[A propos de http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html annoncant 500.000$ de récompense pour la capture de l'auteur d'un virus informatique].
djehuti wrote:
"Yannick Patois" a écrit dans le message news:
Une question idiote, mettons que je sois l'auteur de ce virus, est-ce qu'en livrant des informations permettant ma capture je peux toucher
ces 500.000$ ? extradition, puis jugement exemplaire
Je serais très surpris que les USA obtiennent l'extradition (pourquoi eux, la pluparts des pays ont étés touchés par ce virus) si l'auteur n'est pas de nationalité américaine.
Yannick
(Xpost et F2 vers fr.misc.droit.internet)
[A propos de
http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html
annoncant 500.000$ de récompense pour la capture de l'auteur d'un virus
informatique].
djehuti wrote:
"Yannick Patois" <patois@calvix.org> a écrit dans le message news:
Une question idiote, mettons que je sois l'auteur de ce virus, est-ce
qu'en livrant des informations permettant ma capture je peux toucher
ces 500.000$ ?
extradition, puis jugement exemplaire
Je serais très surpris que les USA obtiennent l'extradition (pourquoi
eux, la pluparts des pays ont étés touchés par ce virus) si l'auteur
n'est pas de nationalité américaine.
[A propos de http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html annoncant 500.000$ de récompense pour la capture de l'auteur d'un virus informatique].
djehuti wrote:
"Yannick Patois" a écrit dans le message news:
Une question idiote, mettons que je sois l'auteur de ce virus, est-ce qu'en livrant des informations permettant ma capture je peux toucher
ces 500.000$ ? extradition, puis jugement exemplaire
Je serais très surpris que les USA obtiennent l'extradition (pourquoi eux, la pluparts des pays ont étés touchés par ce virus) si l'auteur n'est pas de nationalité américaine.
Yannick
Yannick Patois
Roland Garcia wrote:
AMcD wrote:
http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html Je suspecte que les divers enquêteurs patientent jusqu'à ce que la cagnote soit encore plus grosse ;o) Une question idiote, mettons que je sois l'auteur de ce virus,
Vous tombez bien, il ne vous en resterait pas un exemplaire ? :-)
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est (et ça arrive encore)... Je vous les emballent? ;-)
Yannikc
Roland Garcia wrote:
AMcD wrote:
http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html
Je suspecte que les divers enquêteurs patientent jusqu'à ce que la
cagnote
soit encore plus grosse ;o)
Une question idiote, mettons que je sois l'auteur de ce virus,
Vous tombez bien, il ne vous en resterait pas un exemplaire ? :-)
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est (et
ça arrive encore)...
Je vous les emballent? ;-)
http://www.computerworld.com/securitytopics/security/virus/story/0,10801,89584,00.html Je suspecte que les divers enquêteurs patientent jusqu'à ce que la cagnote soit encore plus grosse ;o) Une question idiote, mettons que je sois l'auteur de ce virus,
Vous tombez bien, il ne vous en resterait pas un exemplaire ? :-)
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est (et ça arrive encore)... Je vous les emballent? ;-)
Yannikc
Frederic Bonroy
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est arrivé à Ször si j'ai bonne mémoire...
Possible. Ca arrive toujours c'est sur. Mais le problème en maitrisant, c'est qu'on va trop vite, et qu'on fait pas toujours assez attention ;-)
Devinez qui vient de passer une petite heure à nettoyer son système de W32/Kenston? Hein? :-D
Je commence au début: j'étais en train de rechercher un virus simple pour mon petit "projet" (voir le fil "PE et cie"). Je lance donc mon OllyDbg qui m'a toujours bien rendu service jusqu'ici. J'ouvre dans OllyDbg un Opaserv.C avec dessus un Kenston.1874.A.
Je m'attends à voir le désassemblage. Et, effectivement il apparaît. Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase "Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Sans me poser de questions, je relance l'ordinateur en mode DOS et je laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je me retrouve avec des Kenston un peu partout, par chance uniquement dans des fichiers sans importance et plus heureusement encore pas un seul sur ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande "del" avant chaque ligne) et je me débarrasse du virus en 5 secondes. Je repasse F-Prot ainsi que McAfee DOS pour être sûr que tout est propre, et voilà, plus aucun problème. Suppression de la clé dans la base de registre censée lancer Opaserv à chaque démarrage, et terminé, on n'en parle plus.
Alors, le nettoyage est une chose, mais c'est la cause de cet accident qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi que ce soit sans mon accord, et je suis absolument persuadé à 100% que je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait exécuté les instructions du programme automatiquement sans que j'aie à confirmer chaque instruction), mais ce coup là c'était voulu de ma part. Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a rien animé, il a tout bonnement exécuté.
Je ne lui fais désormais plus confiance. :-(
Cependant il faut voir les choses du bon côté:
1. Je sais que l'échantillon est fonctionnel. :-D (Je ne sais pas ce que j'en ai fait, j'ai dû l'effacer par mégarde par la suite, donc ça me fait une belle jambe).
2. ça fait de l'exercice
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-)
Me reste plus qu'à retrouver a) un échantillon de Kenston b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Quant à OllyDbg, je suis vraiment surpris ce coup là... :-/
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est
arrivé à Ször si j'ai bonne mémoire...
Possible. Ca arrive toujours c'est sur.
Mais le problème en maitrisant, c'est qu'on va trop vite, et qu'on fait
pas toujours assez attention ;-)
Devinez qui vient de passer une petite heure à nettoyer son système de
W32/Kenston? Hein? :-D
Je commence au début: j'étais en train de rechercher un virus simple
pour mon petit "projet" (voir le fil "PE et cie"). Je lance donc mon
OllyDbg qui m'a toujours bien rendu service jusqu'ici. J'ouvre dans
OllyDbg un Opaserv.C avec dessus un Kenston.1874.A.
Je m'attends à voir le désassemblage. Et, effectivement il apparaît.
Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase
"Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Sans me poser de questions, je relance l'ordinateur en mode DOS et je
laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je
me retrouve avec des Kenston un peu partout, par chance uniquement dans
des fichiers sans importance et plus heureusement encore pas un seul sur
ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous
Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire
Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande
"del" avant chaque ligne) et je me débarrasse du virus en 5 secondes.
Je repasse F-Prot ainsi que McAfee DOS pour être sûr que tout est
propre, et voilà, plus aucun problème. Suppression de la clé dans la
base de registre censée lancer Opaserv à chaque démarrage, et terminé,
on n'en parle plus.
Alors, le nettoyage est une chose, mais c'est la cause de cet accident
qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi
que ce soit sans mon accord, et je suis absolument persuadé à 100% que
je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a
forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un
autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait
exécuté les instructions du programme automatiquement sans que j'aie à
confirmer chaque instruction), mais ce coup là c'était voulu de ma part.
Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a
rien animé, il a tout bonnement exécuté.
Je ne lui fais désormais plus confiance. :-(
Cependant il faut voir les choses du bon côté:
1. Je sais que l'échantillon est fonctionnel. :-D
(Je ne sais pas ce que j'en ai fait, j'ai dû l'effacer par mégarde par
la suite, donc ça me fait une belle jambe).
2. ça fait de l'exercice
3. je sais que Kenston est un candidat pour mon petit projet car il est
crypté avec un simple xor. Et ça me fera une revanche. :-)
Me reste plus qu'à retrouver
a) un échantillon de Kenston
b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Quant à OllyDbg, je suis vraiment surpris ce coup là... :-/
Oh, même en maîtrisant. Et ça arrive même aux cadors. Je crois que c'est arrivé à Ször si j'ai bonne mémoire...
Possible. Ca arrive toujours c'est sur. Mais le problème en maitrisant, c'est qu'on va trop vite, et qu'on fait pas toujours assez attention ;-)
Devinez qui vient de passer une petite heure à nettoyer son système de W32/Kenston? Hein? :-D
Je commence au début: j'étais en train de rechercher un virus simple pour mon petit "projet" (voir le fil "PE et cie"). Je lance donc mon OllyDbg qui m'a toujours bien rendu service jusqu'ici. J'ouvre dans OllyDbg un Opaserv.C avec dessus un Kenston.1874.A.
Je m'attends à voir le désassemblage. Et, effectivement il apparaît. Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase "Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Sans me poser de questions, je relance l'ordinateur en mode DOS et je laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je me retrouve avec des Kenston un peu partout, par chance uniquement dans des fichiers sans importance et plus heureusement encore pas un seul sur ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande "del" avant chaque ligne) et je me débarrasse du virus en 5 secondes. Je repasse F-Prot ainsi que McAfee DOS pour être sûr que tout est propre, et voilà, plus aucun problème. Suppression de la clé dans la base de registre censée lancer Opaserv à chaque démarrage, et terminé, on n'en parle plus.
Alors, le nettoyage est une chose, mais c'est la cause de cet accident qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi que ce soit sans mon accord, et je suis absolument persuadé à 100% que je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait exécuté les instructions du programme automatiquement sans que j'aie à confirmer chaque instruction), mais ce coup là c'était voulu de ma part. Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a rien animé, il a tout bonnement exécuté.
Je ne lui fais désormais plus confiance. :-(
Cependant il faut voir les choses du bon côté:
1. Je sais que l'échantillon est fonctionnel. :-D (Je ne sais pas ce que j'en ai fait, j'ai dû l'effacer par mégarde par la suite, donc ça me fait une belle jambe).
2. ça fait de l'exercice
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-)
Me reste plus qu'à retrouver a) un échantillon de Kenston b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Quant à OllyDbg, je suis vraiment surpris ce coup là... :-/
AMcD
Frederic Bonroy wrote:
Devinez qui vient de passer une petite heure à nettoyer son système de W32/Kenston? Hein? :-D
PTDR
Bah, analyser un virus au debuggueur, c'est break à toutes les instructions et fusil d'assaut à chaque jump/call/jne/je...
Héhéhé... quand on s'intéresse aux virus, forcément un jour ou l'autre on se met en danger. Mais dans ce cas il faut assumer tout simplement, et être capable de réparer les dégâts. Et lors des expériences, ne pas mettre en danger autrui. Je crois que si ces conditions sont réunies, il n'y a pas de raison d'en faire tout un plat si un jour ça déraille. C'est certainement moins négligeant que de cliquer sur les pièces jointes à tout va.
T'aimes le danger toi !
Héhéhé... quand on s'intéresse aux virus, forcément un jour ou l'autre
on se met en danger. Mais dans ce cas il faut assumer tout simplement,
et être capable de réparer les dégâts. Et lors des expériences, ne pas
mettre en danger autrui. Je crois que si ces conditions sont réunies, il
n'y a pas de raison d'en faire tout un plat si un jour ça déraille.
C'est certainement moins négligeant que de cliquer sur les pièces
jointes à tout va.
Héhéhé... quand on s'intéresse aux virus, forcément un jour ou l'autre on se met en danger. Mais dans ce cas il faut assumer tout simplement, et être capable de réparer les dégâts. Et lors des expériences, ne pas mettre en danger autrui. Je crois que si ces conditions sont réunies, il n'y a pas de raison d'en faire tout un plat si un jour ça déraille. C'est certainement moins négligeant que de cliquer sur les pièces jointes à tout va.
Ewa (siostra Ani) N.
Sans me poser de questions, je relance l'ordinateur en mode DOS et je laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je me retrouve avec des Kenston un peu partout, par chance uniquement dans des fichiers sans importance et plus heureusement encore pas un seul sur ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande "del" avant chaque ligne) et je me débarrasse du virus en 5 secondes.
C'est astucieux :-)
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend... Tu n'aurais pas formaté, quand même, non ? ;-)
Ewcia
-- Niesz !
Sans me poser de questions, je relance l'ordinateur en mode DOS et je
laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je
me retrouve avec des Kenston un peu partout, par chance uniquement dans
des fichiers sans importance et plus heureusement encore pas un seul sur
ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous
Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire
Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande
"del" avant chaque ligne) et je me débarrasse du virus en 5 secondes.
C'est astucieux :-)
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait
ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend...
Tu n'aurais pas formaté, quand même, non ? ;-)
Sans me poser de questions, je relance l'ordinateur en mode DOS et je laisse F-Prot examiner l'ensemble des partitions et créer un rapport. Je me retrouve avec des Kenston un peu partout, par chance uniquement dans des fichiers sans importance et plus heureusement encore pas un seul sur ma partition F: qui contient Windows 2000 (j'avais lancé OllyDbg sous Windows 98 sur C:). En plus de cela j'avais Opaserv dans mon répertoire Windows, mais c'était négligeable.
Je transforme le rapport de F-Prot en .bat (en insérant la commande "del" avant chaque ligne) et je me débarrasse du virus en 5 secondes.
C'est astucieux :-)
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend... Tu n'aurais pas formaté, quand même, non ? ;-)
Ewcia
-- Niesz !
Nicob
On Mon, 02 Feb 2004 18:59:46 +0100, Yannick Patois wrote:
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est
Des "B" ?
Nicob
On Mon, 02 Feb 2004 18:59:46 +0100, Yannick Patois wrote:
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est
On Mon, 02 Feb 2004 18:59:46 +0100, Yannick Patois wrote:
Heuu, à vrais dire j'en ai déjà bien stocké 2000 à l'heure qu'il est
Des "B" ?
Nicob
Frederic Bonroy
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend... Tu n'aurais pas formaté, quand même, non ? ;-)
M'appelle pas Jaja moi... :-)
J'aurais supprimé les fichiers infectés et je les aurais restaurés depuis le CD que je n'ai pas ici.
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait
ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend...
Tu n'aurais pas formaté, quand même, non ? ;-)
M'appelle pas Jaja moi... :-)
J'aurais supprimé les fichiers infectés et je les aurais restaurés
depuis le CD que je n'ai pas ici.
Mais j'ai une question bête : comment tu aurais fait si Kenston atteignait ta partition F avec Windows 2000 ? Avec les mêmes moyens, il s'entend... Tu n'aurais pas formaté, quand même, non ? ;-)
M'appelle pas Jaja moi... :-)
J'aurais supprimé les fichiers infectés et je les aurais restaurés depuis le CD que je n'ai pas ici.
Nicolas Brulez
Devinez qui vient de passer une petite heure à nettoyer son système de W32/Kenston? Hein? :-D
[..]
Je m'attends à voir le désassemblage. Et, effectivement il apparaît. Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase "Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Shit happens ;-)
Alors, le nettoyage est une chose, mais c'est la cause de cet accident qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi que ce soit sans mon accord, et je suis absolument persuadé à 100% que je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait exécuté les instructions du programme automatiquement sans que j'aie à confirmer chaque instruction), mais ce coup là c'était voulu de ma part. Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a rien animé, il a tout bonnement exécuté.
As tu fait un seul réglage de Olly ? Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ? Car Olly a des options pour forcer le stop à l'entry point Sans cette option, par moment il ne s'arrête pas et continue d'executer du code, des fois trop..
Je ne lui fais désormais plus confiance. :-( Ne jamais faire confiance à un debugger quand il y a un risque d'infection.
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-) As tu recu le sample que je t'ai envoyé ?
Me reste plus qu'à retrouver a) un échantillon de Kenston Je dois en avoir aussi.
b) un moyen de ne pas en mettre partout lors de l'analyse ;-) Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de
décryptage, tu as besoin de rien d'autre. D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que j'ai écris, je présente un script pour decrypter les données) tu peux décrypter le code, et donc analyser tout ca en statique.
Amuses toi bien ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Devinez qui vient de passer une petite heure à nettoyer son système de
W32/Kenston? Hein? :-D
[..]
Je m'attends à voir le désassemblage. Et, effectivement il apparaît.
Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase
"Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Shit happens ;-)
Alors, le nettoyage est une chose, mais c'est la cause de cet accident
qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi
que ce soit sans mon accord, et je suis absolument persuadé à 100% que
je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a
forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un
autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait
exécuté les instructions du programme automatiquement sans que j'aie à
confirmer chaque instruction), mais ce coup là c'était voulu de ma part.
Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a
rien animé, il a tout bonnement exécuté.
As tu fait un seul réglage de Olly ?
Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ?
Car Olly a des options pour forcer le stop à l'entry point
Sans cette option, par moment il ne s'arrête pas et continue d'executer
du code, des fois trop..
Je ne lui fais désormais plus confiance. :-(
Ne jamais faire confiance à un debugger quand il y a un risque d'infection.
3. je sais que Kenston est un candidat pour mon petit projet car il est
crypté avec un simple xor. Et ça me fera une revanche. :-)
As tu recu le sample que je t'ai envoyé ?
Me reste plus qu'à retrouver
a) un échantillon de Kenston
Je dois en avoir aussi.
b) un moyen de ne pas en mettre partout lors de l'analyse ;-)
Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de
décryptage, tu as besoin de rien d'autre.
D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que
j'ai écris, je présente un script pour decrypter les données) tu peux
décrypter le code, et donc analyser tout ca en statique.
Amuses toi bien ;-)
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Devinez qui vient de passer une petite heure à nettoyer son système de W32/Kenston? Hein? :-D
[..]
Je m'attends à voir le désassemblage. Et, effectivement il apparaît. Puis j'aperçois en bas à gauche, dans la barre d'état, la petite phrase "Process terminated, exit code 0". Ça fait un drôle d'effet! :-)
Shit happens ;-)
Alors, le nettoyage est une chose, mais c'est la cause de cet accident qui m'échappe totalement. Jusqu'ici, OllyDbg n'avait JAMAIS exécuté quoi que ce soit sans mon accord, et je suis absolument persuadé à 100% que je ne lui ai jamais demandé d'exécuter ce programme. Bref, il l'a forcément exécuté lui-même. Mais pourquoi? Hier, j'avais regardé un autre programme que j'avais fait "animer" (c'est-à-dire qu'OllyDbg avait exécuté les instructions du programme automatiquement sans que j'aie à confirmer chaque instruction), mais ce coup là c'était voulu de ma part. Y a-t-il un rapport? Je ne sais pas car dans le cas de Kenston il n'a rien animé, il a tout bonnement exécuté.
As tu fait un seul réglage de Olly ? Ou t'en es tu servis jusqu'a maintenant sans régler le debugger ? Car Olly a des options pour forcer le stop à l'entry point Sans cette option, par moment il ne s'arrête pas et continue d'executer du code, des fois trop..
Je ne lui fais désormais plus confiance. :-( Ne jamais faire confiance à un debugger quand il y a un risque d'infection.
3. je sais que Kenston est un candidat pour mon petit projet car il est crypté avec un simple xor. Et ça me fera une revanche. :-) As tu recu le sample que je t'ai envoyé ?
Me reste plus qu'à retrouver a) un échantillon de Kenston Je dois en avoir aussi.
b) un moyen de ne pas en mettre partout lors de l'analyse ;-) Utilises la version gratuite d'IDA. Si tu analyses juste la boucle de
décryptage, tu as besoin de rien d'autre. D'ailleur à l'aide d'un script IDC (voir l'article d'analyse du ver que j'ai écris, je présente un script pour decrypter les données) tu peux décrypter le code, et donc analyser tout ca en statique.
Amuses toi bien ;-)
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
