Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 02-01-2011 15:59:26

darkvik
Nouveau membre
Inscription : 02-01-2011
Messages : 5

rendre un virus indétectable

bonjours/bonsoirs,


c'est mon premier message sur le forum et avant toute chose je tien a vous dire que se forum et génial!!!

bon voila ma question :

j'ai un exécutable (exe) et j'aimerai le crypter ou le binder ou changer sa signature pour qu'il soit indétectable des AV, mais le problème je n'y connais pas grand chose :s

si vous pouviez m'expliquer ou l'indiquer un programme se serai fort apprécier

merci d'avance pour vos réponce

ps : bonne année a tous un peut en retard smile

Dernière modification par darkvik (02-01-2011 16:00:11)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 02-01-2011 23:08:31

Veidam
Membre Indispensable
Lieu : us
Inscription : 11-02-2010
Messages : 530

Re : rendre un virus indétectable

Salut

tu te trompe de forum ici on aide a se protéger d'une attaque pas a les promouvoir crypter un exe n'est pas notre terrains de jeu on en a parler c'est vraie mais nous n'aidons pas ce genre de chose ici

merci

Hors Ligne

#3 03-01-2011 11:13:34

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

Pourqoi le crypter darkvid?

Contente toi de virer les signature et de le "reconstruire" a ta manière wink fais gaffe a avira il est traitre sinon google et ton pote smile

Hors Ligne

#4 03-01-2011 14:27:42

darkvik
Nouveau membre
Inscription : 02-01-2011
Messages : 5

Re : rendre un virus indétectable

veidam, désolés d'avoir écrit sa ici alors mais vu les autre message j'ai cru que vous m'aideriez encore désoles

koala, merci de ta réponse je vais pencher sur se sujet aurais tu un lien qui pourrais m'aider a apprendre stp merci beaucoup

Dernière modification par darkvik (03-01-2011 14:42:52)

Hors Ligne

#5 03-01-2011 17:42:42

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : rendre un virus indétectable

Vu l'intitulé de la section je ne vois pas pourquoi on ne te répondrait pas ou alors il faut que l'on m'explique pourquoi (sans vouloir polémique svp) au cas ou quelque chose m'a échappé dans l'histoire .

En revanche ne sachant pas ce que contenait ton message avant d'être édité, ni qu'elles sont tes motivations, je vais rester vague et te donner la voie à suivre dans les grandes lignes (sachant que les tutos foisonnent sur le net) , à toi de faire le reste après.

J'aborderais la solution qui consiste à invalider la signature d'un exe en la modifiant, comme te l'a suggéré Koala.

Le principe de cette méthode est de trouver l'endroit (le ou les octets en fait) exact(s) ou se trouve la signature de ton exe afin de pouvoir travailler dessus.

Pour se faire il suffit d'utiliser un désassembleur, et de procéder par élimination pour modifier ensuite celle ci avec un éditeur.

Tu en trouveras plein qui puissent faire l'affaire selon la plate forme que tu utilises.

Commence par bosser sur une copie de ton exe smile.

On va faire simple, il te faut commencer par découper ton fichier en plusieurs partie disons 1000. (les chiffres sont à titre d'exemple)
Ensuite tu scan les parties, découpées, si ton antivirus t'indique qu'il détecte un ou plusieurs trucs pas propres disons à partir de la 500 ème partie , tu sais alors que les 500 premières sont propres.

Tu recommences alors l'opération en splitant à nouveau les 500 dernières parties en disons 200 parties tu rescan et si ton antivirus t'indique un truc pas propre à partir de 100 tu sais que les 100 première sont propres etc etc....
Tu réduis le nombre de splits à chaque fois et tu réitères l'opération jusqu'à ce que tu trouves (je préfère dire isole) le ou les octets qui contiennent la signature.

Une fois que tu as trouvé isolé l'octet exact ou se trouve la signature, il faut utiliser un éditeur hexadécimal éditer le fichier original et modifier l'octet (travailler sur l'offset) ou se trouve la signature.

Si la valeur est chiffrée tu la remplace par deux 0, si elle est déjà de deux 0 alors il faut la remplacer par un F ce qui la fera passer à 46 je crois.
Une fois fait, tu sauvegardes les modifs et il devrait devenir indétectable (en espérant que cela n'altère pas son fonctionnement).

Alors bien sur mon explication souffre de certains raccourcis expéditifs, c'est juste pour te donner le principe, ça fait longtemps que je n'ai plus fait ce genre de manipulation.

Pour les tools je rappel que tu n'as besoin que de trois fois rien, un simple désassembleur et d'un éditeur hexadécimal, c'est pas très dur à trouver.

Et  pour te lancer un petit tuto vidéo serait pas mal, tu en trouveras facilement sur youtube par exemple et (ou) en ciblant tes recherches sur Google en fonction des informations que je t'ai donné. Tu peux trouver ton bonheur en deux minutes.

Bon courage.

Dernière modification par noireaude (03-01-2011 18:22:49)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#6 03-01-2011 18:45:48

darkvik
Nouveau membre
Inscription : 02-01-2011
Messages : 5

Re : rendre un virus indétectable

Noireaude....je c'est pas trop quoi répondre a par MERCI

1 dernière petite chose, mon exe fait 1,50mo... découper en 1000 c'est beaucoup non....

en tout cas tu ma bien aider merci beaucoup

Hors Ligne

#7 03-01-2011 19:11:56

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : rendre un virus indétectable

De rien wink

Comme je l'ai écris les chiffres sont un exemple, tu adaptes comme tu veux et en fonction du poids de ton exe bien sur.

Tu split ton exe de manière à pas avoir trop de parties au début pour un travail plus confortable.
Le nombre "importe" peu en fait, sachant quand même qu'au final le travail va (doit) se faire sur un seul octet (dès fois plus) .

La finalité reste de spliter ton archive jusqu'à ce que tu puisse le faire avec des parties d'un octet chacune pour cibler le bon à l'aide de ton antivirus.

Dernière modification par noireaude (03-01-2011 19:33:26)


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#8 03-01-2011 19:28:48

darkvik
Nouveau membre
Inscription : 02-01-2011
Messages : 5

Re : rendre un virus indétectable

merci je m'y met tout de suite smile

Hors Ligne

#9 03-01-2011 20:41:51

Veidam
Membre Indispensable
Lieu : us
Inscription : 11-02-2010
Messages : 530

Re : rendre un virus indétectable

Désolé d'avoir été "sec"

j'ai pas de juste milieux wink

Hors Ligne

#10 03-01-2011 20:49:49

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

Je sais pas quel programme tu veux modifier mais avira contient des fois 2 signatures,une dans le PE et une dans le reste du prog,evite de toucher a celle du PE avec un éditeur héxadécimal pour ça je te conseil ollydbg qui et a mon gout un bel outil smile mais la il te faudra des connaissances en ASM,bonne chance big_smile

Hors Ligne

#11 03-01-2011 22:25:50

Veidam
Membre Indispensable
Lieu : us
Inscription : 11-02-2010
Messages : 530

Re : rendre un virus indétectable

error 404

Dernière modification par Veidam (04-01-2011 12:07:44)

Hors Ligne

#12 04-01-2011 11:51:00

Null
Nouveau membre
Inscription : 04-01-2011
Messages : 6

Re : rendre un virus indétectable

Ce que tu peux faire, c'est un exécutable qui se déchiffre tout seul en mémoire.

En gros, faut qu'à l'entry point, il y ait une routine qui déchiffre tout le reste de sa portion de code via un XOR par exemple (on s'en fiche de la robustesse du chiffrement là). Du coup, le binaire n'aura que l'entête PE et l'entry point plus la routine en clair. Après, ça ne résisterait pas à une analyse en mémoire à chaud, une fois le tout déchiffré, mais bon.

Jamais testé, mais ce doit être faisable.

Hors Ligne

#13 04-01-2011 13:41:38

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

(on s'en fiche de la robustesse du chiffrement là)

La dessus je ne suis pas d'accord,je pense que sa passera les petit AV mais les avast,avira et compagnie,si c'est mal fait le verront illico.Faire tout a la "main" c'est long mais efficace et instructif un bon editeur hexa sous la main,des outils comme ollydbg et l'aide de novirusthanks ou virustotal pour cerner les signatures et c'est déja un bon début(quand tu vois que t'approche du but tu testes avec ton propre antivirus et tu l'envois pas en ligne).Bon on va pas tous lui souffler non plus wink

Hors Ligne

#14 04-01-2011 23:49:51

Squaks
Membre Irremplaçable
Inscription : 18-06-2009
Messages : 974

Re : rendre un virus indétectable

En faites pour la technique qui consiste a splitter l'exe pour trouver la signature, tu le coupe en deux et tu scan les deux partie. Tu prend la partie qui est encore détectée et tu recommence l'opération jusqu'à réussir  à isoler la signature (souvent 1 ou 2 bytes).

(J'ai souvent vu l'erreur donc je post ça pour la culture personnelle : 1 octet = 1 byte = 8bits) wink


Sharkoff

Hors Ligne

#15 05-01-2011 00:37:30

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

On ta maché le travail si avec tous sa t'y arrive pas il y a un soucis lol

Hors Ligne

#16 05-01-2011 10:56:54

Null
Nouveau membre
Inscription : 04-01-2011
Messages : 6

Re : rendre un virus indétectable

koala a écrit :
(on s'en fiche de la robustesse du chiffrement là)

La dessus je ne suis pas d'accord,je pense que sa passera les petit AV mais les avast,avira et compagnie,si c'est mal fait le verront illico.Faire tout a la "main" c'est long mais efficace et instructif un bon editeur hexa sous la main,des outils comme ollydbg et l'aide de novirusthanks ou virustotal pour cerner les signatures et c'est déja un bon début(quand tu vois que t'approche du but tu testes avec ton propre antivirus et tu l'envois pas en ligne).Bon on va pas tous lui souffler non plus wink

Euuuh, pour casser un chiffrement via un XOR avec une clé qui fait quelques dizaines de bytes (une passphrase simple suffit), c'est quand même coton (hormis portions de codes où tout est à NULL), ou texte clair.

Après, okay, une routine de déchiffrement est identifiable, certes, mais faut tout de même analyser tout le code du binaire (au cas où cette routine serait stockée ailleurs), ce qui reste quand même un peu longuet. Et en obfusquant un peu cette routine, je pense qu'il doit y avoir moyen de passer à travers les mailles du filet assez aisément pour une analyse "à froid". Après, une analyse en mémoire, en stockant la routine dans une portion du tas rendue exécutable (moins susceptible d'être analysée), c'est probablement faisable aussi.

Du reste, je ne parle bien évidemment pas des cas "script-kiddie-like" où on utiliserait un super "prorate de la mor paske jé 10 an pour hécké ma kopine ké tro une enfouaré davoir mi le dérnié kaspeurskaille" smile. Nah, je parle de coder son propre tool, ou d'éditer le code source d'un autre outil.

Hors Ligne

#17 05-01-2011 12:31:59

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

Il va te falloir de la patience

Hors Ligne

#18 05-01-2011 12:49:55

Null
Nouveau membre
Inscription : 04-01-2011
Messages : 6

Re : rendre un virus indétectable

koala a écrit :

Il va te falloir de la patience

Comment ça?

Hors Ligne

#19 05-01-2011 13:20:18

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

pour ça wink

je parle de coder son propre tool

Hors Ligne

#20 05-01-2011 13:30:31

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : rendre un virus indétectable

Le principe de base c'est de remplacer la code formant la signature par du code qui fait la meme chose, mais avec des codes differents.

Apres l'ideal, c'est de ne pas avoir un nouveau code superieur a l'ancien sinon tu va devoir devoir effectivement trouver un emplacement vide pour y poser ton code supplementaire. C'est pas necessaires. Deplacer l'OEP, n'est pas necessaire non plus a mon avis.

Apres tout ceci n'est valable que pour les AV qui ne tournent qu'avec de la detection par signature, pour tout ce qui est heuristique ca risque de pas suffire et c'est la que sa devient un art smile

Hors Ligne

#21 05-01-2011 15:05:57

Null
Nouveau membre
Inscription : 04-01-2011
Messages : 6

Re : rendre un virus indétectable

Bah en éditant le PE et en déplaçant l'entry point sur une routine qui déchiffre tout le reste du binaire, stockée dans une nouvelle section de code, ça pourrait être funky d'ailleurs... Faudrait que j'voie si oon peut automatiser ça, tiens smile.

Hors Ligne

#22 05-01-2011 16:48:54

Squaks
Membre Irremplaçable
Inscription : 18-06-2009
Messages : 974

Re : rendre un virus indétectable

Tu peux facilement automatiser tout ca :

Récupération de l'adresse de point d'entrée (Entry point)
Encodage du code exécutable avec le xor qui est le plus simple (attention: un exécutable contient des headers qui ne doivent pas être crypté !)
Écriture de la routine de décodage à la fin du fichier, on récupère l'offset
Remplacement de l'ancien point d'entrée par l'offset de la routine

Ce sont les grandes lignes pour te donner l'idée générale du tool que tu veux coder wink


Sharkoff

Hors Ligne

#23 05-01-2011 16:54:38

darkvik
Nouveau membre
Inscription : 02-01-2011
Messages : 5

Re : rendre un virus indétectable

merci mais j'ai déjà réussi grâce a l'aide de noiraude.

mais sa peut servir merci

Dernière modification par darkvik (05-01-2011 16:54:52)

Hors Ligne

#24 05-01-2011 17:49:09

Squaks
Membre Irremplaçable
Inscription : 18-06-2009
Messages : 974

Re : rendre un virus indétectable

Tu as coder un tool ? Parce que si c'est le cas : ca m'intéresse big_smile


Sharkoff

Hors Ligne

#25 05-01-2011 17:53:23

Null
Nouveau membre
Inscription : 04-01-2011
Messages : 6

Re : rendre un virus indétectable

Squaks : j'vais m'y plonger un de ces 4 quand j'aurai le temps. Hier j'ai jeté un oeil à chiffrer une unique fonction, c'est pas très compliqué en fait. Faut juste que je me plonge un peu plus dans le PE tout ça, et ça, c'est relou smile

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
4 252 20-10-2016 10:57:27 par Bonami2
5 4512 16-03-2015 15:04:11 par romeoandjuliet
4 2228 05-10-2014 14:05:47 par spawn
[Aircrack-ng] Anti-virus issues and open letter to Anti-virus par [email protected] (Mister_X)
1 2247 20-06-2014 17:05:23 par M1ck3y
6 1175 05-03-2014 01:55:29 par ccmp

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.058 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]