack ton exe, et fait juste un mini algo polymorphe qui change juste la procedure de désencryption.
Ou mieux, si le virus à des accès réseaux, fait du server side polymorph, c'est ce qu'il y a de plus simple encore.
profil | edit | quote
PhantomL
Inscrit le 15-03-2004
Posté le 08-12-2010 22:23

Un check clavier toutes les 10ms, plusieurs serveurs et écrire dans le registre sans alerte ?

Si tes sources sont dispo qq part ca m'interesse...
profil | mail | Website | edit | quote
Newtopic | Reply

Online : Aaronboync, aejopadic, amsagavacu, anafesa, boxewidoxufu, DavidEvils, evaziheme, eyubjuivibi, ijuzooqovu, NormanSum, ogeunore, olaiaxefoba, uinewhtaigaxe et 95 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page