Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes
auto-reproductifs.
Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
....
Quand j'emploi le terme de virus, il faut le comprendre dans un sens
large comme restreint (de l'auto-reproduction, au cheval de Troie, en
passant par la bombe logique, vers, lapin, couleuvre, ... ).
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes auto-reproductifs. Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
Vous analysez des virus en étudiant leur code source - soit à l'aide d'un désassembleur/débogueur pour les virus binaires, soit avec un simple éditeur de texte pour les virus script. Ces outils ne suffiront pas toujours. Je pense notamment aux virus macro chiffrés, mais je ne suis pas trop calé dans ce domaine. Pour suivre les évolutions des virus "mutants" (vous voulez dire polymorphes/métamorphiques?) il vous sera nécessaire d'étudier en profondeur la partie du code qui s'occupe du chiffrement et de la reproduction même. Il vous sera très utile d'essayer de créer plusieurs centaines voire milliers d'exemplaires du même virus afin d'obtenir un genre de tour d'horizon des versions possibles du virus. C'est un travail laborieux car certains virus changent d'apparence lentement, justement pour éviter qu'on puisse obtenir trop de versions différentes en trop peu de temps, ce qui faciliterait le travail des analystes.
A part ça, vous pouvez aussi simplement lancer un virus dans un environnement fermé "hermétiquement" et comparer l'état de l'environnement avant et après exécution. Ça peut être utile.
Quand j'emploi le terme de virus, il faut le comprendre dans un sens large comme restreint (de l'auto-reproduction, au cheval de Troie, en passant par la bombe logique, vers, lapin, couleuvre, ... ).
Lapin? Couleuvre?
Le terme "virus" est souvent employé pour désigner tout programme susceptible de causer des désagréments, mais ce n'est pas sa définition officielle. Il n'y a pas vraiment de définition avec laquelle tout le monde est d'accord, mais au centre il y a toujours la reproduction. Les chevaux de Troie et les bombes logiques ne sont pas des virus, en ce qui concerne les vers on peut en débattre mais à mon avis ils n'en sont pas.
"info@matick.fr" a écrit:
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes
auto-reproductifs.
Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
Vous analysez des virus en étudiant leur code source - soit à l'aide
d'un désassembleur/débogueur pour les virus binaires, soit avec un
simple éditeur de texte pour les virus script. Ces outils ne suffiront
pas toujours. Je pense notamment aux virus macro chiffrés, mais je ne
suis pas trop calé dans ce domaine.
Pour suivre les évolutions des virus "mutants" (vous voulez dire
polymorphes/métamorphiques?) il vous sera nécessaire d'étudier en
profondeur la partie du code qui s'occupe du chiffrement et de la
reproduction même. Il vous sera très utile d'essayer de créer plusieurs
centaines voire milliers d'exemplaires du même virus afin d'obtenir un
genre de tour d'horizon des versions possibles du virus. C'est un
travail laborieux car certains virus changent d'apparence lentement,
justement pour éviter qu'on puisse obtenir trop de versions différentes
en trop peu de temps, ce qui faciliterait le travail des analystes.
A part ça, vous pouvez aussi simplement lancer un virus dans un
environnement fermé "hermétiquement" et comparer l'état de
l'environnement avant et après exécution. Ça peut être utile.
Quand j'emploi le terme de virus, il faut le comprendre dans un sens
large comme restreint (de l'auto-reproduction, au cheval de Troie, en
passant par la bombe logique, vers, lapin, couleuvre, ... ).
Lapin? Couleuvre?
Le terme "virus" est souvent employé pour désigner tout programme
susceptible de causer des désagréments, mais ce n'est pas sa
définition officielle. Il n'y a pas vraiment de définition avec
laquelle tout le monde est d'accord, mais au centre il y a toujours
la reproduction. Les chevaux de Troie et les bombes logiques ne sont
pas des virus, en ce qui concerne les vers on peut en débattre mais
à mon avis ils n'en sont pas.
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes auto-reproductifs. Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
Vous analysez des virus en étudiant leur code source - soit à l'aide d'un désassembleur/débogueur pour les virus binaires, soit avec un simple éditeur de texte pour les virus script. Ces outils ne suffiront pas toujours. Je pense notamment aux virus macro chiffrés, mais je ne suis pas trop calé dans ce domaine. Pour suivre les évolutions des virus "mutants" (vous voulez dire polymorphes/métamorphiques?) il vous sera nécessaire d'étudier en profondeur la partie du code qui s'occupe du chiffrement et de la reproduction même. Il vous sera très utile d'essayer de créer plusieurs centaines voire milliers d'exemplaires du même virus afin d'obtenir un genre de tour d'horizon des versions possibles du virus. C'est un travail laborieux car certains virus changent d'apparence lentement, justement pour éviter qu'on puisse obtenir trop de versions différentes en trop peu de temps, ce qui faciliterait le travail des analystes.
A part ça, vous pouvez aussi simplement lancer un virus dans un environnement fermé "hermétiquement" et comparer l'état de l'environnement avant et après exécution. Ça peut être utile.
Quand j'emploi le terme de virus, il faut le comprendre dans un sens large comme restreint (de l'auto-reproduction, au cheval de Troie, en passant par la bombe logique, vers, lapin, couleuvre, ... ).
Lapin? Couleuvre?
Le terme "virus" est souvent employé pour désigner tout programme susceptible de causer des désagréments, mais ce n'est pas sa définition officielle. Il n'y a pas vraiment de définition avec laquelle tout le monde est d'accord, mais au centre il y a toujours la reproduction. Les chevaux de Troie et les bombes logiques ne sont pas des virus, en ce qui concerne les vers on peut en débattre mais à mon avis ils n'en sont pas.
Misterjack
Bonjour !
a tapoté :
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes auto-reproductifs. Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc .....
Tout d'abord, il y a les requis : - Avoir un bon niveau d'assembleur ; - Connaître le fonctionnement d'une machine ; - Connaître le fonctionnement des OS (DOS, Win, Linux) ; - Maîtriser des languages plus évolués : C, Jscript(?!) ; - Avoir des outils : éditeur, désassembleur, débogueur... ; - Avoir de bonnes documentations : programmation système, OS,... ; - Avoir des virus ; - Avoir un PC (le mac c'est pas souvent utile...).
Ensuite il faut s'informer : - les groupes de "concepteurs de virus" : 29A, DDT... ; - fcsv à une époque ; - certaines personnes compétentes que je vous laisse le soin de trouver par vous-même ; - certains documents en ligne ; - quelques bons bouquins.
Finalement, il faut être curieux et apprendre par soi-même : - Désassembler du code et essayer de le comprendre ; - Imaginer soi-même des algos (de cryptage par exemple) pour mieux comprendre leur fonctionnement général ; - Exécuter du code sur des machines isolées pour vérifier son effet ; - Créer ses propres logiciels d'espionnage de virus ; - Réfléchir pour trouver la suite... ;-).
Premier conseil : ne pas viser trop haut au début !!! Commence par essayer de comprendre intégralement et dans le détail le plus con des virus, c'est déjà bien, et ça oblige à se mettre dans le bain. Après tu passes à un virus un peu moins con et tu montes en gamme tout doucement. Pour les petits virus DOS, essaies absolument de les comprendre intégralement, ça t'aidera pour plus tard.
En vous remerciant.
De rien. Mais n'oublies pas : étudier les virus, les comprendre, les combattre : oui. S'en servir, en créer à des fins malhonnêtes : non !
@+ MJ
-- Mister Jack (MJ) Pour me répondre souriez et cliquez sur "Répondre".
Bonjour !
info@matick.fr a tapoté :
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes
auto-reproductifs.
Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc
.....
Tout d'abord, il y a les requis :
- Avoir un bon niveau d'assembleur ;
- Connaître le fonctionnement d'une machine ;
- Connaître le fonctionnement des OS (DOS, Win, Linux) ;
- Maîtriser des languages plus évolués : C, Jscript(?!) ;
- Avoir des outils : éditeur, désassembleur, débogueur... ;
- Avoir de bonnes documentations : programmation système, OS,... ;
- Avoir des virus ;
- Avoir un PC (le mac c'est pas souvent utile...).
Ensuite il faut s'informer :
- les groupes de "concepteurs de virus" : 29A, DDT... ;
- fcsv à une époque ;
- certaines personnes compétentes que je vous laisse le soin de trouver
par vous-même ;
- certains documents en ligne ;
- quelques bons bouquins.
Finalement, il faut être curieux et apprendre par soi-même :
- Désassembler du code et essayer de le comprendre ;
- Imaginer soi-même des algos (de cryptage par exemple) pour mieux
comprendre leur fonctionnement général ;
- Exécuter du code sur des machines isolées pour vérifier son effet ;
- Créer ses propres logiciels d'espionnage de virus ;
- Réfléchir pour trouver la suite... ;-).
Premier conseil : ne pas viser trop haut au début !!!
Commence par essayer de comprendre intégralement et dans le détail le
plus con des virus, c'est déjà bien, et ça oblige à se mettre dans le bain.
Après tu passes à un virus un peu moins con et tu montes en gamme tout
doucement.
Pour les petits virus DOS, essaies absolument de les comprendre
intégralement, ça t'aidera pour plus tard.
En vous remerciant.
De rien.
Mais n'oublies pas : étudier les virus, les comprendre, les combattre :
oui. S'en servir, en créer à des fins malhonnêtes : non !
@+ MJ
--
Mister Jack (MJ)
Pour me répondre souriez et cliquez sur "Répondre".
Je souhaiterai m'initier à l'étude des virus, c'est-à-dire aux systèmes auto-reproductifs. Comment analyser un virus ? Suivre ses évolutions (système mutant) ? etc .....
Tout d'abord, il y a les requis : - Avoir un bon niveau d'assembleur ; - Connaître le fonctionnement d'une machine ; - Connaître le fonctionnement des OS (DOS, Win, Linux) ; - Maîtriser des languages plus évolués : C, Jscript(?!) ; - Avoir des outils : éditeur, désassembleur, débogueur... ; - Avoir de bonnes documentations : programmation système, OS,... ; - Avoir des virus ; - Avoir un PC (le mac c'est pas souvent utile...).
Ensuite il faut s'informer : - les groupes de "concepteurs de virus" : 29A, DDT... ; - fcsv à une époque ; - certaines personnes compétentes que je vous laisse le soin de trouver par vous-même ; - certains documents en ligne ; - quelques bons bouquins.
Finalement, il faut être curieux et apprendre par soi-même : - Désassembler du code et essayer de le comprendre ; - Imaginer soi-même des algos (de cryptage par exemple) pour mieux comprendre leur fonctionnement général ; - Exécuter du code sur des machines isolées pour vérifier son effet ; - Créer ses propres logiciels d'espionnage de virus ; - Réfléchir pour trouver la suite... ;-).
Premier conseil : ne pas viser trop haut au début !!! Commence par essayer de comprendre intégralement et dans le détail le plus con des virus, c'est déjà bien, et ça oblige à se mettre dans le bain. Après tu passes à un virus un peu moins con et tu montes en gamme tout doucement. Pour les petits virus DOS, essaies absolument de les comprendre intégralement, ça t'aidera pour plus tard.
En vous remerciant.
De rien. Mais n'oublies pas : étudier les virus, les comprendre, les combattre : oui. S'en servir, en créer à des fins malhonnêtes : non !
@+ MJ
-- Mister Jack (MJ) Pour me répondre souriez et cliquez sur "Répondre".
Laurent Wacrenier
Misterjack écrit:
Tout d'abord, il y a les requis : - Avoir un bon niveau d'assembleur ;
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Misterjack <stock@mjcie.info> écrit:
Tout d'abord, il y a les requis :
- Avoir un bon niveau d'assembleur ;
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Beaucoup, oui, mais pas tous. Les connaissance en assembleur sont toujours nécessaires, même pour les virus écrits en VB.
Misterjack
Salut !
Misterjack écrit:
Tout d'abord, il y a les requis : - Avoir un bon niveau d'assembleur ;
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Même pour un virus de 200Ko écrit en basic, il est nécessaire de connaître l'assembleur, car le seul code à disposition est le désassemblage de l'exécutable. OK, si c'est codé en VB, y'a moyen de revenir à du code VB à partir de l'EXE, mais ça nécessite quand même de (très) bonnes connaissances en assembleur dans l'environnement Windows.
@+ MJ
-- Mister Jack (MJ) Pour me répondre souriez et cliquez sur "Répondre".
Salut !
Misterjack <stock@mjcie.info> écrit:
Tout d'abord, il y a les requis :
- Avoir un bon niveau d'assembleur ;
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Même pour un virus de 200Ko écrit en basic, il est nécessaire de
connaître l'assembleur, car le seul code à disposition est le
désassemblage de l'exécutable.
OK, si c'est codé en VB, y'a moyen de revenir à du code VB à partir de
l'EXE, mais ça nécessite quand même de (très) bonnes connaissances en
assembleur dans l'environnement Windows.
@+ MJ
--
Mister Jack (MJ)
Pour me répondre souriez et cliquez sur "Répondre".
Tout d'abord, il y a les requis : - Avoir un bon niveau d'assembleur ;
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Même pour un virus de 200Ko écrit en basic, il est nécessaire de connaître l'assembleur, car le seul code à disposition est le désassemblage de l'exécutable. OK, si c'est codé en VB, y'a moyen de revenir à du code VB à partir de l'EXE, mais ça nécessite quand même de (très) bonnes connaissances en assembleur dans l'environnement Windows.
@+ MJ
-- Mister Jack (MJ) Pour me répondre souriez et cliquez sur "Répondre".
AMcD
Salut !
Laurent Wacrenier wrote:
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Leur désassemblage apparaîtra rarement en langage Basic sur ton écran...
De plus, l'assembleur reste le seul langage avec lequel tu pourras faire faire n'importe quoi à un PC. Il y a plus nul que le Basic, il existe même des "virus" écrits en VBScript. Mai si tu appeles ça des virus...
Les vrais virus sont écrits en assembleur point. Quand tu désassembles, tu obtiens de l'assembleur. Quand tu débuggues, tu travaille en assembleur.
-- AMcD
http://arnold.mcdonald.free.fr/
Salut !
Laurent Wacrenier wrote:
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Leur désassemblage apparaîtra rarement en langage Basic sur ton écran...
De plus, l'assembleur reste le seul langage avec lequel tu pourras faire
faire n'importe quoi à un PC. Il y a plus nul que le Basic, il existe même
des "virus" écrits en VBScript. Mai si tu appeles ça des virus...
Les vrais virus sont écrits en assembleur point. Quand tu désassembles, tu
obtiens de l'assembleur. Quand tu débuggues, tu travaille en assembleur.
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Leur désassemblage apparaîtra rarement en langage Basic sur ton écran...
De plus, l'assembleur reste le seul langage avec lequel tu pourras faire faire n'importe quoi à un PC. Il y a plus nul que le Basic, il existe même des "virus" écrits en VBScript. Mai si tu appeles ça des virus...
Les vrais virus sont écrits en assembleur point. Quand tu désassembles, tu obtiens de l'assembleur. Quand tu débuggues, tu travaille en assembleur.
-- AMcD
http://arnold.mcdonald.free.fr/
Pierre Vandevenne
Frederic Bonroy wrote in news:bnlhem$12v41e$ 75150.news.uni-berlin.de:
Laurent Wacrenier a écrit:
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Beaucoup, oui, mais pas tous. Les connaissance en assembleur sont toujours nécessaires, même pour les virus écrits en VB.
Pas toujours (malheureusement ;-))
Frederic Bonroy <yorbon@yahoo.fr> wrote in news:bnlhem$12v41e$1@ID-
75150.news.uni-berlin.de:
Laurent Wacrenier a écrit:
Mouaf, les virus de nous jours font 200Ko et sont écrits en basic.
Beaucoup, oui, mais pas tous. Les connaissance en assembleur sont
toujours nécessaires, même pour les virus écrits en VB.
Ah oui, pour les VBS et autres ce n'est pas très utile. :-)
(Mais honnêtement: un expert en virus qui ne connaît pas l'assembleur, même s'il passe ses journées sur les VBS, ça ferait tout drôle...)
Pierre Vandevenne
Frederic Bonroy wrote in news:bnom95$1402h0$ 75150.news.uni-berlin.de:
Pierre Vandevenne wrote:
Pas toujours (malheureusement ;-))
Ah oui, pour les VBS et autres ce n'est pas très utile. :-)
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL maintenant).
(Mais honnêtement: un expert en virus qui ne connaît pas l'assembleur, même s'il passe ses journées sur les VBS, ça ferait tout drôle...)
Oui, il y a à ce sujet une évolution assez amusante
pre 1990 - pas vraiment de marché, donc des tas de hobbyistes plus ou moins compétent.
1991-1996 - la profession d'analyste (il y en a qui préfèrent "researcher") de virus, combinée avec le développement de routines de détection spécifiques jouit d'un grand prestige dans l'"industrie". L'operating system des virus sont le DOS et Windows.
