[C-HELP] Malware Process Detecting

[C-HELP] Malware Process Detecting - Version imprimable

+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Programmation (https://dev.n-pn.fr/forum/forumdisplay.php?fid=72)
+--- Forum : Langages compilés (https://dev.n-pn.fr/forum/forumdisplay.php?fid=25)
+--- Sujet : [C-HELP] Malware Process Detecting (/showthread.php?tid=3408)

[C-HELP] Malware Process Detecting - sakiir - 06-11-2013

Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile

RE: [C-HELP] Malware Process Detecting - Junky - 06-11-2013

(06-11-2013, 22h59)sakiir a écrit : Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée

Je n'ai pas grande connaissance en malware sakiir, mais moi j'aurai tendance a rechercher via google le nom du process qui me parait suspect...

Ensuite certainement en analysant les "faits" du process en question. C'est a dire regarder ce qu'il fait, quand et de qu'elle façons...

Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

Junky

RE: [C-HELP] Malware Process Detecting - Kiwazaru - 06-11-2013

http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

RE: [C-HELP] Malware Process Detecting - Loup - 06-11-2013

Check les vidéos et articles de Xylitol tu trouveras sûrement ce que tu veux, enfin si c'est bien ce que tu veux car comme on l'a dit au-dessus:

Citation : Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

RE: [C-HELP] Malware Process Detecting - sakiir - 07-11-2013

(06-11-2013, 23h25)ReVeRse a écrit : http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

Oui j'ai bien compris ce systeme !
Le truc c'est que supersnail m'a parlé de "check dans les zones memoire" je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

RE: [C-HELP] Malware Process Detecting - supersnail - 07-11-2013

Salut,

T'as des API pour lire/écrire/lister les pages mémoires dans un autre processus win32 (ReadProcessMemory pour lire une zone mémoire et VirtualQueryEx pour récupérer des infos sur les pages mémoires présentes dans le process).

Sinon si tu peux récupérer le chemin vers l'exécutable du processus suspect (via Process Explorer par exemple), t'as plusieurs solutions:
- Tu le scannes avec un ou plusieurs antivirus (pas fiable si le binaire est un malware packé avec un packer pas encore connu des AV, si c'est un nouveau malware tout juste sorti ou encore un faux positif)
- Tu le fous dans une sandbox qui va te dire en gros quelles opération le binaire fait niveau accès fichier/registres/réseau ce qui est un poil plus informatif qu'une bête analyse par un antivirus.
- Tu sors IDA ou OllyDBG et tu analyses toi-même le programme pour déterminer s'il est dangereux ou non (c'est de loin la méthode la plus "difficile", mais d'un autre côté c'est celle qui est la plus enrichissante et qui te fera sûrement progresser).

Bref je t'invite à creuser ces pistes, à réfléchir un peu par toi-même, bref à te débrouiller un peu tout seul Wink

(c'est comme ça qu'on apprend en fait, ça vient pas tout cuit dans le bec)

PS: c'est mon 1337ème message \o/

RE: [C-HELP] Malware Process Detecting - Junky - 07-11-2013

(07-11-2013, 09h46)sakiir a écrit : je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

Déjà si je ne dis pas de bêtises, il faut que le programme te "laisse faire" Cad que le Malware te laisse lire ses adresses mémoires partagés. (Je me trompe peu être si un barbu est dans le coin pour confirmer ou pas .. Smile

)

Ensuite regarde du coté de <sys/shm.h> en C... Smile

Tu peu faire des truc vraiment sympa. J'ai déjà codé un tool pour lire dans des adresses mémoires plus ou moins spécifique.

Junky.

RE: [C-HELP] Malware Process Detecting - supersnail - 07-11-2013

@Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

RE: [C-HELP] Malware Process Detecting - Junky - 07-11-2013

(07-11-2013, 12h05)supersnail a écrit : @Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

Merci supersnail pour cette précision. Smile

Junky.

RE: [C-HELP] Malware Process Detecting - sakiir - 09-11-2013

Merci Beaucoup !
j'avance grace à vous ! Thanks