Débuter en analyse de malwares
|
07-11-2013, 10h49
(Modification du message : 07-11-2013, 20h18 par supersnail.)
Message : #1
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
Débuter en analyse de malwares
Introduction
Ce (court) article a pour but de répondre à beaucoup de questions que se posent la plupart des débutants en reverse-engineering lorsqu'ils souhaitent commencer à analyser des malwares. Ce n'est cependant PAS un tutoriel sur l'analyse de malwares, il s'agit plûtot d'un guide présentant les différents outils disponibles, des papers pouvant vous faire progresser (à condition de travailler et de faire l'effort d'essayer de comprendre ces papers) et quelques conseils. Il faut tout d'abord savoir que se lancer dans l'analyse de malwares est "difficile", peu de ressources existent pour aider les débutants, et surtout il faut de bonnes connaissances en reverse-engineering, qui est donc un prérequis pour se lancer dans l'analyse de malwares (si vous êtes juste capable de nopper un saut conditionnel, n'espérez pas vous lancer dans l'analyse de malwares maintenant). Quelques conseils en vrac Tout d'abord, le meilleur moyen de progresser est de s'entraîner (le RE de malwares, c'est comme le sport, c'est en s'entraînant beaucoup qu'on devient champion du monde ), et donc ne pas hésiter à se confronter à un malware "difficile", même si on y comprend rien au début: l'essentiel c'est de voir du code, essayer d'en comprendre quelques bouts pour petit à petit comprendre plus de code. N'hésitez pas à lire plusieurs analyses déjà faites de malwares, afin de mieux comprendre les méthodes utilisées et mieux les appliquer. Enfin si jamais vous vous faites infecter par un malware malencontreusement (en naviguant sur un site par exemple), essayez de l'étudier et comprendre son fonctionnement. Cependant, il faut prendre quelques précautions avant de se lancer dans le RE de malwares. Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée). La meilleure solution (mais coûteuse) serait d'utiliser une machine dédiée (de préférence déconnectée du réseau pour éviter la propagation de vers). Un autre bon compromis est d'utiliser une machine virtuelle (c'est-à -dire un "ordinateur" tournant à l'intérieur de l'ordinateur de travail), la plupart des PC récents étant assez performants pour faire tourner 2 systèmes à la fois. Vous devrez cependant installer une copie de Windows afin de pouvoir l'utiliser. Parmi les solutions de virtualisation, les plus connues sont VirtualBox ou VMWare. Une autre bon conseil est d'apprendre à unpacker des malwares et s'y entraîner, étant donné que la plupart des malwares sont "packés", ceci afin de réduire les chances d'être détectés par les antivirus. Où trouver des malwares ? La réponse la plus simple ici est "dans la nature", c'est-à -dire sur ce que le commun des mortels appelle "sites douteux" (pr0n, warez, etc...). Cependant il existe plusieurs sites/communautés qui mettent à disposition des malwares pour être étudiés, dont voici quelques liens ci-dessous:
Liens utiles Désassembleurs/Débuggeurs
Plugins OllyDBG v1.10
Analyses de malwares et papers
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-11-2013, 20h13
Message : #2
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: Débuter en analyse de malwares
Citation :Cependant, il faut cependantsi je eux me permettre ^^ ahah meme si mon orthographe et autres compétences litteral sont pourrav' :p Si non j'adore c'est exactement le genre de chose que je cherche ! je te remercie beaucoup à plus et +1 |
|
07-11-2013, 20h15
Message : #3
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Débuter en analyse de malwares
Merci, c'est corrigé
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-11-2013, 20h58
Message : #4
|
|
0pc0deFR Non-enregistré |
RE: Débuter en analyse de malwares
Je crois que j'ai déjà vu ça quelque part. Real-ASM peut être?
Il est possible d'utiliser des outils de virtualisation, hyperviseurs, type ESXi de chez VMWare ou XenServer de chez Citrix (totalement gratuit et open-source [c'est le support technique qui est payant si le forum ne suffit pas]), ou encore Proxmox qui n'est pas mal non plus. A savoir, ESXi s'installe sur une clé USB (c'est mon cas). |
|
07-11-2013, 21h02
Message : #5
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Débuter en analyse de malwares
@0pc0deFR: yep c'est une version légèrement modifiée de celle que j'avais postée sur le wiki de real-asm
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
07-11-2013, 23h23
Message : #6
|
|
Horgh
Membre actif Messages : 197 Sujets : 4 Points: 91 Inscription : Mar 2012 |
RE: Débuter en analyse de malwares
Citation :Analyser un malware directement sur sa machine de travail est une hérésie (rendre son poste de travail inutilisable parce qu'on s'est auto-infecté n'est pas réellement une bonne idée)Je n'irais pas jusqu'à l'hérésie, soit clément avec les flemmards comme moi s'il te plait :'( Nan en vrai, je reconnais que c'est mal, c'est chiant de devoir virer des rootkits de son windows 7. Citation :OllyDBG v2.0: version qui supporte win7 64 bits, mais plus instable (encore en développement) et incompatible avec les plugins de la v1.10.Pas d'accord. Depuis les dernières versions il y a bien plus de plugins et la stabilté s'est grandement accrue. La preuve en est que Oleh a commencé à bosser sur la v2 x64 Sinon, gj |
|
07-11-2013, 23h26
Message : #7
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Débuter en analyse de malwares
Faudrait que je reteste alors :') (y'a quelques mois encore c'était trop instable à mon goût :])
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Débuter en reverse engeneering. | ark | 15 | 1,321 |
22-03-2018, 03h50 Dernier message: ThomasBr |
|
Débuter en reverse engineering avec 0$ | 0x41 | 9 | 611 |
14-09-2012, 19h55 Dernier message: LR-6 |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)