Dichotomie

Krusty · 04-01-2007 17:43:47

Bonjour,

Tomber sur le site un peu par hasard, je propose si ça peut intéresser quelqun, une video commenté sur la dichotomie.
Pour ce qui connaisse pas, la dichotomie en gros consiste a decomposer un fichier afin de le modifier en général de manière hexadecimal.

Exemple plus concres : vous utiliser un binder, il est génial vous l'adorez, Mais celui-ci étant tellement performant que votre antivirus ou antispyware vous le detecte sans cesse, donc solution desactiver l'antivirus et quand il est possible ajouter le logiciel dans un zone de confiance!
Malheureusement certain soft, malgré cela continu d'etre detecté sans cesse.
Alors pour cela il faut decomposer le fichier en question par plusieur tranche afin de connaitre l'endroit de sa signature (signature virale detectable par l'antivirus)
C'est legerement long mais tres simple.
Bon j'espere que je me suis bien exprimé mais pour vous motiver je vais vous donner un argument convainquant.
Dichotomie = comment rendre un programme indetectable (soft, trojan...etc...)
Commentaire?
A bientot
krusty

Billyboylindien · 04-01-2007 23:53:04

Oui pourquoi pas tant que ca reste ludique wink

++

Krusty · 06-01-2007 01:39:15

Oui, tout à fait la vidéo, la video prend l'exemple avec un soft tout a fait "soft" ;o)
Une vidéo est déja faite , mais a revoir donc pour le moment jattend de voir ce que je vais faire!
Sinon ya possibilité de mettre la video sur le site ou je dois l'hebergé (ftp, apach....)
++

Billyboylindien · 06-01-2007 01:49:45

On l'hebergera, mais ca serait encor mieux si tu pouvais nous faire une petite explication a coté, sauf si c'est vraimet rrop simple wink

++

Krusty · 07-01-2007 23:23:33

La vidéo est commenté, meme si ca reste tres simple.
Il ne suffit pas de reproduire bettement ce que l'on voit , mais il faut le comprendre! chose que peut font!
Sinon l'admin jte l'envoi et tu me dis ce que tu en pense, puis ca peut interesser du monde je pourrais en faire d'autre sur un peu tout ;o)
++

Krusty · 01-02-2007 00:28:13

LU

dsl manque de temps, mais billyboy si tu veux diffuser ma video ya pas de pb, trop chiant d'en refaire une ^^
Le principal est que le moyen est expliciste, ensuite l'exemple est benin mais c'est pas ca le plus important

++

Billyboylindien · 01-02-2007 08:44:50

Je vais le rajouter a la section vidéo alors wink

++

Billyboylindien · 01-02-2007 09:26:16

et voilou:
http://www.tuto-fr.com/fichiers/dichotomie.php

imbécile · 05-06-2007 22:01:06

Y'a un truc que j'ai pas compris sur ta vidéo. sad

Comment cela se fait il que l'antivirus ne détecte pas l'octet où se trouve la signature, puisque tu dis toi même que la signature est détectable par l'antivirus. Et comment se fait il par contre qu'il détecte les autres octets qui ne possèdent plus la signature détectable. ??

Peut être aussi que l'antivirus détecte un programme malveillant par d'autre moyen que la signature ! mais alors pourquoi quand tu supprime cette signature, ton antivirus ne détecte plus rien ?

J'ai vraiment pas compris... un truc qui cloche. Certainement le fonctionnement de l'antivirus que je n'ai pas compris. Pourrais tu s'il te plait m'éclairer la dessus.

Merci d'avance.

ps : j'espère avoir été clair. Sinon voici ma logique : Tu découpe ton programme en petites parties. Sur une de ces parties il y a la signature (signature que détecte l'antivirus pour dire c'est pas bien le programme). Ensuite tu scan avec antivirus : donc il ne devrais être détectée que la partie où se trouve la signature ??

krusty1er · 08-06-2007 19:46:09

Bonjour,

Le decoupage se fait du 1eroctet o 50eme (par exemple) ensuite du 1er au 100eme, ensuite du 1er au 150eme etc.... c'est pour ca que tous les fichier "splitter" apres la signature sont aussi detecté!! c tout!
j'espere que ca repond a ta question!
De plus dans cet exemple la signature ne se trouve que sur un seul octet donc il ne suffit de modifier que celuici pour perturber l'antivirus...
Cela di, pour que la video reste "ludique" je ne montre pas les programme sutilisant des signatures multiples sur plusieurs octets differents et souvent eloignés.
Dans ce cas la il faut procéder un peu differemment et etre a l'aise avec la visualisation des programmes en hexa.
++

Skywalkerfamily · 03-07-2007 11:36:17

Bonjour, bravo pour la vidéo très bien expliquée smile mais quand j'essaye de le faire McAfee me détecte toujours ... J'ai entre-aperçu un dossier "prorat 1.9" tongue dont j'essaye actuellement de modifier la signature. Mon AV détecte en dernier l'octet 347648 de mon server, la fin n'est constitué que de 00 ! Alors je remplace le dernier 00 par un F à droite mais je suis toujours détecté sad . En cherchant (longtemps) sur Google je suis tombé sur de nombreuses méthodes avec des logs introuvables ou bien qui ne marchent pas ... En gros ma question est : comment modifier la (ou les ?) signatures d'un serveur proRAT pour le rendre indétectable aux AV tels que McAfee ou d'autres ?
A par ça, vaut-il mieux le binder avant ou après avoir modifié la signature (je compte le binder avec le exe de CCleaner pour l'envoyer à ma victime ...) ?
Merci de vos réponses les gars smile ++++

Discussion	Réponses	Vues	Dernier message
Dichotomie [krusty] par Billyboylindien	15	19131	11-09-2012 18:24:47 par amonynous
tuto dichotomie par fefeur	1	3066	13-04-2009 12:33:20 par dragon

Forum d'entraide: tuto-fr.com

Annonce

#1 04-01-2007 17:43:47

Dichotomie

Annonce

#2 04-01-2007 23:53:04

Re : Dichotomie

#3 06-01-2007 01:39:15

Re : Dichotomie

#4 06-01-2007 01:49:45

Re : Dichotomie

#5 07-01-2007 23:23:33

Re : Dichotomie

#6 01-02-2007 00:28:13

Re : Dichotomie

#7 01-02-2007 08:44:50

Re : Dichotomie

#8 01-02-2007 09:26:16

Re : Dichotomie

#9 05-06-2007 22:01:06

Re : Dichotomie

#10 08-06-2007 19:46:09

Re : Dichotomie

#11 03-07-2007 11:36:17

Re : Dichotomie

Annonce

Sujets similaires

Pied de page des forums