Vous pouvez télécharger ici:
http://www.antivir.de/download/download.htm
(au bas de la page) une version beta et ligne de commande d'AntiVir avec
détection heuristique.
Elle s'appelle "AntiVir LEXA (heuristical spectral analyser)".
Attention, ça fonctionne uniquement sous NT/2000/XP.
Tapez
avnt chemin -v -s -allfiles -heuristics
J'ai été très surpris par ses performances, notamment dans les cas suivants:
Sans doute à une boucle de decryptage brute force non ?
Il peut penser à plusieurs choses. Une boucle de décryptage comme le virus Crypto tu veux dire ? C'est possible oui. vu le nombre dans ECX.
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Nicolas Brulez
Et voici la première partie du code:
//******************** Program Entry Point ******** :00401000 680C73B00F push 0FB0730C :00401005 E8FB0F0000 call 00402005 :0040100A FFD0 call eax :0040100C 96 xchg eax,esi :0040100D B420 mov ah, 20 :0040100F AC lodsb [...]
Oui c'est le droppeur. C'est pour ca qu'il est détecté. Il n'est pas crypté ni rien :)
Suivi par encore un bon nombre d'instructions, principalement des séries de deux, trois push imm32 suivis de call. Mais il n'y a rien d'intéressant. On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment. 402005 est peut etre un des moteurs de Zmist. Comme il s'agit du droppeur, je ne vois pas l'interet de l'EPO ici.
Hmmm... ça ne devrait pas poser de problèmes à un émulateur normalement.
Oui, sauf que les émulateurs dans les virus sont utilisés en général pour decrypter les layers des virus poly ou simplement cryptés. Ils sont guidés par le fichier de définition du virus. Ya pas grand chose de vraiment générique en fait. Ils ne vont pas émuler tous un programme / virus à chaque fois. cela prends trop de temps. Donc en théorie, oui leurs émulateurs le supportent, mais comme ils n'émulent que trés rarement ce genre de chose, a moins que l'on leur demande.. ca leur fait une belle jambe..
C'est sans doute pour ça que c'est si rapide. Mais comme ça a l'air de fonctionner, pourquoi s'en priver... Tout à fait.
Cela permet de détecter la majorité des vers / backdoors sans grands interêts.
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Et voici la première partie du code:
//******************** Program Entry Point ********
:00401000 680C73B00F push 0FB0730C
:00401005 E8FB0F0000 call 00402005
:0040100A FFD0 call eax
:0040100C 96 xchg eax,esi
:0040100D B420 mov ah, 20
:0040100F AC lodsb
[...]
Oui c'est le droppeur.
C'est pour ca qu'il est détecté. Il n'est pas crypté ni rien :)
Suivi par encore un bon nombre d'instructions, principalement des séries
de deux, trois push imm32 suivis de call. Mais il n'y a rien d'intéressant.
On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment.
402005 est peut etre un des moteurs de Zmist. Comme il s'agit du
droppeur, je ne vois pas l'interet de l'EPO ici.
Hmmm... ça ne devrait pas poser de problèmes à un émulateur normalement.
Oui, sauf que les émulateurs dans les virus sont utilisés en général
pour decrypter les layers des virus poly ou simplement cryptés.
Ils sont guidés par le fichier de définition du virus.
Ya pas grand chose de vraiment générique en fait.
Ils ne vont pas émuler tous un programme / virus à chaque fois. cela
prends trop de temps. Donc en théorie, oui leurs émulateurs le
supportent, mais comme ils n'émulent que trés rarement ce genre de
chose, a moins que l'on leur demande.. ca leur fait une belle jambe..
C'est sans doute pour ça que c'est si rapide. Mais comme ça a l'air de
fonctionner, pourquoi s'en priver...
Tout à fait.
Cela permet de détecter la majorité des vers / backdoors sans grands
interêts.
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
//******************** Program Entry Point ******** :00401000 680C73B00F push 0FB0730C :00401005 E8FB0F0000 call 00402005 :0040100A FFD0 call eax :0040100C 96 xchg eax,esi :0040100D B420 mov ah, 20 :0040100F AC lodsb [...]
Oui c'est le droppeur. C'est pour ca qu'il est détecté. Il n'est pas crypté ni rien :)
Suivi par encore un bon nombre d'instructions, principalement des séries de deux, trois push imm32 suivis de call. Mais il n'y a rien d'intéressant. On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment. 402005 est peut etre un des moteurs de Zmist. Comme il s'agit du droppeur, je ne vois pas l'interet de l'EPO ici.
