Pages :: 1
Bonjour,
Tomber sur le site un peu par hasard, je propose si ça peut intéresser quelqun, une video commenté sur la dichotomie.
Pour ce qui connaisse pas, la dichotomie en gros consiste a decomposer un fichier afin de le modifier en général de manière hexadecimal.
Exemple plus concres : vous utiliser un binder, il est génial vous l'adorez, Mais celui-ci étant tellement performant que votre antivirus ou antispyware vous le detecte sans cesse, donc solution desactiver l'antivirus et quand il est possible ajouter le logiciel dans un zone de confiance!
Malheureusement certain soft, malgré cela continu d'etre detecté sans cesse.
Alors pour cela il faut decomposer le fichier en question par plusieur tranche afin de connaitre l'endroit de sa signature (signature virale detectable par l'antivirus)
C'est legerement long mais tres simple.
Bon j'espere que je me suis bien exprimé mais pour vous motiver je vais vous donner un argument convainquant.
Dichotomie = comment rendre un programme indetectable (soft, trojan...etc...)
Commentaire?
A bientot
krusty
Oui pourquoi pas tant que ca reste ludique
++
Les cartes wifi recommandée et testées
Billyboylindien parle d'informatique (un peu ).
Proposez vous aussi vos tutos sur tout les sujets (web, prog, bricolage ...)
Hors Ligne
Oui, tout à fait la vidéo, la video prend l'exemple avec un soft tout a fait "soft" ;o)
Une vidéo est déja faite , mais a revoir donc pour le moment jattend de voir ce que je vais faire!
Sinon ya possibilité de mettre la video sur le site ou je dois l'hebergé (ftp, apach....)
++
On l'hebergera, mais ca serait encor mieux si tu pouvais nous faire une petite explication a coté, sauf si c'est vraimet rrop simple
++
Les cartes wifi recommandée et testées
Billyboylindien parle d'informatique (un peu ).
Proposez vous aussi vos tutos sur tout les sujets (web, prog, bricolage ...)
Hors Ligne
La vidéo est commenté, meme si ca reste tres simple.
Il ne suffit pas de reproduire bettement ce que l'on voit , mais il faut le comprendre! chose que peut font!
Sinon l'admin jte l'envoi et tu me dis ce que tu en pense, puis ca peut interesser du monde je pourrais en faire d'autre sur un peu tout ;o)
++
LU
dsl manque de temps, mais billyboy si tu veux diffuser ma video ya pas de pb, trop chiant d'en refaire une ^^
Le principal est que le moyen est expliciste, ensuite l'exemple est benin mais c'est pas ca le plus important
++
Hors Ligne
Je vais le rajouter a la section vidéo alors
++
Les cartes wifi recommandée et testées
Billyboylindien parle d'informatique (un peu ).
Proposez vous aussi vos tutos sur tout les sujets (web, prog, bricolage ...)
Hors Ligne
Les cartes wifi recommandée et testées
Billyboylindien parle d'informatique (un peu ).
Proposez vous aussi vos tutos sur tout les sujets (web, prog, bricolage ...)
Hors Ligne
Y'a un truc que j'ai pas compris sur ta vidéo.
Comment cela se fait il que l'antivirus ne détecte pas l'octet où se trouve la signature, puisque tu dis toi même que la signature est détectable par l'antivirus. Et comment se fait il par contre qu'il détecte les autres octets qui ne possèdent plus la signature détectable. ??
Peut être aussi que l'antivirus détecte un programme malveillant par d'autre moyen que la signature ! mais alors pourquoi quand tu supprime cette signature, ton antivirus ne détecte plus rien ?
J'ai vraiment pas compris... un truc qui cloche. Certainement le fonctionnement de l'antivirus que je n'ai pas compris. Pourrais tu s'il te plait m'éclairer la dessus.
Merci d'avance.
ps : j'espère avoir été clair. Sinon voici ma logique : Tu découpe ton programme en petites parties. Sur une de ces parties il y a la signature (signature que détecte l'antivirus pour dire c'est pas bien le programme). Ensuite tu scan avec antivirus : donc il ne devrais être détectée que la partie où se trouve la signature ??
Bonjour,
Le decoupage se fait du 1eroctet o 50eme (par exemple) ensuite du 1er au 100eme, ensuite du 1er au 150eme etc.... c'est pour ca que tous les fichier "splitter" apres la signature sont aussi detecté!! c tout!
j'espere que ca repond a ta question!
De plus dans cet exemple la signature ne se trouve que sur un seul octet donc il ne suffit de modifier que celuici pour perturber l'antivirus...
Cela di, pour que la video reste "ludique" je ne montre pas les programme sutilisant des signatures multiples sur plusieurs octets differents et souvent eloignés.
Dans ce cas la il faut procéder un peu differemment et etre a l'aise avec la visualisation des programmes en hexa.
++
Bonjour, bravo pour la vidéo très bien expliquée mais quand j'essaye de le faire McAfee me détecte toujours ... J'ai entre-aperçu un dossier "prorat 1.9"
dont j'essaye actuellement de modifier la signature. Mon AV détecte en dernier l'octet 347648 de mon server, la fin n'est constitué que de 00 ! Alors je remplace le dernier 00 par un F à droite mais je suis toujours détecté
. En cherchant (longtemps) sur Google je suis tombé sur de nombreuses méthodes avec des logs introuvables ou bien qui ne marchent pas ... En gros ma question est : comment modifier la (ou les ?) signatures d'un serveur proRAT pour le rendre indétectable aux AV tels que McAfee ou d'autres ?
A par ça, vaut-il mieux le binder avant ou après avoir modifié la signature (je compte le binder avec le exe de CCleaner pour l'envoyer à ma victime ...) ?
Merci de vos réponses les gars ++++
Pages :: 1
Discussion | Réponses | Vues | Dernier message |
---|---|---|---|
Dichotomie [krusty] par Billyboylindien
|
15 | 19017 | 11-09-2012 18:24:47 par amonynous |
tuto dichotomie par fefeur
|
1 | 2983 | 13-04-2009 12:33:20 par dragon |