Maroc Informatique Programmation

Le Forum Marocain de Programmation Du Room Maroc_Salon_Informatique_Programmation
 
AccueilAccueil  PortailPortail  FAQFAQ  RechercherRechercher  S'enregistrerS'enregistrer  MembresMembres  GroupesGroupes  Connexion  

Partagez | 
 

 rendre un trojan indetectable en

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
croki_1
Apprenti


Nombre de messages : 36
Date d'inscription : 12/05/2005

MessageSujet: rendre un trojan indetectable en   Mar 19 Juil à 6:26

rendre un trojan indetectable en modifiant sa signature



1. Modifier la signature antivirus du trojan

Tout d'abord, Qu est ce une signature ???
Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus.

A quoi peut servir de connaitre ces signatures ?
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.
------------------------------
Vous aurez besoin de :
-AVPOFFSET ici : http://monsieur.mimoune.free.fr/avpoffset.zip
-Kaspersky (installer sur votre ordinateur)
-Hexiwin (www.telecharger.com), ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...)
------------------------------
Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :

" AVPOFFSET SERVER.EXE "

Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:

SERVER.EXE infected: backdoor xxxxxx

Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)

Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)

Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN.
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.

Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)

Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices

Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.
------------------------------
Étudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :

8D45F8

Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)

Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...Wink



2. Appliquer un binder ou un packer

Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier executable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient: les binders sont eux memes detectés par les antivirus. En effet un binder ajouite du code entre les deux EXE afin que ceux ci soient lancés simultenément, et comporte également une signature. M ême si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L'idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet. Peut être que j'en ajouterai dans la rubrique des téléchargements à vos demandes. Donc pour utiliser en général un binder, il faut le rendre également indétécté avoir la méthode du paragraphe suivant, et s'assurer également que les fichiers à l'intérieur du binder soient aussi indétéctés. Cela donnera des résultats remarquables.

Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L'avantage du packer est qu'il modifie très probablement la signature du trojan, mais ce n'est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature.

Le principe général d'un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que la code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplacent ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères corresponda à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d'origine peut ainsi être remplacé par un code similaire plus court s'il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande

_________________
Mr_Unix =======édition 2005 .
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
xMs3D0
Rang: Administrateur
Rang: Administrateur


Nombre de messages : 252
Localisation : Devant Mon PC
Date d'inscription : 11/05/2005

MessageSujet: Re: rendre un trojan indetectable en   Ven 7 Oct à 19:06

merci croki pour le sujet Smile
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
newman_dj
Bon Membres


Nombre de messages : 70
Date d'inscription : 12/07/2005

MessageSujet: Re: rendre un trojan indetectable en   Sam 15 Oct à 4:16

merci khoya croki pour l'explication c bien expliquer je vait l'essayer malna ache khasrine ^^
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
X_badr-revolution_X
Bon Membres


Nombre de messages : 94
Date d'inscription : 14/09/2005

MessageSujet: Re: rendre un trojan indetectable en   Mar 18 Oct à 17:25

(y)Merci a khoya croki wa fin had lrbourat a sat hania l wa9t ki ma gual Mr badr achno khassrine ila jarabnaha ^^
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://www.hack-revolution.tk
cspro16
Nouveau membre


Nombre de messages : 1
Date d'inscription : 16/07/2011

MessageSujet: packer   Sam 16 Juil à 16:50

bonjours a tous voici un logiciel packer qui peut rendre n'importe quel fichier indetectable !! pas besoin de chercher des heures...

telechargement : http://securitysource.tk/
Il y a la source du logiciel aussi

a+
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: rendre un trojan indetectable en   Aujourd'hui à 16:42

Revenir en haut Aller en bas
 
rendre un trojan indetectable en
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» [Résolu] Trojan WIN32.TRATBHO
» [Résolu] Help : BitDefender et trojan
» Connection lente et Trojan dans Antivir ?
» trojan horse
» trojan bwsj [Resolu]

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Maroc Informatique Programmation :: Securité Informatique :: Securité des ordinateurs-
Sauter vers: