• STATISTIQUES
  • Il y a eu un total de 0 membres et 33767 visiteurs sur le site dans les dernières 24h pour un total de 33 767 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] PHP Débutant
    Apprendre le PHP par l'exemple, facilement et simplement. Réservé d'abord aux débutants....
    Programmation
    [EN] xda-developers
    Très bon site pour les gros bidouilleurs de smartphone de windows à androïd et de Apple jusqu'...
    Phreaking
    [FR] Microcontest
    Cryptographie: 7, Mathématiques: 8, Image Son Vidéo: 5, Intelligence artificielle: 3, Réseau: 2, Divers: 7, Phy...
    Challenges
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités
    [EN] osix
    Site de challenge qui utilise un système de level on chaque épreuve doit être réussie avant d'accédÃ...
    Challenges

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Débuter en analyse de malwares
07-11-2013, 10h49 (Modification du message : 07-11-2013, 20h18 par supersnail.)
Message : #1
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
Débuter en analyse de malwares
Introduction

Ce (court) article a pour but de répondre à beaucoup de questions que se posent la plupart des débutants en reverse-engineering lorsqu'ils souhaitent commencer à analyser des malwares. Ce n'est cependant PAS un tutoriel sur l'analyse de malwares, il s'agit plûtot d'un guide présentant les différents outils disponibles, des papers pouvant vous faire progresser (à condition de travailler et de faire l'effort d'essayer de comprendre ces papers) et quelques conseils. Il faut tout d'abord savoir que se lancer dans l'analyse de malwares est "difficile", peu de ressources existent pour aider les débutants, et surtout il faut de bonnes connaissances en reverse-engineering, qui est donc un prérequis pour se lancer dans l'analyse de malwares (si vous êtes juste capable de nopper un saut conditionnel, n'espérez pas vous lancer dans l'analyse de malwares maintenant).

Quelques conseils en vrac

Tout d'abord, le meilleur moyen de progresser est de s'entraîner (le RE de malwares, c'est comme le sport, c'est en s'entraînant beaucoup qu'on devient champion du monde Wink), et donc ne pas hésiter à se confronter à un malware "difficile", même si on y comprend rien au début: l'essentiel c'est de voir du code, essayer d'en comprendre quelques bouts pour petit à petit comprendre plus de code. N'hésitez pas à lire plusieurs analyses déjà faites de malwares, afin de mieux comprendre les méthodes utilisées et mieux les appliquer. Enfin si jamais vous vous faites infecter par un malware malencontreusement (en naviguant sur un site par exemple), essayez de l'étudier et comprendre son fonctionnement.

Cependant, il faut prendre quelques précautions avant de se lancer dans le RE de malwares. Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée). La meilleure solution (mais coûteuse) serait d'utiliser une machine dédiée (de préférence déconnectée du réseau pour éviter la propagation de vers). Un autre bon compromis est d'utiliser une machine virtuelle (c'est-à-dire un "ordinateur" tournant à l'intérieur de l'ordinateur de travail), la plupart des PC récents étant assez performants pour faire tourner 2 systèmes à la fois. Vous devrez cependant installer une copie de Windows afin de pouvoir l'utiliser. Parmi les solutions de virtualisation, les plus connues sont VirtualBox ou VMWare.

Une autre bon conseil est d'apprendre à unpacker des malwares et s'y entraîner, étant donné que la plupart des malwares sont "packés", ceci afin de réduire les chances d'être détectés par les antivirus.

Où trouver des malwares ?

La réponse la plus simple ici est "dans la nature", c'est-à-dire sur ce que le commun des mortels appelle "sites douteux" (pr0n, warez, etc...). Cependant il existe plusieurs sites/communautés qui mettent à disposition des malwares pour être étudiés, dont voici quelques liens ci-dessous:

Liens utiles

Désassembleurs/Débuggeurs
  • IDA Pro qui est la référence en matière de reverse-engineering (la version 6.1 est disponible sur les réseaux Torrent, sinon IDA Pro Free est disponible en téléchargement gratuit sur le site de l'éditeur, même si l'interface est moins agréable)
  • OllyDBG v1.10: la version la plus utilisée en ce moment, et qui possède la communauté la plus active et un très grand nombre de plugins.
  • OllyDBG v2.0: version qui supporte win7 64 bits, mais plus instable (encore en développement) et incompatible avec les plugins de la v1.10.
  • Immunity Debugger
  • IDR: désassembleur dédié aux applications codées en Delphi

Plugins OllyDBG v1.10
  • Phant0m: plugin permettant de contourner beaucoup de protections anti-debug
  • GoDUP: permet de charger les fichiers .map générés par IDA/IDR dans OllyDBG (pour renommer automatiquement les fonctions et rendre le listing plus lisible)
  • Asm2Clipboard: permet de copier du code assembleur du process debuggué dans le presse-papier (utile pour les keygenners btw)
  • MemoryDump: permet de dumper la portion de mémoire sélectionnée directement dans un fichier (utile pour unpacker rapidement un malware)
  • Multiline Ultimate Assembler: un plugin permettant d'assembler du code directement dans un processus (utile pour faire des codecave)

Analyses de malwares et papers
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (13) -1 (0) Répondre
07-11-2013, 20h13
Message : #2
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Débuter en analyse de malwares
Citation :Cependant, il faut cependant
si je eux me permettre ^^ ahah meme si mon orthographe et autres compétences litteral sont pourrav' :p
Si non j'adore c'est exactement le genre de chose que je cherche !
je te remercie beaucoup à plus et +1 Wink
+1 (1) -1 (0) Répondre
07-11-2013, 20h15
Message : #3
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Débuter en analyse de malwares
Merci, c'est corrigé Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-11-2013, 20h58
Message : #4
0pc0deFR
Non-enregistré



 
RE: Débuter en analyse de malwares
Je crois que j'ai déjà vu ça quelque part. Real-ASM peut être?

Il est possible d'utiliser des outils de virtualisation, hyperviseurs, type ESXi de chez VMWare ou XenServer de chez Citrix (totalement gratuit et open-source [c'est le support technique qui est payant si le forum ne suffit pas]), ou encore Proxmox qui n'est pas mal non plus. A savoir, ESXi s'installe sur une clé USB (c'est mon cas).
positive (0) negative (0) Répondre
07-11-2013, 21h02
Message : #5
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Débuter en analyse de malwares
@0pc0deFR: yep c'est une version légèrement modifiée de celle que j'avais postée sur le wiki de real-asm Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-11-2013, 23h23
Message : #6
Horgh Hors ligne
Membre actif
*



Messages : 197
Sujets : 4
Points: 91
Inscription : Mar 2012
RE: Débuter en analyse de malwares
Citation :Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée)
Je n'irais pas jusqu'à l'hérésie, soit clément avec les flemmards comme moi s'il te plait :'(
Nan en vrai, je reconnais que c'est mal, c'est chiant de devoir virer des rootkits de son windows 7.

Citation :OllyDBG v2.0: version qui supporte win7 64 bits, mais plus instable (encore en développement) et incompatible avec les plugins de la v1.10.
Pas d'accord. Depuis les dernières versions il y a bien plus de plugins et la stabilté s'est grandement accrue. La preuve en est que Oleh a commencé à bosser sur la v2 x64 Smile

Sinon, gj
+1 (1) -1 (0) Répondre
07-11-2013, 23h26
Message : #7
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: Débuter en analyse de malwares
Faudrait que je reteste alors :') (y'a quelques mois encore c'était trop instable à mon goût :])
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Débuter en reverse engeneering. ark 15 1,331 22-03-2018, 03h50
Dernier message: ThomasBr
  Débuter en reverse engineering avec 0$ 0x41 9 615 14-09-2012, 19h55
Dernier message: LR-6

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut