[C] Extracteur de panel iStealer
|
23-10-2013, 17h29
Message : #16
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C] Extracteur de panel iStealer
Thanx !!!
|
|
23-10-2013, 17h31
Message : #17
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [C] Extracteur de panel iStealer
(23-10-2013, 17h22)sakiir a écrit : Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ? Les joies du malware reversing :')
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
23-10-2013, 17h44
Message : #18
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
RE: [C] Extracteur de panel iStealer
Je répète ce qui c'est dit sur irc pour éclaircir.
Ici la signature ce n'est pas un 'Header' spécifique comme pour un JPEG. (c'était un exemple) En fait la signature que cherche le programme.c est propre à iStealer. Exemple de gruik : la "fonction" qui va décrypter le reste de iStealer. http://fr.wikipedia.org/wiki/Logiciel_antivirus //cf signature |
|
23-10-2013, 18h05
Message : #19
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C] Extracteur de panel iStealer
Oui ca j'ai bien compris mais j'aimerai une reponse à la question "Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?"
|
|
23-10-2013, 18h07
(Modification du message : 23-10-2013, 18h07 par thxer.)
Message : #20
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
RE: [C] Extracteur de panel iStealer
Il a du chercher un point commun à plusieurs Istealer.exe et trouver ça.
Trouvez ça signature. |
|
23-10-2013, 18h18
(Modification du message : 23-10-2013, 18h19 par Loup.)
Message : #21
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
RE: [C] Extracteur de panel iStealer
Tu ne sembles juste ne pas comprendre se qu'est une signature:
L'exemple de l'antivirus fournis par thxer, enregistre cette série de bits dans un fichier texte et enregistre-le: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Normalement, ton antivirus va gueuler & éradiquer/bloquer l'accès au fichier.. C'est se qu'on appelle le fonctionnement de détection par "signature", l'av va parcourir le fichier dans l'ensemble de ses bits juste à trouver cette signature Citation :X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*qui est propre à ce virus, il va donc le supprimer... En gros, si tu n'as pas encore compris (oulàlàlà) une signature est un ensemble de bits unique pour chaque logiciel, ça aurait très bien pu être une autre série de bits unique, mais c'est cette série qui a été choisie! cdt, Loup |
|
23-10-2013, 18h27
Message : #22
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C] Extracteur de panel iStealer
Si je sais ce qu'est une signature hein !!
j'ai juste pas compris comment il a trouver la signature ! |
|
23-10-2013, 18h38
(Modification du message : 23-10-2013, 18h40 par supersnail.)
Message : #23
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [C] Extracteur de panel iStealer
Ben tu prends juste une séquance d'octets "au pif" dans le binaire suffisament longue (en général) de manière à ce qu'il soit peu probable que cette séquence appartienne à un autre binaire n'ayant "rien à voir" avec le malware.
Bon ici en l'occurence j'ai juste fait une vérif à l'arrache en récupérant les octets à cette adresse (j'sais plus trop à quoi elle correspond l'adresse d'ailleurs, ça date ce truc) pour éviter que l'extracteur chie n'importe quoi quand on le lance sur un binaire qui n'a rien à voir avec du istealer Edit: ah si jviens de me rappeler, le truc que je compare était un bout appartenant à une chaîne xorée qu'on retrouvait dans tous les samples d'istealer sur lesquels j'étais tombé :'')
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
23-10-2013, 19h05
Message : #24
|
|
0pc0deFR Non-enregistré |
RE: [C] Extracteur de panel iStealer
Tu peux aller faire un tour ici: https://github.com/0pc0deFR/YaraRules tu trouveras plusieurs signatures de malwares. Pour pondre une signature, il suffit d'analyser plusieurs binaires du même malware et de chercher une/des chaine(s) de caractères qui ce retrouve dans tous les binaires et qui sont potentiellement propre à ce malware.
|
|
24-10-2013, 13h33
Message : #25
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C] Extracteur de panel iStealer
C'est sympa j'ai effectivement compris maintenant !
e merci 0pc0deFR ! |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[MASM] Extracteur de dll pour Backdoor.Win32.Papras | Horgh | 10 | 573 |
25-04-2013, 13h41 Dernier message: Kiwazaru |
Utilisateur(s) parcourant ce sujet : 3 visiteur(s)