ASTUCES-INFOS PRATIQUES WINDOWS
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
ASTUCES-INFOS PRATIQUES WINDOWS

tutoriels et astuces windows
 
AccueilAccueil  PortailPortail  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  ConnexionConnexion  
-29%
Le deal à ne pas rater :
PC portable Gamer ERAZER DEPUTY P60 – 15,6” FHD 144Hz – i7-12è ...
999.99 € 1399.99 €
Voir le deal

 

 Signature des trojans

Aller en bas 
AuteurMessage
nikola
Rang: Administrateur
nikola


Nombre de messages : 410
Localisation : region parisienne 92
Date d'inscription : 16/12/2004

Signature des trojans Empty
MessageSujet: Signature des trojans   Signature des trojans EmptyMar 8 Mar à 11:04

Comment intercepter la signature d'un virus et la changer...

Tout d'abord, Qu est ce une signature ???
Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus.

A quoi peut servir de connaitre ces signatures ?
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.
------------------------------
Vous aurez besoin de :
-AVPOFFSET
-Kaspersky (installer sur votre ordinateur)
-Hexiwin (www.telecharger.com), ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...)
------------------------------
Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :

" AVPOFFSET SERVER.EXE "

Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:

SERVER.EXE infected: backdoor xxxxxx

Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)

Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)

Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN.
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.

Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)

Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices

Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.
------------------------------
Étudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :

8D45F8

Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)

Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...anime
Revenir en haut Aller en bas
http://www.keskia.forumactif.com
 
Signature des trojans
Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
ASTUCES-INFOS PRATIQUES WINDOWS :: INFORMATIQUE PRATIQUE :: VIRUS / SECURITE-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser