On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais
la prochaine fois qu'on viendra sur ce forum demander si ce sont
les editeurs d'anti-virus qui font les malwares...refrechissez bien
avant de repondre :
Je n'ose pas imaginer que ce code puisse etre inclus dans une
version quelconque d'Agobot (brrrr...).
Ah, j'oubliais. Heuristiques vs Furtivite' : 1 - 0
351 ms D:\Tmp\casper\Release\hook.exe Virus W32/Malware ( [
General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 53248 bytes.
[ Process/window information ]
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Toujours dans le cadre de l'analyse de similarite' entre deux binaires, et applique' a la classification de "malwares", je viens de voir ca sur la mailing list full-disclusure :
http://homepages.cwi.nl/~wehner/worms/index.html
L'idee est de calculer une "distance" mesurant la similarite' entre chaque couples d'echantillons, puis d'utiliser cette distance pour distinguer des "familles" de programmes similaires. Cette technique donne des resultats acceptables meme avec des executables compresses avec UPX.
L'originalite' de la methode tient dans le fait que l'analyse de similarite' est realisee par un algorithme de compression. En fait, la "distance de compression normalisee" (NCD) entre deux fichiers xet y est exprimee ainsi* :
NCD(x, y) = C(xy)-min{C(x), C(y)}/max{C(x),C(y)}
C(i) represente la taille du fichier i une fois compresse' C(xy) represente la taille du fichier compresse' issu de la concatenation de x et y
Le resultat est compris entre 0 et 1+epsilon, l'epsilon etant du aux imperfections de l'algorithe utilise', et vraissemblablement <<1 pour des algorithmes de compression standard (gzip bzip2).
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Toujours dans le cadre de l'analyse de similarite' entre deux binaires, et
applique' a la classification de "malwares", je viens de voir ca sur
la mailing list full-disclusure :
http://homepages.cwi.nl/~wehner/worms/index.html
L'idee est de calculer une "distance" mesurant la similarite' entre chaque
couples d'echantillons, puis d'utiliser cette distance pour distinguer des
"familles" de programmes similaires. Cette technique donne des resultats
acceptables meme avec des executables compresses avec UPX.
L'originalite' de la methode tient dans le fait que l'analyse de
similarite'
est realisee par un algorithme de compression. En fait, la "distance de
compression normalisee" (NCD) entre deux fichiers xet y est exprimee
ainsi* :
NCD(x, y) = C(xy)-min{C(x), C(y)}/max{C(x),C(y)}
C(i) represente la taille du fichier i une fois compresse'
C(xy) represente la taille du fichier compresse' issu de la concatenation
de
x et y
Le resultat est compris entre 0 et 1+epsilon, l'epsilon etant du aux
imperfections de l'algorithe utilise', et vraissemblablement <<1 pour des
algorithmes de compression standard (gzip bzip2).
Cette technique, sa justification mathematique, et certaines applications
sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Toujours dans le cadre de l'analyse de similarite' entre deux binaires, et applique' a la classification de "malwares", je viens de voir ca sur la mailing list full-disclusure :
http://homepages.cwi.nl/~wehner/worms/index.html
L'idee est de calculer une "distance" mesurant la similarite' entre chaque couples d'echantillons, puis d'utiliser cette distance pour distinguer des "familles" de programmes similaires. Cette technique donne des resultats acceptables meme avec des executables compresses avec UPX.
L'originalite' de la methode tient dans le fait que l'analyse de similarite' est realisee par un algorithme de compression. En fait, la "distance de compression normalisee" (NCD) entre deux fichiers xet y est exprimee ainsi* :
NCD(x, y) = C(xy)-min{C(x), C(y)}/max{C(x),C(y)}
C(i) represente la taille du fichier i une fois compresse' C(xy) represente la taille du fichier compresse' issu de la concatenation de x et y
Le resultat est compris entre 0 et 1+epsilon, l'epsilon etant du aux imperfections de l'algorithe utilise', et vraissemblablement <<1 pour des algorithmes de compression standard (gzip bzip2).
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Pierre Vandevennne
(Tweakie) wrote in news:40c30907$0$21562$:
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer, amha c'est moins utile que l'analyse de graphes pour localiser la zone à examiner quand on connait les autres. C'est aussi beaucoup plus facile et probablement plus facilement contournable (enfin cela donnerait dees résultats erronés quand l'analyse de graphe n'en donnerait pas).
