logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Virus & Anti-Virus >> Signature de troyen Newtopic | Reply
poster txt
Macarellu
Inscrit le 09-02-2005
Posté le 09-02-2005 18:00

Bonjour a tous, je suis nouveau ici, je recherche une aide que je n'es pas u sur les autres forums.

J'aimerai reussir a changer la signature d'un troyen, j'ai lu plusieurs tuto et j'ai reussi a trouvez une parti de la signiature (prorat) mais quand je la modif avec mon editeur hexa elle reste quand meme detecté.

PS:je voudrait le faire juste pour voir si cela es possible,car de toute facon les nouveaux anti virus reconnaissent les commandes et plus les signatures voir utilise les 2
profil | edit | quote
tweakie
Inscrit le 01-02-2002
Posté le 09-02-2005 19:39

Commencons par le commencement :

- Comment t'y es tu pris pour reperer l'emplacement de la signature du trojan ?

- Quel AV essaies-tu de contourner ?

Prorat, c'est bien un machin programme' en VB (beurk), non ?
profil | Website | edit | quote
casskroot
Inscrit le 01-11-2003
Posté le 09-02-2005 20:09

Si ton antivirus fait de la recherche heucaristique (orthographe ???), changer la signature ne changera pas grand chose.
_________________________

profil | mail | edit | quote
Macarellu
Inscrit le 09-02-2005
Posté le 09-02-2005 22:41

Salut a vous les gars et un GRAND MERCI pour votre aide.

tweakie : pour reperé la signature (une parti), j'ai utilisé "AV Devil 2" on aura quelque chose comme ca:

1.OFFSET
BEGIN: xxx
END: xxx
2.OFFSET
BEGIN: xxx
END: xxx
3.OFFSET
BEGIN: xxxx
END: xxxx

J'ai testé avec Kaspersky 5

prorat1.9 es codé en C++ c du bon (marche sur les reseaux et routeur,kill av...)

casskroot: avec "Hex workshop" je peu modifié l'ortographe (minuscule/majuscule)

j'ai testé les spliter aussi mais c la merde trop long et pas preci
profil | edit | quote
casskroot
Inscrit le 01-11-2003
Posté le 09-02-2005 22:46

Bon ben c pas heucaristique (j'aurais mieux fait de googliser 2 secondes avant de poster ), c'est heuristique.

Tu devrais faire une recherche google avec heuristique parce que je crois que t'as pas bien compris ce que je t'ai dis (le 1º lien devrait te suffire).
_________________________

profil | mail | edit | quote
Macarellu
Inscrit le 09-02-2005
Posté le 09-02-2005 22:50

merci pour ton aide, ya moyen de ce parlez sur irc ? ou un messenger ?
profil | edit | quote
casskroot
Inscrit le 01-11-2003
Posté le 10-02-2005 17:54

Si c'est avec moi que tu veux discuter, ca servira pas à grand chose, j'ai jamais cherché à modifier la signature d'un prog et je pourrais pas te dire grand chose sur la recherche heuristique.
_________________________

profil | mail | edit | quote
Macarellu
Inscrit le 09-02-2005
Posté le 10-02-2005 22:44

pas d'aide ?
profil | edit | quote
Macarellu
Inscrit le 09-02-2005
Posté le 10-02-2005 23:22

JUSTE POUR INFO,ILS YA DES PERSSONES SUR LE CHAN #newffr QUI DONNE UNE MAUVAISE IMAGE DU SITE,ON VIENS POUR DEMANDEZ DE L'AIDE ET ON VOUS PREND POUR UN CON,SUREMENT DES PETIT MERDEUX C CA LES SALON PUBLIC. (vince,meik et edcba) les OP n'etait pas la domage
profil | edit | quote
Macarellu
Inscrit le 09-02-2005
Posté le 11-02-2005 02:48

j'ai reussi a trouvez la signiature en Hex dans Hew Workshop

j'ai reperé l'offset dans w32dasm, mais maintenant coment la modifier?

profil | edit | quote
pompom
Inscrit le 31-01-2005
Posté le 11-02-2005 22:39

Là l'offset indiqué dans windasm pointe sur le push ebp, qui est l'entrypoint de ton trojan apparemment.

C'est ça la "signature" que tu cherches ?!?!
Si tu faisais référence au mov eax, dword ptr [0049DDC], l'offset est plutot : 99C6Dh

Pour le modifier : éditeur hexa et tu changes les bytes, mais vu qu'apparemment t'as envie de changer un bout de code, bah faut recoder l'instruction avant, ensuite tu récupères les opcodes de ton nouveau bout de code et tu les remplaces par les anciennes.
Des connaissances (de base) en assembleur semblent nécessaires, sinon tu arriveras guère à faire quelque chose.

Objectif : recoder l'instruction en utilisant le même nombre de bytes voire moins.
Perso là sans me casser trop la tête, je vois bien une solution mais en 7 bytes, donc ça n'irait pas, ou alors faudrait remodifier la suite en conséquence puisqu'on ecraserait du code.

Te sens-tu capable de t'attaquer à ça ?
Si non, ben un peu d'apprentissage de l'asm te fera le plus grand bien à mon avis.
Si oui, eh bien maintenant que t'es sur la voie, et que tu connais l'asm, ça devrait rouler tout seul et tu devrais t'en sortir.
Mon sens moral m'interdit de t'aider de plus... C'est mal.
profil | edit | quote
pompom
Inscrit le 31-01-2005
Posté le 11-02-2005 23:45

Me suis gauffré :

Quote:
ensuite tu récupères les opcodes de ton nouveau bout de code et tu les remplaces par les anciennes.


Je voulais dire : tu remplaces les anciennes par les nouvelles
profil | edit | quote
Deicide
Inscrit le 19-04-2002
Avatar
Posté le 18-02-2005 15:12

Et tu te pends si tu comprends pas...
_________________________

profil | edit | quote
KaWaDa
Inscrit le 15-11-2004
Posté le 19-02-2005 14:59

je croit me rapeller que la signature de prorat est tronquer mais lors ce que j'ai voulut verifier j'ai lut sa aussi

"En outre, cette méthode de modification de signature ne marche pas sur le serveur PRORAT. En effet, au moment de la connexion le client vérifie si le sevreur a été modifié ou pas. Il faut donc cracker aussi cette vérification. Outil: debugger. A suivre..."


_________________________


[ Ce Message a été édité par: KaWaDa le 2005-02-19 15:01 ]
profil | MSN | edit | quote
Newtopic | Reply

Online : Carolynnog, GilbertBeavy, Jeffreywed, StephenMum et 73 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page