1996-2001 - l'ère de l'émulateur, des virus débile en language macro word et éventuellement en VBS. L'operating system des virus sont word, le net et surtout la connerie humaine. L'analyste de virus ne jouit plus d'un grand prestige, j'en connais des tas qui sont très mal payés alors qu'ils sont rappelables 24/24h
2001-200. - réapparition des bestioles plus complexes, l'operating system, c'est toujours le net et la connerie humaine, mais la "Vulnérabilité" fait une entrée en force. Les enjeux et les conséquences sont plus importantes. Le bon analyste retrouve un crédit qu'il n'a plus eu depuis longtemps. Pas de chance, le dollar chute ;-)
Frederic Bonroy <yorbon@yahoo.fr> wrote in news:bnom95$1402h0$2@ID-
75150.news.uni-berlin.de:
Pierre Vandevenne wrote:
Pas toujours (malheureusement ;-))
Ah oui, pour les VBS et autres ce n'est pas très utile. :-)
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est
d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL
maintenant).
(Mais honnêtement: un expert en virus qui ne connaît pas l'assembleur,
même s'il passe ses journées sur les VBS, ça ferait tout drôle...)
Oui, il y a à ce sujet une évolution assez amusante
pre 1990 - pas vraiment de marché, donc des tas de hobbyistes plus ou moins
compétent.
1991-1996 - la profession d'analyste (il y en a qui préfèrent "researcher")
de virus, combinée avec le développement de routines de détection
spécifiques jouit d'un grand prestige dans l'"industrie". L'operating
system des virus sont le DOS et Windows.
1996-2001 - l'ère de l'émulateur, des virus débile en language macro word
et éventuellement en VBS. L'operating system des virus sont word, le net et
surtout la connerie humaine. L'analyste de virus ne jouit plus d'un grand
prestige, j'en connais des tas qui sont très mal payés alors qu'ils sont
rappelables 24/24h
2001-200. - réapparition des bestioles plus complexes, l'operating system,
c'est toujours le net et la connerie humaine, mais la "Vulnérabilité" fait
une entrée en force. Les enjeux et les conséquences sont plus importantes.
Le bon analyste retrouve un crédit qu'il n'a plus eu depuis longtemps. Pas
de chance, le dollar chute ;-)
Frederic Bonroy wrote in news:bnom95$1402h0$ 75150.news.uni-berlin.de:
Pierre Vandevenne wrote:
Pas toujours (malheureusement ;-))
Ah oui, pour les VBS et autres ce n'est pas très utile. :-)
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL maintenant).
(Mais honnêtement: un expert en virus qui ne connaît pas l'assembleur, même s'il passe ses journées sur les VBS, ça ferait tout drôle...)
Oui, il y a à ce sujet une évolution assez amusante
pre 1990 - pas vraiment de marché, donc des tas de hobbyistes plus ou moins compétent.
1991-1996 - la profession d'analyste (il y en a qui préfèrent "researcher") de virus, combinée avec le développement de routines de détection spécifiques jouit d'un grand prestige dans l'"industrie". L'operating system des virus sont le DOS et Windows.
1996-2001 - l'ère de l'émulateur, des virus débile en language macro word et éventuellement en VBS. L'operating system des virus sont word, le net et surtout la connerie humaine. L'analyste de virus ne jouit plus d'un grand prestige, j'en connais des tas qui sont très mal payés alors qu'ils sont rappelables 24/24h
2001-200. - réapparition des bestioles plus complexes, l'operating system, c'est toujours le net et la connerie humaine, mais la "Vulnérabilité" fait une entrée en force. Les enjeux et les conséquences sont plus importantes. Le bon analyste retrouve un crédit qu'il n'a plus eu depuis longtemps. Pas de chance, le dollar chute ;-)
Frederic Bonroy
Pierre Vandevenne wrote:
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL maintenant).
Mais il y a quand-même une portion d'assembleur dans les programmes Visual Basic P-Code, non? Ou bien on parle d'autre chose?
L'operating system des virus sont word, le net et surtout la connerie humaine.
Je m'en souviendrai de cette phrase. :-D
Pierre Vandevenne wrote:
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est
d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL
maintenant).
Mais il y a quand-même une portion d'assembleur dans les programmes
Visual Basic P-Code, non? Ou bien on parle d'autre chose?
L'operating system des virus sont word, le net et surtout la connerie
humaine.
Aussi les EXE. Quand ils sont interprétés en P-Code, l'assembleur n'est d'aucune utilité. Il faut qu'ils soient ciblés "80x386 natif" (ou IL maintenant).
Mais il y a quand-même une portion d'assembleur dans les programmes Visual Basic P-Code, non? Ou bien on parle d'autre chose?
L'operating system des virus sont word, le net et surtout la connerie humaine.