Hmmm... ça ne devrait pas poser de problèmes à un émulateur normalement.
Oui, sauf que les émulateurs dans les virus sont utilisés en général pour decrypter les layers des virus poly ou simplement cryptés. Ils sont guidés par le fichier de définition du virus. Ya pas grand chose de vraiment générique en fait. Ils ne vont pas émuler tous un programme / virus à chaque fois. cela prends trop de temps. Donc en théorie, oui leurs émulateurs le supportent, mais comme ils n'émulent que trés rarement ce genre de chose, a moins que l'on leur demande.. ca leur fait une belle jambe..
C'est sans doute pour ça que c'est si rapide. Mais comme ça a l'air de fonctionner, pourquoi s'en priver... Tout à fait.
Cela permet de détecter la majorité des vers / backdoors sans grands interêts.
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Frederic Bonroy
Nicolas Brulez wrote:
On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment. 402005 est peut etre un des moteurs de Zmist. Comme il s'agit du droppeur, je ne vois pas l'interet de l'EPO ici.
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Nicolas Brulez wrote:
On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment.
402005 est peut etre un des moteurs de Zmist. Comme il s'agit du
droppeur, je ne vois pas l'interet de l'EPO ici.
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
On notera le call 00402005, serait-ce une forme d'EPO? Hmmm...
Je ne sais pas vraiment. 402005 est peut etre un des moteurs de Zmist. Comme il s'agit du droppeur, je ne vois pas l'interet de l'EPO ici.
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Nicolas Brulez
Le PEB est intéressant pour les hackers car on peut y localiser pleins de données... intéressantes ! pa exemple, et c'est notre propos, l'adresse de chargement de certaines DLLs dans l'espace du processus. Exactement la ou je voulais en venir ;)
Si nécessaire, je me ferai un plaisir de faire un exposé complet et détaillé Pour moi ca ira, mais si ca interresse des gens ;)
hehe. Ca me rappel "Iron Maiden" ta phrase ;-) Dark Avenger... souvenirs :)
Ben c'est ça :o). Cela me fait penser que je n'ai jamais compris si c'était l'ami Boncev ou pas. C'est quand même bizarre de disparaître comme ça...
Tu ne le seras jamais je suppose :)
Les derniers, enre MyDoom, volent un peu plus haut quand même non ?
Mydoom utilisait ROT13, donc un peu mieux déja ;) Ca suffit pour contrer la recherche de strings. Mais oui ca vole un peu plus haut.
Les vers recents que j'ai trouvé pas trop mal, sont certaines variantes de Mimail et dumaru. Elles avaient des moteurs polymorphes pour se chiffrer. C'est déja mieux :)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Le PEB est intéressant pour les hackers car on peut y localiser pleins de
données... intéressantes ! pa exemple, et c'est notre propos, l'adresse de
chargement de certaines DLLs dans l'espace du processus.
Exactement la ou je voulais en venir ;)
Si nécessaire, je me ferai un plaisir de faire un exposé complet et détaillé
Pour moi ca ira, mais si ca interresse des gens ;)
hehe. Ca me rappel "Iron Maiden" ta phrase ;-)
Dark Avenger... souvenirs :)
Ben c'est ça :o). Cela me fait penser que je n'ai jamais compris si c'était
l'ami Boncev ou pas. C'est quand même bizarre de disparaître comme ça...
Tu ne le seras jamais je suppose :)
Les derniers, enre MyDoom, volent un peu plus haut quand même non ?
Mydoom utilisait ROT13, donc un peu mieux déja ;)
Ca suffit pour contrer la recherche de strings. Mais oui ca vole un peu
plus haut.
Les vers recents que j'ai trouvé pas trop mal, sont certaines variantes
de Mimail et dumaru. Elles avaient des moteurs polymorphes pour se
chiffrer. C'est déja mieux :)
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Le PEB est intéressant pour les hackers car on peut y localiser pleins de données... intéressantes ! pa exemple, et c'est notre propos, l'adresse de chargement de certaines DLLs dans l'espace du processus. Exactement la ou je voulais en venir ;)
Si nécessaire, je me ferai un plaisir de faire un exposé complet et détaillé Pour moi ca ira, mais si ca interresse des gens ;)
hehe. Ca me rappel "Iron Maiden" ta phrase ;-) Dark Avenger... souvenirs :)
Ben c'est ça :o). Cela me fait penser que je n'ai jamais compris si c'était l'ami Boncev ou pas. C'est quand même bizarre de disparaître comme ça...
Tu ne le seras jamais je suppose :)
Les derniers, enre MyDoom, volent un peu plus haut quand même non ?
Mydoom utilisait ROT13, donc un peu mieux déja ;) Ca suffit pour contrer la recherche de strings. Mais oui ca vole un peu plus haut.
Les vers recents que j'ai trouvé pas trop mal, sont certaines variantes de Mimail et dumaru. Elles avaient des moteurs polymorphes pour se chiffrer. C'est déja mieux :)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Nicolas Brulez
AMcD® wrote:
Je suis sûr que tu m'en veux ne ne pas avoir spécifié celui-là :o) : http://www.lsd-pl.net/windows_components.html J'ai la mémoire qui me joue parfois des tours...
Hehe :) Oui, LSD l'a d'ailleur volé chez les auteurs de virus ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
AMcD® wrote:
Je suis sûr que tu m'en veux ne ne pas avoir spécifié celui-là :o) :
http://www.lsd-pl.net/windows_components.html
J'ai la mémoire qui me joue parfois des tours...
Hehe :)
Oui, LSD l'a d'ailleur volé chez les auteurs de virus ;-)
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Je suis sûr que tu m'en veux ne ne pas avoir spécifié celui-là :o) : http://www.lsd-pl.net/windows_components.html J'ai la mémoire qui me joue parfois des tours...
Hehe :) Oui, LSD l'a d'ailleur volé chez les auteurs de virus ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Nicolas Brulez
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25. Prêt de l'entry point de temps en temps pour assurer la reproduction du virus, mais de temps en temps à l'envers à partir du point d'entrée, pour patcher un appel d'API au millieu du programme..
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi l'être très tard après l'exécution du virus.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
C'est assez sympa comme techniques.
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Prêt de l'entry point de temps en temps pour assurer la reproduction du
virus, mais de temps en temps à l'envers à partir du point d'entrée,
pour patcher un appel d'API au millieu du programme..
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi
l'être très tard après l'exécution du virus.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la
main quand le programme se ferme :)
C'est assez sympa comme techniques.
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25. Prêt de l'entry point de temps en temps pour assurer la reproduction du virus, mais de temps en temps à l'envers à partir du point d'entrée, pour patcher un appel d'API au millieu du programme..
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi l'être très tard après l'exécution du virus.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
C'est assez sympa comme techniques.
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
AMcD®
Nicolas Brulez wrote:
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi l'être très tard après l'exécution du virus.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une manière trop évidente, t'assures l'exécution, mais tu affaiblis la detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous les 56 du mois), tu risques de ne pas être exécuté. Bof.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est assez sympa comme techniques.
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire. "Allo ? C'est le service informatique. Bon alors, vous la faites cette mise à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi !? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est (malheureusement) tellement simple :o(.
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicolas Brulez wrote:
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi
l'être très tard après l'exécution du virus.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une
manière trop évidente, t'assures l'exécution, mais tu affaiblis la
detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous
les 56 du mois), tu risques de ne pas être exécuté. Bof.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends
la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est assez sympa comme techniques.
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait
aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire.
"Allo ? C'est le service informatique. Bon alors, vous la faites cette mise
à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi
!? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le
fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est
(malheureusement) tellement simple :o(.
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
Ya des chances qu'elle ne soit jamais exécutée, mais elle peut aussi l'être très tard après l'exécution du virus.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une manière trop évidente, t'assures l'exécution, mais tu affaiblis la detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous les 56 du mois), tu risques de ne pas être exécuté. Bof.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est assez sympa comme techniques.
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire. "Allo ? C'est le service informatique. Bon alors, vous la faites cette mise à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi !? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est (malheureusement) tellement simple :o(.
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicolas Brulez
AMcD® wrote:
Nicolas Brulez wrote:
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
29A issue 5: Dengue Hemorrhagic Fever contient ce genre d'EPO si je me trompe pas.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une manière trop évidente, t'assures l'exécution, mais tu affaiblis la detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous les 56 du mois), tu risques de ne pas être exécuté. Bof.
Oui, mais ca permet d'avoir un virus assez furtif. Infecter des deux facons avec des "profondeurs" différentes, ca peut être interressant.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est pas mal en effet :)
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire.
