Cheval de troie evolutif et furtif

"AMcD®" <arnold.mcdonald@free.fr> wrote in news:40bc816a$0$12110
$626a14ce@news.free.fr:

The IDA Pro Disassembler & Debugger - world leader in hostile code

Toujours pas de version au tarif abordable pour des gens non
multi-millionnaire :o( ?

Il y a toujours eu une version gratuite. Et puis 300 et quelques euros, ce
n'est quand même pas un budget de milliardaire, d'autant que nous ne
vendons plus (en général, il y a quelques exceptions) qu'aux entreprises.

En outre, le prix n'est pas un facteur: quand IDA était à $30 il n'y a eu
que cinq ou six cons (dont moi ;-)) pour l'acheter. Quand il a augmenté
(avec tout l'effort de développement qui en a fait ce qu'il est
aujourd'hui), il y a eu instantanément une foule (plusieurs centaines de
personnes en fait) qui s'est plainte de l'augmentation de prix, alors
qu'"ils allaient justement acheter". J'étais "un voleur" et je "menaçais la
survie d'un produit merveilleux"...

Nous avons aussi eu une version "étudiant" à $50 qui a fait... trois
ventes.

Ah, la nature humaine...


---
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Pierre Vandevenne wrote:

:-) ce n'est pas tout à fait la même chose. Il ne s'agit plus "simplement"
de biologistes moléculaires compétents dans le domaine de l'assembleur et
du hacking, mais plutôt de recherches d'isomorphismes de graphes etc...

Bonjour,

Vous connaissez des publis serieuses sur le sujet (pas
l'isomorphisme de graphes lui-meme mais plutot son application
a la detection des virus) ? La seule qui ait pointe' le bout
de son nez dans ce groupe est celle-ci :
http://www.virusbtn.com/magazine/archives/200309/formal.xml

J'ai deja vaguement eu affaire au meme type de probleme
mais l'essentiel des publis "appliquees" que j'ai ete' amenees
a lire concernaient soi la reconnaissance de caracteres soit
l'appariement entre une carte (representation vectorielle
d'un reseau routier) et une image satellite. Bref, des
problemes pour lesquels les graphes n'etaient pas orientes
(contrairement a un flot d'instructions), plonges dans le plan
(chaque intersection entre deux aretes forme un noeud), dont
les noeuds avaient tous la meme "signification", et pour
lesquels la notion de "proximite'" entre graphes reposait
essentiellement sur des criteres geometriques (ce qui n'a
pas de sens dans le cas de l'analyse de code) et topologiques.

Il me semble que pour comparer deux graphes, d'un point
de vue topologique, une des methodes utilisees consistait a :

- Definir un ensemble d'operations elementaires permettant
d'alterer un graphe (supression, ajout ou "collapse" d'une
arete, supression ou ajout d'un noeud...) ;
- Attribuer a chacune de ces modifications un "cout" tel
que l'espace des modifications ait les proprietes d'une
metrique (le "cout" total pour modifier le graphe A de
maniere a ce qu'il soit similaire au graphe B est egal au
cout de la modification inverse, inegalite' triangulaire)
- Rechercher le chemin de cout minimal entre deux graphes,
le cout resultant etant appele' "distance" entre les graphes.

Une autre methode consiste, si mes souvenirs sont bons,
a chercher le sous-graphe commun maximal a deux graphes et
a definir la distance entre deux graphes comme le cotient de
la mesure de ce sous-graphe sur la mesure du graphe le plus
grand (ou quelque chose de ce style).

J'imagine que dans le contexte de la recherche
anti-virale on doit utiliser une approche hierarchique :
commencer par identifier chacune des procedures et
"remonter" pour trouver la structure de l'executable.

J'aimerais bien savoir dans quels anti-virus ce
genre de techniques est utilise'. Si l'on en croit les
observations de certains sur ce forum et les resultats
du dernier test d'av-comparatives.org*, McAfee est celui
qui fait les meilleures signatures generiques. Or je
suppose que ce genre de techniques est avant tout
utilise' pour faire des signatures generiques...

Je trouve quand-meme ca curieux (et dommage) de
ne pas voir plus de references a ce genre de techniques
dans les titres (je n'ai acces qu'aux titres, reste a esperer
qu'ils sont assez explicites :-/) des presentations
donnees lors des differentes conferences EICAR, vb, etc.

--
Tweakie

*A ma connaissance, c'est le premier test un tant soit peu
complet a confirmer l'efficacite' des heuristiques de NOD.

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

Pierre Vandevenne wrote:

Il y a toujours eu une version gratuite.

Certes, certes. Effort louable qui mérite d'être noté. Mais en bon râleur,
je t'avouerai que le look MS-DOS...

Et puis 300 et quelques
euros, ce n'est quand même pas un budget de milliardaire,

399 $ ou 799 $ c'est tout de même bien trop pour moi.

d'autant
que nous ne vendons plus (en général, il y a quelques exceptions)
qu'aux entreprises.

Heu oui, mais bon... Je sais bien que 800 dollars ça disparait vite dans les
comptes d'une entreprise, mais ce n'est pas une raison, à mon sens, pour en
justifier le prix. Comment veux-tu qu'un particulier lâche 800 dollars pour
un désassembleur !? Il trouvera sans doute plus utile un pack Photoshop à ce
tarif. Enfin, c'est mon avis.

En outre, le prix n'est pas un facteur: quand IDA était à $30 il n'y
a eu que cinq ou six cons (dont moi ;-)) pour l'acheter.

Heu, je ne l'ai jamais vu à ce tarif moi. Il faut dire qu'auparavant, il y
avait une foule de petits désassembleurs bien utiles qui remplissaient leur
rôle. Mais de nos jours, il faut des trucs un peu plus musclés et ces vieux
produits ne font plus l'affaire, un interpréteur de script, par exemple,
leur faisant cruellement défaut. Et ne parlons même pas du 64 bits. Il faut
bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de
nos jours.

Quand il a
augmenté (avec tout l'effort de développement qui en a fait ce qu'il
est aujourd'hui), il y a eu instantanément une foule (plusieurs
centaines de personnes en fait) qui s'est plainte de l'augmentation
de prix, alors qu'"ils allaient justement acheter". J'étais "un
voleur" et je "menaçais la survie d'un produit merveilleux"...

Je n'irai pas jusque là quand même, lol. Il est clair que cela a demandé du
temps, que la version actuelle est très performante et je suppose que tu
payes pas le père Guilfanov avec de la Leffe. D'autant plus que la
concurrence est encore plus chère... Simplement, ce qui m'étonne à moi,
c'est que la majorité des gens interessé par ce produit (de niche, faut bien
le dire), c'est quand même des étudiants, des hackers amateurs, etc. Aucun
ne paiera jamais 400 $, ils ont mieux à faire avec.

Nous avons aussi eu une version "étudiant" à $50 qui a fait... trois
ventes.

C'est pourtant, en ce qui me concerne, ce que j'appelle un prix raisonnable.
Mais tu sais, les étudiants, ils ont pas pour habitude de payer. Surtout
ceux d'aujourd'hui, élevé dans le culte du "Linux c'est gratuit" et du "t'as
qu'à Kazaa".

Ah, la nature humaine...

Vi ?

--
AMcD®

http://arnold.mcdonald.free.fr/

Roland Garcia wrote:

Prochain épisode, Casper dans Casper skie :-)

Moi, ce nom m'a rappele' celui d'un bouquin pour enfant que j'ai
lu quand j'etais tout gamin.

Apres une intense recherche bibliographique, j'ai retrouve' le nom.

---------
Notice bibliographique
--------------------------

Type : texte imprimé, monographie

Auteur(s) : Harvey, Alfred
Titre(s) : Le Petit fantôme et la lampe magique [Texte imprimé]
^^^^^^^^^^^^^

Titre d'ensemble : Casper et ses amis ; 6
Imprimeur / Fabricant : Paris : impr. Lescaret
Description matérielle : 26 p. : Ill. en coul., couv. ill. en coul. ; 27
cm
Note(s) : D'après l'émission "Casper et ses amis", diffusée sur Antenne
2 en 1976
Autre(s) auteur(s) : Forster, Nadine. Illustrateur
France 2 . Éditeur scientifique

ISBN 2-261-00708-6 (Rel.)
Notice n° : FRBNF34670251
---------

Dommage, j'etais persuade' que le titre etait :

"Le Petit fantôme et la lanterne magique" ;-)

Le hasard fait bien les choses,

--
Tweakie - nostalgique

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

On Wed, 02 Jun 2004 10:18:55 +0000, Tweakie wrote:

Moi, ce nom m'a rappele' celui d'un bouquin pour enfant que j'ai
lu quand j'etais tout gamin.

L'auteur m'a confirmé que le nom du logiciel était bel et bien issu de
"Casper le petit fantôme qui veut être ton ami" :)

Par ailleurs, le code d'upload de fichiers via proxy est buggé dans la
version actuelle. Une nouvelle version sera disponible rapidement ...


Nicob

Tweakie wrote:

Vous connaissez des publis serieuses sur le sujet (pas
l'isomorphisme de graphes lui-meme mais plutot son application
a la detection des virus) ?

Tiens, j'ai trouve' ca (une presentation ppt) :

http://www.blackhat.com/presentations/win-usa-04/bh-win-04-flake.pdf

On y parle aussi de detection de boucles (en particulier de boucles
succeptibles de contenir des bugs) et d'identification de fonctions
similaires dans des versions differentes d'executables.

--
Tweakie


--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

On Mon, 31 May 2004 10:03:04 +0200, Nicob wrote:

C'est le IEHK : "Internet Explorer Hacking Kit is a tool box with
different tools and samples for playing with IE vulnerabilities".

Très pratique quand l'attaque directe des utilisateurs est autorisée
durant les tests intrusifs :)

sauf quand ie n'est pas utilisé dans l'entreprise :)

Nicob

--
Noshi

Tweakie wrote:

Pierre Vandevenne wrote:

:-) ce n'est pas tout à fait la même chose. Il ne s'agit plus "simplement"
de biologistes moléculaires compétents dans le domaine de l'assembleur et
du hacking, mais plutôt de recherches d'isomorphismes de graphes etc...

Bonjour,
Bonsoir,

Vous connaissez des publis serieuses sur le sujet (pas
l'isomorphisme de graphes lui-meme mais plutot son application
a la detection des virus) ?
Oui.

Tu requêtes mal ou bien tu abordes le sujet sous le mauvais angle ou
encore : que recherches-tu exactement ?
Permets-moi de te conseiller d'orienter ta recherche vers les
algorithmes. Certains algorithmes employés dans la lutte antivirale
comme dans la sécurité logique proviennent de la biologie, des systèmes
immunitaires artificiels, du data-mining, de l'hydrologie par exemple.
Exemple d'algorithmes employés : Naive Bayes, Multi-Naive Bayes, Ripper,
sparse Markov transducers (SMT), File header/trailer (FHT), Byte
frequency cross-corelation (BFC), Byte frequency analysis (BFA), etc.

La seule qui ait pointe' le bout
de son nez dans ce groupe est celle-ci :
http://www.virusbtn.com/magazine/archives/200309/formal.xml
Tu as aussi par exemple :

www.bytware.com/press/scan_engine.pdf
www.virusbtn.com/old/OtherPapers/Trends/
www.mactech.com/articles/mactech/Vol.08/08.02/VirusDetection/
http://downloads.securityfocus.com/library/WormPropagation.pdf
www.cs.virginia.edu/~evans/theses/lam.pdf

[...]

J'aimerais bien savoir dans quels anti-virus ce
genre de techniques est utilise'.
Qq uns cités dans le test que tu évoques (cf av-comparatives.org).

Je trouve quand-meme ca curieux (et dommage) de
ne pas voir plus de references a ce genre de techniques
dans les titres (je n'ai acces qu'aux titres, reste a esperer
qu'ils sont assez explicites :-/) des presentations
donnees lors des differentes conferences EICAR, vb, etc.
Vas au-delà des titres ! ;)

Il te suffit de savoir ce que tu recherches précisemment pour trouver la
réponse (pas toujours) à tes questions.

Tweakie wrote:

Vous connaissez des publis serieuses sur le sujet (pas
l'isomorphisme de graphes lui-meme mais plutot son application
a la detection des virus) ?

Oui.
Tu requêtes mal ou bien tu abordes le sujet sous le mauvais angle ou
encore : que recherches-tu exactement ?

Je recherche des articles traitant de l'application de techniques
de recherche de similarite' entre graphes a la lutte antivirale
(ca fait partie des techniques de determination heuristique ou
de mise au point de signatures generiques).

Je sais qu'il existe d'autres techniques, plus ou moins bien
documentees, mais c'est celle-ci qui m'interesse en particulier.

Certains algorithmes employés dans la lutte antivirale
comme dans la sécurité logique proviennent de la biologie, des
systèmes immunitaires artificiels, du data-mining,

Du data-mining, ca n'est pas etonnant, si l'on considere que
le probleme consiste a faire une classification automatique des
fichiers en deux classes sain/infecte'.

De la biologie, et des "systemes immunitaires artificiels", ca
n'a rien d'etonnant non plus, a bien y reflechir (voir l'article
sur les SMT ci-dessous).

J'etais plus particulierement interesse' par d'eventuels articles
ou ces techniques seraient appliquees a la detection de virus. Si
c'est trop difficile a trouver, je me contenterai de ceux issus
d'autres disciplines et, dans la mesure du possible, j'extrapolerai...

de l'hydrologie par exemple.

La, vous m'interessez.

Exemple d'algorithmes employés : Naive Bayes, Multi-Naive Bayes,
Ripper, sparse Markov transducers (SMT), File header/trailer (FHT),
Byte frequency cross-corelation (BFC), Byte frequency analysis (BFA),
etc.

Ca c'est interessant. Merci du renseignement !

Voir ci-dessous pour une micro-recherche bibliographique sur chacun
de ces algos, pour ceux que ca interesse.

Tu as aussi par exemple :
www.bytware.com/press/scan_engine.pdf

Trop general.

www.virusbtn.com/old/OtherPapers/Trends/

Obsolete, et ca parle plus des menaces que de la facon de les detecter.

www.mactech.com/articles/mactech/Vol.08/08.02/VirusDetection/

Interessant. L'article parle de l'utilisation de signatures tolerantes
vis-a-vis d'un certain nombre d'operations d'edition, via l'utilisation
de l'algo de Boyer-Moore, que Frederic Bonroy avait deja evoque' ici.

http://downloads.securityfocus.com/library/WormPropagation.pdf

Rien a voir avec la question initiale...

http://www.cs.virginia.edu/~evans/theses/lam.pdf

Pas grand chose a voir non plus. On y parle de la detection de virus
grace a l'analyse de l'augmentation de trafic SMTP. Ca ressemble un
peu (en moins fouille') a ce que fait MessageLabs, selon un de ses
brevets.

Qq uns cités dans le test que tu évoques (cf av-comparatives.org).

Je parle de techniques de reconnaissance de *graphes*. Et "quelques
uns", ca n'est pas tres precis ;-)

Vas au-delà des titres ! ;)

Je ne peux aller au dela des titres qu'a condition que les articles/
presentation soient rendus publics. Quand c'est le cas, bien sur, je le
fais.

Il te suffit de savoir ce que tu recherches précisemment pour
trouver la réponse (pas toujours) à tes questions.

Je recherche des articles dans lesquel apparaissent les termes
"computer virus" et "graph isomorphisms" et qui, de preference,
traitent de l'utilisation des seconds dans le cadre de la detection
des premiers :-)

------------------

Ci-dessous, ce que j'ai trouve' de plus pertinent concernant les
algorithmes/methodes evoquees plus haut :

- File Header/Trailer - Byte Frequency Analysis, Byte Frequency
cross-correlation Analysis.

Application a l'identification des types de fichiers, ou l'on
voit que finalement (et sans surprises), c'est l'analyse des
entetes qui fournit le meilleur resultat. Dans le cadre de la
lutte anti-virale, a condition de remplacer "octets" par
"opcodes", on peut imaginer que ce genre de technique
peut etre utilise' pour determiner le compilateur ayant produit
du code binaire, par exemple.

http://minilien.com/?RgcI1xcKl0
[http://www.cs.jmu.edu/users/prietorx/HICSS36/
Minitrack14/FullPapers/FileTypesDetectionHosseinFinal.doc]

Le nom de la premiere methode parle de lui-meme : il s'agit de
determiner le type de fichier en se basant surl'identification
de sequences fixes au sein de son entete.

La deuxieme methode aussi est assez simple : on etablit un
comptage de la frequence moyenne d'utilisation de chaque octet
pour chaque type de fichier. Les echantillons a classer sont
ensuite compares a ces "templates", et la classe choisie est
celle dont le "template" est le plus proche. Comme de juste,
ca marche moins bien avec les fichiers compresses (qui ont
logiquement tous un spectre assez plat).

- RIPPER - Naive Bayes - Multi-Naive Bayes.

Appliclation a la detection de codes malveillants.

http://www.cs.cornell.edu/people/schultz/papers/ieeesp01.pdf

C'est interessant, mais comme ils changent a la fois la methode
statistique et les criteres utilisee par celle-ci, je ne pense
pas que la comparaison finale ait vraiment de la valeur.
Qui plus est, je n'ai pas vraiment saisi la difference
fondamentale entre RIPPER et l'analyse Bayesienne...

- Sparse Markov Transducers.

Application a la classification de proteines.

http://www1.cs.columbia.edu/~noble/papers/smt.pdf

Tandis que l'analyse bayesienne se contente de regarder si
certains criteres sont verifies (par exemple la presence de
certaines chaines dans l'executable), les SPT font intervenir
la notion d'ordonnancement. La classification va se baser sur
un ensemble d'evenements dont l'ordre relatif est connu.
Parmi les approches citees, c'est la seule qui corresponde a la
question initiale, bien qu'elle ne soit pas directement
appliquee a la question des virus (les chaines de Markov
fournissent peuvent etre vues comme une description
"probabiliste" d'un graphe).

http://minilien.com/?6ejsCUS8z4 [http://www1.cs.columbia.edu/ids/publications/
smt-syscall-discex01.pdf]

Un peu plus proche du sujet, un article sur la detection
d'intrusion utilisant les SMTs. Les auteurs analysent les
appels systemes produits par divers processus et tentent de
determiner les cas ou les appels sont legitimes et les cas
ou ils sont issus d'une tentative d'exploitation.

Une these sur le sujet (Sparse sequence modeling) :

http://www.cs.ucsd.edu/~eeskin/papers/eeskin-thesis.pdf

--
Tweakie

--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net

"AMcD®" <arnold.mcdonald@free.fr> wrote in
news:40bcef28$0$13933$636a15ce@news.free.fr:

que nous ne vendons plus (en général, il y a quelques exceptions)
qu'aux entreprises.

sens, pour en justifier le prix. Comment veux-tu qu'un particulier
lâche 800 dollars pour un désassembleur !? Il trouvera sans doute plus

Précisément: comme je te le disais, nous ne vendons plus qu'aux
entreprises. Nous refusons presque toujours les particuliers.

m'étonne à moi, c'est que la majorité des gens interessé par ce
produit (de niche, faut bien le dire), c'est quand même des étudiants,
des hackers amateurs, etc.

Non.

C'est pourtant, en ce qui me concerne, ce que j'appelle un prix
raisonnable. Mais tu sais, les étudiants, ils ont pas pour habitude de
payer.

C'est leur problème. Moi, quand j'étais étudiant, j'ai payé mon MASM (et le
reste, mais j'ai passé pas mal de temps avec MASM) et je ne l'ai pas
regretté.

---
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp