• STATISTIQUES
  • Il y a eu un total de 0 membres et 46323 visiteurs sur le site dans les dernières 24h pour un total de 46 323 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Rankk
    Site de challenge construit sur le principe d'une pyramide à 9 level. Level 1: 60,Level 2: 72,Level 3: 68,Lev...
    Challenges
    [EN] Rosecode
    Programming: 36, Math: 29, Probability: 5, Sequence: 7, Crypto: 4, Brainf**k: 13, TimeRace: 4, Hack: 9
    Challenges
    [EN] phrack
    Lot's of stuff !
    Hacking
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking
    [FR] Le top web
    Nous offrons une sélection la plus large possible de resources webmaster gratuites, hébergement gratuit...
    Webmaster
    [EN] This is legal
    Basic: 10, Realistic: 5, Programming: 1, Bonus: 11, SQL: 2, Encryption: 6, Application: 4, User Contributed: 3
    Challenges
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[C] Extracteur de panel iStealer
23-10-2013, 17h29
Message : #16
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C] Extracteur de panel iStealer
Thanx !!! Smile
+1 (0) -1 (0) Répondre
23-10-2013, 17h31
Message : #17
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: [C] Extracteur de panel iStealer
(23-10-2013, 17h22)sakiir a écrit : Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?

Les joies du malware reversing :')
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
23-10-2013, 17h44
Message : #18
thxer Hors ligne
:(){ :|:& };:
*



Messages : 382
Sujets : 60
Points: 162
Inscription : Feb 2013
RE: [C] Extracteur de panel iStealer
Je répète ce qui c'est dit sur irc pour éclaircir.

Ici la signature ce n'est pas un 'Header' spécifique comme pour un JPEG.
(c'était un exemple)

En fait la signature que cherche le programme.c est propre à iStealer.

Exemple de gruik : la "fonction" qui va décrypter le reste de iStealer.

http://fr.wikipedia.org/wiki/Logiciel_antivirus //cf signature
Thxer.com
Twitter Thxer_

Code BASH :
echo "JkZ Palx" | sed 'y/lPZaJxk/MG3@tEH/'




+1 (0) -1 (0) Répondre
23-10-2013, 18h05
Message : #19
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C] Extracteur de panel iStealer
Oui ca j'ai bien compris mais j'aimerai une reponse à la question "Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?"
+1 (0) -1 (0) Répondre
23-10-2013, 18h07 (Modification du message : 23-10-2013, 18h07 par thxer.)
Message : #20
thxer Hors ligne
:(){ :|:& };:
*



Messages : 382
Sujets : 60
Points: 162
Inscription : Feb 2013
RE: [C] Extracteur de panel iStealer
Il a du chercher un point commun à plusieurs Istealer.exe et trouver ça.
Trouvez ça signature.
Thxer.com
Twitter Thxer_

Code BASH :
echo "JkZ Palx" | sed 'y/lPZaJxk/MG3@tEH/'




+1 (0) -1 (0) Répondre
23-10-2013, 18h18 (Modification du message : 23-10-2013, 18h19 par Loup.)
Message : #21
Loup Hors ligne
Membre actif
*



Messages : 85
Sujets : 8
Points: 8
Inscription : Sep 2013
RE: [C] Extracteur de panel iStealer
Tu ne sembles juste ne pas comprendre se qu'est une signature:
L'exemple de l'antivirus fournis par thxer, enregistre cette série de bits dans un fichier texte et enregistre-le: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Normalement, ton antivirus va gueuler & éradiquer/bloquer l'accès au fichier..
C'est se qu'on appelle le fonctionnement de détection par "signature", l'av va parcourir le fichier dans l'ensemble de ses bits juste à trouver cette signature
Citation :X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
qui est propre à ce virus, il va donc le supprimer...

En gros, si tu n'as pas encore compris (oulàlàlà) une signature est un ensemble de bits unique pour chaque logiciel, ça aurait très bien pu être une autre série de bits unique, mais c'est cette série qui a été choisie!

cdt, Loup
+1 (0) -1 (1) Répondre
23-10-2013, 18h27
Message : #22
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C] Extracteur de panel iStealer
Si je sais ce qu'est une signature hein !! Smile
j'ai juste pas compris comment il a trouver la signature !
+1 (0) -1 (0) Répondre
23-10-2013, 18h38 (Modification du message : 23-10-2013, 18h40 par supersnail.)
Message : #23
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [C] Extracteur de panel iStealer
Ben tu prends juste une séquance d'octets "au pif" dans le binaire suffisament longue (en général) de manière à ce qu'il soit peu probable que cette séquence appartienne à un autre binaire n'ayant "rien à voir" avec le malware.

Bon ici en l'occurence j'ai juste fait une vérif à l'arrache en récupérant les octets à cette adresse (j'sais plus trop à quoi elle correspond l'adresse d'ailleurs, ça date ce truc) pour éviter que l'extracteur chie n'importe quoi quand on le lance sur un binaire qui n'a rien à voir avec du istealer Wink

Edit: ah si jviens de me rappeler, le truc que je compare était un bout appartenant à une chaîne xorée qu'on retrouvait dans tous les samples d'istealer sur lesquels j'étais tombé :'')
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
23-10-2013, 19h05
Message : #24
0pc0deFR
Non-enregistré



 
RE: [C] Extracteur de panel iStealer
Tu peux aller faire un tour ici: https://github.com/0pc0deFR/YaraRules tu trouveras plusieurs signatures de malwares. Pour pondre une signature, il suffit d'analyser plusieurs binaires du même malware et de chercher une/des chaine(s) de caractères qui ce retrouve dans tous les binaires et qui sont potentiellement propre à ce malware.
positive (0) negative (0) Répondre
24-10-2013, 13h33
Message : #25
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: [C] Extracteur de panel iStealer
C'est sympa j'ai effectivement compris maintenant !
e merci 0pc0deFR ! Wink
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [MASM] Extracteur de dll pour Backdoor.Win32.Papras Horgh 10 573 25-04-2013, 13h41
Dernier message: Kiwazaru

Atteindre :


Utilisateur(s) parcourant ce sujet : 3 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut