Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes
auto-reproductifs.
Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
....
Quand j'emploi le terme de virus, il faut le comprendre dans un sens
large comme restreint (de l'auto-reproduction, au cheval de Troie, en
passant par la bombe logique, vers, lapin, couleuvre, ... ).
Frederic Bonroy wrote in news:bnp28o$136v2r$ 75150.news.uni-berlin.de:
Mais il y a quand-même une portion d'assembleur dans les programmes Visual Basic P-Code, non? Ou bien on parle d'autre chose?
Pas utilisable pour l'analyse. Il y a un "bootstrap" (à moins que tu préfères lacet de botte ;-)) De notre point de vue "désassembleur", c'est non supporté. D'un point de vue architecture, on pourrait supporter, mais on a décidé qu'on ne le ferait pas.
Frederic Bonroy <yorbon@yahoo.fr> wrote in news:bnp28o$136v2r$1@ID-
75150.news.uni-berlin.de:
Mais il y a quand-même une portion d'assembleur dans les programmes
Visual Basic P-Code, non? Ou bien on parle d'autre chose?
Pas utilisable pour l'analyse. Il y a un "bootstrap" (à moins que tu
préfères lacet de botte ;-)) De notre point de vue "désassembleur", c'est
non supporté. D'un point de vue architecture, on pourrait supporter, mais
on a décidé qu'on ne le ferait pas.
Frederic Bonroy wrote in news:bnp28o$136v2r$ 75150.news.uni-berlin.de:
Mais il y a quand-même une portion d'assembleur dans les programmes Visual Basic P-Code, non? Ou bien on parle d'autre chose?
Pas utilisable pour l'analyse. Il y a un "bootstrap" (à moins que tu préfères lacet de botte ;-)) De notre point de vue "désassembleur", c'est non supporté. D'un point de vue architecture, on pourrait supporter, mais on a décidé qu'on ne le ferait pas.
Frederic Bonroy
Pierre Vandevenne wrote:
(à moins que tu préfères lacet de botte ;-))
Grmpf... scrgngrmpf! Hmmmmgrnmhmmm. ;-)
De notre point de vue "désassembleur", c'est non supporté. D'un point de vue architecture, on pourrait supporter, mais on a décidé qu'on ne le ferait pas.
J'ai vu dans je ne sais plus quel numéro de Virus Bulletin un article sur la détection heuristique de vers écrits en VB. Je ne me rappelle plus comment c'était fait, mais je ne me souviens pas y avoir vu une quelconque émulation, si on peut l'appeler ainsi, de P-Code...
Pierre Vandevenne wrote:
(à moins que tu préfères lacet de botte ;-))
Grmpf... scrgngrmpf! Hmmmmgrnmhmmm. ;-)
De notre point de vue "désassembleur", c'est non supporté. D'un point
de vue architecture, on pourrait supporter, mais on a décidé qu'on ne
le ferait pas.
J'ai vu dans je ne sais plus quel numéro de Virus Bulletin un article
sur la détection heuristique de vers écrits en VB. Je ne me rappelle
plus comment c'était fait, mais je ne me souviens pas y avoir vu une
quelconque émulation, si on peut l'appeler ainsi, de P-Code...
De notre point de vue "désassembleur", c'est non supporté. D'un point de vue architecture, on pourrait supporter, mais on a décidé qu'on ne le ferait pas.
J'ai vu dans je ne sais plus quel numéro de Virus Bulletin un article sur la détection heuristique de vers écrits en VB. Je ne me rappelle plus comment c'était fait, mais je ne me souviens pas y avoir vu une quelconque émulation, si on peut l'appeler ainsi, de P-Code...
Pierre Vandevennne
Frederic Bonroy wrote in news:bnpaou$14lgi3$ 75150.news.uni-berlin.de:
plus comment c'était fait, mais je ne me souviens pas y avoir vu une quelconque émulation, si on peut l'appeler ainsi, de P-Code...
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut aller au code 80x86 natif. Devine quelle version utilisent de préférence les auteurs de virus. Gagné, c'est la mini. ;-)
C'est quand même marrant de parler de cela et d'ignorer un truc aussi fondamental, au moins dans les prémisses. Tu es sûr que tu ne l'as pas raté?
Frederic Bonroy <yorbon@yahoo.fr> wrote in news:bnpaou$14lgi3$1@ID-
75150.news.uni-berlin.de:
plus comment c'était fait, mais je ne me souviens pas y avoir vu une
quelconque émulation, si on peut l'appeler ainsi, de P-Code...
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut
aller au code 80x86 natif. Devine quelle version utilisent de préférence
les auteurs de virus. Gagné, c'est la mini. ;-)
Frederic Bonroy wrote in news:bnpaou$14lgi3$ 75150.news.uni-berlin.de:
plus comment c'était fait, mais je ne me souviens pas y avoir vu une quelconque émulation, si on peut l'appeler ainsi, de P-Code...
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut aller au code 80x86 natif. Devine quelle version utilisent de préférence les auteurs de virus. Gagné, c'est la mini. ;-)
C'est quand même marrant de parler de cela et d'ignorer un truc aussi fondamental, au moins dans les prémisses. Tu es sûr que tu ne l'as pas raté?
Frederic Bonroy
Pierre Vandevennne wrote:
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut aller au code 80x86 natif. Devine quelle version utilisent de préférence les auteurs de virus. Gagné, c'est la mini. ;-)
C'est quand même marrant de parler de cela et d'ignorer un truc aussi fondamental, au moins dans les prémisses. Tu es sûr que tu ne l'as pas raté?
Je cherche l'article (où c'est que je vais trouver ça maintenant...).
C'est le Virus Bulletin de janvier 2002. Ça évoque la différence entre le code "normal" et le P-code, mais il n'y a pas d'émulation, juste une analyse de certaines chaînes de caractères qui peuvent servir à déterminer si oui ou non il s'agit d'un ver. Ça se concentre surtout sur la présence de chaînes indiquant que le programme VB fait appel à certaines fonctions d'Outlook (Express).
Pierre Vandevennne wrote:
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut
aller au code 80x86 natif. Devine quelle version utilisent de préférence
les auteurs de virus. Gagné, c'est la mini. ;-)
C'est quand même marrant de parler de cela et d'ignorer un truc aussi
fondamental, au moins dans les prémisses. Tu es sûr que tu ne l'as pas
raté?
Je cherche l'article (où c'est que je vais trouver ça maintenant...).
C'est le Virus Bulletin de janvier 2002. Ça évoque la différence entre
le code "normal" et le P-code, mais il n'y a pas d'émulation, juste une
analyse de certaines chaînes de caractères qui peuvent servir à
déterminer si oui ou non il s'agit d'un ver. Ça se concentre surtout
sur la présence de chaînes indiquant que le programme VB fait appel à
certaines fonctions d'Outlook (Express).
Par défaut, c'est du P-Code. Ce n'est que dans le modèle de luxe qu'on peut aller au code 80x86 natif. Devine quelle version utilisent de préférence les auteurs de virus. Gagné, c'est la mini. ;-)
C'est quand même marrant de parler de cela et d'ignorer un truc aussi fondamental, au moins dans les prémisses. Tu es sûr que tu ne l'as pas raté?
Je cherche l'article (où c'est que je vais trouver ça maintenant...).
C'est le Virus Bulletin de janvier 2002. Ça évoque la différence entre le code "normal" et le P-code, mais il n'y a pas d'émulation, juste une analyse de certaines chaînes de caractères qui peuvent servir à déterminer si oui ou non il s'agit d'un ver. Ça se concentre surtout sur la présence de chaînes indiquant que le programme VB fait appel à certaines fonctions d'Outlook (Express).
