• STATISTIQUES
  • Il y a eu un total de 0 membres et 27853 visiteurs sur le site dans les dernières 24h pour un total de 27 853 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Net Force
    Javascript: 9, Java Applets: 6, Cryptography: 16, Exploits: 7, Cracking: 14, Programming: 13, Internet: 15, Steganograph...
    Challenges
    [FR] Root-Me
    Notre équipe se base sur un constat : à l'heure actuelle ou l'information tend à devenir...
    Hacking
    [FR] Cyber-Hacker
    CH - Cyber Hacker est un jeu par navigateur de simulation de hack, programmez et envoyez vos virus et piratez les aut...
    Hacking
    [FR] WeChall
    Audio: 3, Coding: 11, Cracking: 9, Crypto: 18, Encoding: 11, Exploit: 44, Forensics: 1, Fun: 6, HTTP: 6, Image: 8, Java:...
    Challenges
    [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation
    [FR] PHP France
    Pour tout savoir sur le PHP, en français. Vous trouverez des tutoriels, des exemples, des astuces, toute la do...
    Hacking
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[C-HELP] Malware Process Detecting
06-11-2013, 22h59
Message : #1
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
[C-HELP] Malware Process Detecting
Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile
+1 (0) -1 (0) Répondre
06-11-2013, 23h16
Message : #2
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 22h59)sakiir a écrit : Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ?
Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée Smile

Je n'ai pas grande connaissance en malware sakiir, mais moi j'aurai tendance a rechercher via google le nom du process qui me parait suspect...

Ensuite certainement en analysant les "faits" du process en question. C'est a dire regarder ce qu'il fait, quand et de qu'elle façons...

Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile

Junky
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (1) -1 (0) Répondre
06-11-2013, 23h25 (Modification du message : 06-11-2013, 23h26 par Kiwazaru.)
Message : #3
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: [C-HELP] Malware Process Detecting
http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
06-11-2013, 23h50
Message : #4
Loup Hors ligne
Membre actif
*



Messages : 85
Sujets : 8
Points: 8
Inscription : Sep 2013
RE: [C-HELP] Malware Process Detecting
Check les vidéos et articles de Xylitol tu trouveras sûrement ce que tu veux, enfin si c'est bien ce que tu veux car comme on l'a dit au-dessus:

Citation : Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile
+1 (0) -1 (0) Répondre
07-11-2013, 09h46
Message : #5
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 23h25)ReVeRse a écrit : http://n-pn.fr/forum/showthread.php?tid=1914&page=2

On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé?

Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?

Oui j'ai bien compris ce systeme !
Le truc c'est que supersnail m'a parlé de "check dans les zones memoire" je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^
+1 (0) -1 (0) Répondre
07-11-2013, 10h19
Message : #6
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [C-HELP] Malware Process Detecting
Salut,

T'as des API pour lire/écrire/lister les pages mémoires dans un autre processus win32 (ReadProcessMemory pour lire une zone mémoire et VirtualQueryEx pour récupérer des infos sur les pages mémoires présentes dans le process).

Sinon si tu peux récupérer le chemin vers l'exécutable du processus suspect (via Process Explorer par exemple), t'as plusieurs solutions:
- Tu le scannes avec un ou plusieurs antivirus (pas fiable si le binaire est un malware packé avec un packer pas encore connu des AV, si c'est un nouveau malware tout juste sorti ou encore un faux positif)
- Tu le fous dans une sandbox qui va te dire en gros quelles opération le binaire fait niveau accès fichier/registres/réseau ce qui est un poil plus informatif qu'une bête analyse par un antivirus.
- Tu sors IDA ou OllyDBG et tu analyses toi-même le programme pour déterminer s'il est dangereux ou non (c'est de loin la méthode la plus "difficile", mais d'un autre côté c'est celle qui est la plus enrichissante et qui te fera sûrement progresser).

Bref je t'invite à creuser ces pistes, à réfléchir un peu par toi-même, bref à te débrouiller un peu tout seul Wink(c'est comme ça qu'on apprend en fait, ça vient pas tout cuit dans le bec)

PS: c'est mon 1337ème message \o/
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (3) -1 (0) Répondre
07-11-2013, 11h57
Message : #7
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 09h46)sakiir a écrit : je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^

Déjà si je ne dis pas de bêtises, il faut que le programme te "laisse faire" Cad que le Malware te laisse lire ses adresses mémoires partagés. (Je me trompe peu être si un barbu est dans le coin pour confirmer ou pas .. Smile )

Ensuite regarde du coté de <sys/shm.h> en C... Smile

Tu peu faire des truc vraiment sympa. J'ai déjà codé un tool pour lire dans des adresses mémoires plus ou moins spécifique.

Junky.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
07-11-2013, 12h05
Message : #8
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [C-HELP] Malware Process Detecting
@Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (1) -1 (0) Répondre
07-11-2013, 12h30
Message : #9
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 12h05)supersnail a écrit : @Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.

Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)

Merci supersnail pour cette précision. Smile

Junky.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
09-11-2013, 10h32
Message : #10
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C-HELP] Malware Process Detecting
Merci Beaucoup !
j'avance grace à vous ! Thanks
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Process windows skii 6 265 26-10-2016, 18h43
Dernier message: skii
  IPKiller Malware Reversing sakiir 4 298 23-11-2013, 16h55
Dernier message: sakiir
  [C] [Win32] Injection de DLL dans un process avant son initialisation supersnail 4 396 26-03-2013, 23h27
Dernier message: fr0g

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut