[C-HELP] Malware Process Detecting
|
06-11-2013, 22h59
Message : #1
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
[C-HELP] Malware Process Detecting
Bonsoir ,
j'aimerais savoir si il est possible de check si un malware est un Malware via son processus ? Si Oui par quel procédé ? j'aimerai des ptits bouts de code ça serait très sympathique merci bonne soirée |
|
06-11-2013, 23h16
Message : #2
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 22h59)sakiir a écrit : Bonsoir , Je n'ai pas grande connaissance en malware sakiir, mais moi j'aurai tendance a rechercher via google le nom du process qui me parait suspect... Ensuite certainement en analysant les "faits" du process en question. C'est a dire regarder ce qu'il fait, quand et de qu'elle façons... Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Junky Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
06-11-2013, 23h25
(Modification du message : 06-11-2013, 23h26 par Kiwazaru.)
Message : #3
|
|
Kiwazaru
Padawan d'un super escargot Messages : 284 Sujets : 26 Points: 139 Inscription : Mar 2012 |
RE: [C-HELP] Malware Process Detecting
http://n-pn.fr/forum/showthread.php?tid=1914&page=2
On t'avais causé/expliqué du/le principe de la détection par signature, pourquoi ne pas commencer par ce procédé? Ensuite par le processus, tu entends quoi? Effectuer une analyse des actions du programme en temps réel?
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
|
|
06-11-2013, 23h50
Message : #4
|
|
Loup
Membre actif Messages : 85 Sujets : 8 Points: 8 Inscription : Sep 2013 |
RE: [C-HELP] Malware Process Detecting
Check les vidéos et articles de Xylitol tu trouveras sûrement ce que tu veux, enfin si c'est bien ce que tu veux car comme on l'a dit au-dessus:
Citation : Désolé ma réponse n'est pas UBER constructive, mais ta question reste assez vague finalement... Smile |
|
07-11-2013, 09h46
Message : #5
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C-HELP] Malware Process Detecting
(06-11-2013, 23h25)ReVeRse a écrit : http://n-pn.fr/forum/showthread.php?tid=1914&page=2 Oui j'ai bien compris ce systeme ! Le truc c'est que supersnail m'a parlé de "check dans les zones memoire" je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^ |
|
07-11-2013, 10h19
Message : #6
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [C-HELP] Malware Process Detecting
Salut,
T'as des API pour lire/écrire/lister les pages mémoires dans un autre processus win32 (ReadProcessMemory pour lire une zone mémoire et VirtualQueryEx pour récupérer des infos sur les pages mémoires présentes dans le process). Sinon si tu peux récupérer le chemin vers l'exécutable du processus suspect (via Process Explorer par exemple), t'as plusieurs solutions: - Tu le scannes avec un ou plusieurs antivirus (pas fiable si le binaire est un malware packé avec un packer pas encore connu des AV, si c'est un nouveau malware tout juste sorti ou encore un faux positif) - Tu le fous dans une sandbox qui va te dire en gros quelles opération le binaire fait niveau accès fichier/registres/réseau ce qui est un poil plus informatif qu'une bête analyse par un antivirus. - Tu sors IDA ou OllyDBG et tu analyses toi-même le programme pour déterminer s'il est dangereux ou non (c'est de loin la méthode la plus "difficile", mais d'un autre côté c'est celle qui est la plus enrichissante et qui te fera sûrement progresser). Bref je t'invite à creuser ces pistes, à réfléchir un peu par toi-même, bref à te débrouiller un peu tout seul (c'est comme ça qu'on apprend en fait, ça vient pas tout cuit dans le bec) PS: c'est mon 1337ème message \o/
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-11-2013, 11h57
Message : #7
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 09h46)sakiir a écrit : je ne vois pas comment on peut acceder à la memoire d'un processus en C ^^ Déjà si je ne dis pas de bêtises, il faut que le programme te "laisse faire" Cad que le Malware te laisse lire ses adresses mémoires partagés. (Je me trompe peu être si un barbu est dans le coin pour confirmer ou pas .. ) Ensuite regarde du coté de <sys/shm.h> en C... Tu peu faire des truc vraiment sympa. J'ai déjà codé un tool pour lire dans des adresses mémoires plus ou moins spécifique. Junky. Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
07-11-2013, 12h05
Message : #8
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: [C-HELP] Malware Process Detecting
@Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip.
Après sous les *nix faut passer par ptrace globalement (et parser /proc/<pid>/maps pour avoir les pages allouées par le process)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-11-2013, 12h30
Message : #9
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [C-HELP] Malware Process Detecting
(07-11-2013, 12h05)supersnail a écrit : @Junky: la lecture de la mémoire d'un autre process sous win32 c'est la fete du slip. Merci supersnail pour cette précision. Junky. Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
09-11-2013, 10h32
Message : #10
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: [C-HELP] Malware Process Detecting
Merci Beaucoup !
j'avance grace à vous ! Thanks |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Process windows | skii | 6 | 266 |
26-10-2016, 18h43 Dernier message: skii |
|
IPKiller Malware Reversing | sakiir | 4 | 302 |
23-11-2013, 16h55 Dernier message: sakiir |
|
[C] [Win32] Injection de DLL dans un process avant son initialisation | supersnail | 4 | 397 |
26-03-2013, 23h27 Dernier message: fr0g |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)