Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 02-02-2011 23:16:16

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 314

Conseils pour modifier un exe

Bonsoir wink

Je pense que vous vous demandez comment rendre un fichier indetectable et fonctionnel?

J'aurais aimé vous faire un tuto mais il n'y a pas de tuto unique, tous depend de ce que vous voulez modifier et des différentes manières de le faire.

Je vais donc tenter de vous faire part de quelque conseils qui pourront peut-etre vous etre utile en fonctions de ma manière de faire (il y en surement d'autre mieux car j'apprends doucement dans ce domaine) roll

Pour combattre son ennemi il faut savoir le connaitre, donc il faut savoir qu'un antivirus compte 3 mode d'analyse:

la signature,  l'antivirus cherche un octet qui lui et propre
l'heuristique, qui analyse la bonne intégrité du fichier
action suspecte, qui surveille le programme en cours d'éxécution

Passons a la pratique maintenant:

Ce qu'il faut avoir:

editeur héxa
lord PE
win32dasm ou ollydbg

et un peu de flaire aussi smile

N'écoutez pas les tutos bidon ou faut remplacer la signature par 00 ou 46,le but c'est de découper le fichier en plusieurs morceaux, oui mais attention ne coupez pas trop sinon la detection heuristique vous affichera le fichier detectable alors que la signature et peut etre dans la partie que vous avez coupé.Munissez vous d'un editeur héxa et coupez donc par petit morceaux quitte a prendre du temps.Admettons maintenant que vous coupez une partie (5000 octets disons) et que vous etes content car le prog et pas détecté,vous recoupez ensuite 2500 octets pour voir quel partie et infecté, et la vous vous apercevez que les 2 sont detecté, OUPS big_smile  cela signifie juste la présence d'une double signature a vous de retrécir doucement la zone de recherche sur les 5000 afin de trouver l'emplacement d'une signature, puis de l'autre, sur les prog que j'ai vu les doubles signatures ont le meme code héxa ce qui peut donner une idée pour retrouver la seconde.

Les doubles signatures sont trompeuses méfiez en vous,je suis moi meme tombé dans le panneau plusieurs fois.

Chaque programme est différent il n'y aura peut-etre tous simplement pas de double signature mais une longue signature sur plusieurs octets.Et contrairement a la double signature ou il et des fois possible de la remplacer par un equivalent, la longue signature signifie en général qu'il va faloir mettre le nez dans l'asm.

Si vous modifier une signature pensez bien que vous modifier des fonctions du programme et donc du code asm.Il faut délimiter la signature et prendre en compte les fonctions d'avant la signature,les fonction du code de la signature, et les fonctions après la signature.C'est comme une chaine ou il faudrait changer un maillon.Une longue signature peut se repérée avec le meme code héxa au début qu'a la fin(encore une fois tous dépend du programme), disons que le code héxa et AB ça pourrait donner:
AB B2 47 53 74 75 AB ....

Bon c'est bien jolie mais je fais comment quand je suis sur d'avoir mis la main sur la signature?

C'est la que ollydbg et lord PE vont intervenir.

Un code asm c'est rempli d'instruction(sauts,appel d'une autre valeur,pile etc....)

Le but la c'est de rendre la valeur asm nul ou équivalente a la valeur asm original,il faut toujours tenter de remplaçer ce code par un code qui pese moin lourd c'est a dire inférieur et si vraiment vous ne pouvez pas vous faites un sauts vers l'espace non utiliser du programme(visible plus bas avec un désassembleur)vous y mettez vos valeur de remplaçement et hop un retour a l'endroit d'ou vous ete parti.

Conçernant avira c'est assez spécial car il utilise le PE pour posé une d ses 2 signatures (d'ou l'importance d'avoir lord PE ou ollydbg sous la main).

ATTENTION avira ne fait pas sa sur tous les programmes.Voici l'exemple de scan sur novirusthank pour un wireless key viewer de nirsoft ou avira n'est pas dans le PE, la preuve en coupant juste quelque octets en dehors du PE:
novirusthanks



J'èspère que ces petits conseils vous auront été utile, je ne connais pas de méthode miracle mais je tenais a vous faire partager certaines de mes connaissances dans mon apprentissage loin d'etre fini roll

Une petite recherche suplémentaire sur internet et vous aurez toute les cartes en main pour bypass des A.V wink

Dernière modification par koala (02-02-2011 23:20:24)

En Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 03-02-2011 03:56:14

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Conseils pour modifier un exe

Salut Koala,   

    Il y a longtemps je me suis casser les dents sur des méthodes que tu viens de décrire, et tout ça n'est que superficiel. J'avoue que c'est un travail de longue haleine pour échapper seulement à quatre ou cinq anti-virus hmm mais jouer au jeu d’échec avec tous ces Avs permet de comprendre, et c’est ça le but. Je pense que Veidam a fait beaucoup de progrès dans ce sens et j'en profite pour le féliciter. Je tiens à préciser que Virus Total aussi bien que Novirusthanks ( je préfère ce dernier) se comportent de manière bizarre. En scannant un meterpreter bien crypté, Kaspersky ne le détecte pas, alors que sur un pc test équipé de Kaspersky, celui-ci le détecte ! ça je n'arrive pas à expliquer, à moins que ce soit un leurre, mais je ne suis pas du tout sur.

Hors Ligne

#3 03-02-2011 07:43:17

hihihi17
Membre
Inscription : 31-01-2011
Messages : 12

Re : Conseils pour modifier un exe

@Fuji novirusthanks n'est pas toujours a jour, j'ai des problemes avec aussi, par contre virustotal l'est normalment. mais comme on sait virustotal refourgue les fichiers aux antivirus..

sinon il y a aussi: filterbit, viruschief (qui semblent a jour)

pour etre vraiment sur tu n'a qu'a telechargé une version de l'antivirus en essai (dans une vm par ex. pour pouvoir le virer par la suite)et updaté o moins t'es sur que ca fonctionne(ce que je fait perso).

Dernière modification par hihihi17 (03-02-2011 07:55:01)

Hors Ligne

#4 03-02-2011 13:22:08

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 314

Re : Conseils pour modifier un exe

Perso j'utilise virustotal pour "dégrossir" mon exe et novirusthank pour vérifier le tous après l'avoir scanné avec mon av.

En tous cas c'est clair que veidam et maitre dans l'art smile

En Ligne

#5 03-02-2011 13:38:24

hihihi17
Membre
Inscription : 31-01-2011
Messages : 12

Re : Conseils pour modifier un exe

@koala tu devrai eviter virustotal, enfin c un conseil, sauf si ca te derange pas que tout les av sur virustotal ai la copie de ton fichier.. cela dit il est a jour generalement contrairement a nvt, mais qui lui, permet de ne pas envoyer la copie du fichier en cochant la case en bas " dont distribute the sample"

trouvé sur un forum en anglais, jai pas trouvé la reference sur le site.

There is always at least one guy that uploads your file to virustotal. And virustotal distribute your sample to antivirus companies and get it detected faster.

Dernière modification par hihihi17 (03-02-2011 13:41:06)

Hors Ligne

#6 03-02-2011 13:42:51

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 314

Re : Conseils pour modifier un exe

Oui en effet mais tkt pas, virustotal me sers juste a délimiter une large zone, pour finir je continue sans virustotal wink sa serait dommage d'avoir pris du temps pour que le fichier soit detect pratiquement de suite je te l'accorde.

En Ligne

#7 03-02-2011 13:43:49

hihihi17
Membre
Inscription : 31-01-2011
Messages : 12

Re : Conseils pour modifier un exe

oui exact c un peu ruiner tout le travail.. meme si virustotal est a jour et nvt ne le semble pas trop

Hors Ligne

#8 03-02-2011 13:53:01

hihihi17
Membre
Inscription : 31-01-2011
Messages : 12

Re : Conseils pour modifier un exe

pour exmple NVT ne detectai pas un de mes fichier avec VBA32 alors que virustotal le detectai bien et l'antivirus lui meme que javé telechargé sur mon pc le detectai aussi.

on dirait kil es plus a jour sur les antivirus les plus utilisé comme antivir ou avg .. jen c rien, mais nvt pas fiable a 100% pour la detection

et virustotal refourgue la copie du fichier a tout les AV donc c pas super si tu veux faire un programme qui rest FUD :-p

v bouffé a +

Dernière modification par hihihi17 (03-02-2011 13:56:39)

Hors Ligne

#9 04-02-2011 02:46:05

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Conseils pour modifier un exe

Merci pour l'info Hihihi, il est clair que ce n'est pas évident de penser que Novirusthanks qui est en ligne et que tout le monde s'en sert, aie du retard de mise à jour. Mais est-ce que tu sais si Filterbit et Viruschief ne vont pas vendre la mèche comme le fais Virustotal, car j'ai jeté un coup d’œil et j'ai pas trouvé "Do not distribute the sample" comme pour Novirusthanks.

Hors Ligne

#10 04-02-2011 07:13:36

hihihi17
Membre
Inscription : 31-01-2011
Messages : 12

Re : Conseils pour modifier un exe

je sais que viruschief ne file pas les fichiers, je pense qu'ils ne le font pas c marqué dans les termes.

http://www.viruschief.com/about.html

- File deletion after the scan-report was generated

par contre ils scanne que avec 6 Av : Antivir, ArcaVir,AVG, BitDefender, VirusBlokAda32, VirusBuster.. mais semble a jour, a coté il y a les versions des updates.

pour filterbit je crois qu'ils gardent les fichiers, pas sur ils le precise pas.. plutot a eviter en fait..

jai un peu cherché tout les scanners multi en ligne et finalement les 2 seuls qui envoi pas les fichiers et qui semblent valable c NVT et viruschief.

EDIT: pour l'anecdote, une fois j'ai envoyé un meterpreter sur virustotal, sans me douter de ce qui va suivre, et 2 minute aprés je me retrouve pas avec un shell sur un pc americain?? le mec avait ouvert mon fichier avec sandboxie(et oui un meterpreter bypass sandboxie :-D), javai eu le temps de faire un screenshot de son ecran lol, c bien la preuve qu'ils gardent les fichiers(surement pour les analyser..), veridique en +

[blague on]donc si vous voulez un shell sur un pc, uploadez un meterpreter sur virustotal et attendez qu'un de leur employés ouvre le fichier ^^'[/off]

Dernière modification par hihihi17 (04-02-2011 07:40:23)

Hors Ligne

#11 04-02-2011 12:48:15

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 314

Re : Conseils pour modifier un exe

Il est vrai que nvt n'est pas forcement a jour mais bon entre envoyez un fichier durement travailler a nvt ou virus total le choix et vite fait smile

En Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.025 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]