Oui c'est pas mal.
Ya aussi le patch du code qui fait un stackframe dans une fonction du programme.. pour le rediriger vers le corps du virus :)
"Allo ? C'est le service informatique. Bon alors, vous la faites cette mise à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi !? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est (malheureusement) tellement simple :o(.
Tellement moins fun ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
AMcD® wrote:
Nicolas Brulez wrote:
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
29A issue 5: Dengue Hemorrhagic Fever contient ce genre d'EPO si je me
trompe pas.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une
manière trop évidente, t'assures l'exécution, mais tu affaiblis la
detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous
les 56 du mois), tu risques de ne pas être exécuté. Bof.
Oui, mais ca permet d'avoir un virus assez furtif.
Infecter des deux facons avec des "profondeurs" différentes, ca peut
être interressant.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends
la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est pas mal en effet :)
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait
aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire.
Oui c'est pas mal.
Ya aussi le patch du code qui fait un stackframe dans une fonction du
programme.. pour le rediriger vers le corps du virus :)
"Allo ? C'est le service informatique. Bon alors, vous la faites cette mise
à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi
!? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le
fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est
(malheureusement) tellement simple :o(.
Tellement moins fun ;-)
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Moi non plus, d'ailleurs comme EPO il y a mieux. ;-)
Mon préféré reste le patch des FF15 et FF25.
Un exemple ? Pas du patch, du virus.
29A issue 5: Dengue Hemorrhagic Fever contient ce genre d'EPO si je me trompe pas.
J'aime pas moi ce genre d'obfuscation. Si tu places trop près ou d'une manière trop évidente, t'assures l'exécution, mais tu affaiblis la detection. Placé trop loin, si t'as pas de chance (une fonction appelée tous les 56 du mois), tu risques de ne pas être exécuté. Bof.
Oui, mais ca permet d'avoir un virus assez furtif. Infecter des deux facons avec des "profondeurs" différentes, ca peut être interressant.
Ou aussi le patch de ExitProcess seulement, comme ca le virus prends la main quand le programme se ferme :)
Ça c'est mieux :o).
C'est pas mal en effet :)
Oui. Patcher l'IAT est sympa. Monitoring/hook de certaines APIs me fait aussi rire. Mais ma préférée à moi c'est quand même le SE de la secrétaire.
Oui c'est pas mal.
Ya aussi le patch du code qui fait un stackframe dans une fonction du programme.. pour le rediriger vers le corps du virus :)
"Allo ? C'est le service informatique. Bon alors, vous la faites cette mise à jour ou quoi ? On n'a pas que ça à faire ! Heu quelle mise à jour ? Quoi !? Mais c'est pas vrai... Bon, pour la millième fois je vous envoie le fichier. Il s'appelle setup.exe. Exécutez-le. Je vous rappelle dans 5'.".
Oui, c'est bien moins technique que du rebasing de RVA, mais c'est (malheureusement) tellement simple :o(.
Tellement moins fun ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
AMcD®
Nicolas Brulez wrote:
Ya aussi le patch du code qui fait un stackframe dans une fonction du programme.. pour le rediriger vers le corps du virus :)
Definitively kickass ! Quoique certainement chaud à implémenter... Je n'y aurai pas pensé à celle-là ! Quand-est-ce qu'on aura fini d'inventer des techniques avec cette bonne vieille pile :o) ?
Quoique, si j'ai bien compris, avec l'itanium ce genre de sport sera fini...
-- AMcD®
http://arnold.mcdonald.free.fr/
Nicolas Brulez wrote:
Ya aussi le patch du code qui fait un stackframe dans une fonction du
programme.. pour le rediriger vers le corps du virus :)
Definitively kickass ! Quoique certainement chaud à implémenter... Je n'y
aurai pas pensé à celle-là ! Quand-est-ce qu'on aura fini d'inventer des
techniques avec cette bonne vieille pile :o) ?
Quoique, si j'ai bien compris, avec l'itanium ce genre de sport sera fini...
Ya aussi le patch du code qui fait un stackframe dans une fonction du programme.. pour le rediriger vers le corps du virus :)
Definitively kickass ! Quoique certainement chaud à implémenter... Je n'y aurai pas pensé à celle-là ! Quand-est-ce qu'on aura fini d'inventer des techniques avec cette bonne vieille pile :o) ?
Quoique, si j'ai bien compris, avec l'itanium ce genre de sport sera fini...