NO_eikaewt_SPAM@hotmail.com (Tweakie) wrote in
news:40c30907$0$21562$626a14ce@news.free.fr:
Cette technique, sa justification mathematique, et certaines
applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer,
amha c'est moins utile que l'analyse de graphes pour localiser la zone à
examiner quand on connait les autres. C'est aussi beaucoup plus facile et
probablement plus facilement contournable (enfin cela donnerait dees
résultats erronés quand l'analyse de graphe n'en donnerait pas).
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer, amha c'est moins utile que l'analyse de graphes pour localiser la zone à examiner quand on connait les autres. C'est aussi beaucoup plus facile et probablement plus facilement contournable (enfin cela donnerait dees résultats erronés quand l'analyse de graphe n'en donnerait pas).
Frederic Bonroy
AMcD® wrote:
Heu, je ne l'ai jamais vu à ce tarif moi. Il faut dire qu'auparavant, il y avait une foule de petits désassembleurs bien utiles qui remplissaient leur rôle. Mais de nos jours, il faut des trucs un peu plus musclés et ces vieux produits ne font plus l'affaire, un interpréteur de script, par exemple, leur faisant cruellement défaut. Et ne parlons même pas du 64 bits.
Tu vas chez sourceforge, tu tapes "disassembler" et tu tombes entre autres sur ceci:
Aucune idée de ce que ça vaut, mais ça a l'air assez moderne, surtout le second. Attends - je viens de voir que c'est pour Linux. :-(
Il faut bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de nos jours.
C'est qui l'autre?
Nous avons aussi eu une version "étudiant" à $50 qui a fait... trois ventes.
C'est pourtant, en ce qui me concerne, ce que j'appelle un prix raisonnable. Mais tu sais, les étudiants, ils ont pas pour habitude de payer.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur, de nos jours, ça n'intéresse plus grand monde, même pas les étudiants en informatique. Même si tu vendais ça à 2 euros 50 tu ne te débarrasserais pas de beaucoup d'exemplaires.
AMcD® wrote:
Heu, je ne l'ai jamais vu à ce tarif moi. Il faut dire qu'auparavant, il y
avait une foule de petits désassembleurs bien utiles qui remplissaient leur
rôle. Mais de nos jours, il faut des trucs un peu plus musclés et ces vieux
produits ne font plus l'affaire, un interpréteur de script, par exemple,
leur faisant cruellement défaut. Et ne parlons même pas du 64 bits.
Tu vas chez sourceforge, tu tapes "disassembler" et tu tombes entre
autres sur ceci:
Aucune idée de ce que ça vaut, mais ça a l'air assez moderne, surtout le
second. Attends - je viens de voir que c'est pour Linux. :-(
Il faut
bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de
nos jours.
C'est qui l'autre?
Nous avons aussi eu une version "étudiant" à $50 qui a fait... trois
ventes.
C'est pourtant, en ce qui me concerne, ce que j'appelle un prix raisonnable.
Mais tu sais, les étudiants, ils ont pas pour habitude de payer.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur,
de nos jours, ça n'intéresse plus grand monde, même pas les étudiants en
informatique. Même si tu vendais ça à 2 euros 50 tu ne te débarrasserais
pas de beaucoup d'exemplaires.
Heu, je ne l'ai jamais vu à ce tarif moi. Il faut dire qu'auparavant, il y avait une foule de petits désassembleurs bien utiles qui remplissaient leur rôle. Mais de nos jours, il faut des trucs un peu plus musclés et ces vieux produits ne font plus l'affaire, un interpréteur de script, par exemple, leur faisant cruellement défaut. Et ne parlons même pas du 64 bits.
Tu vas chez sourceforge, tu tapes "disassembler" et tu tombes entre autres sur ceci:
Aucune idée de ce que ça vaut, mais ça a l'air assez moderne, surtout le second. Attends - je viens de voir que c'est pour Linux. :-(
Il faut bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de nos jours.
C'est qui l'autre?
Nous avons aussi eu une version "étudiant" à $50 qui a fait... trois ventes.
C'est pourtant, en ce qui me concerne, ce que j'appelle un prix raisonnable. Mais tu sais, les étudiants, ils ont pas pour habitude de payer.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur, de nos jours, ça n'intéresse plus grand monde, même pas les étudiants en informatique. Même si tu vendais ça à 2 euros 50 tu ne te débarrasserais pas de beaucoup d'exemplaires.
Nicob
On Sat, 05 Jun 2004 09:18:38 +0000, Pierre Vandevennne wrote:
Wolski, DVDMods ou la version russe que le pov' gars croyait avoir déwatermakée...
Vous devez bien vous marrer devant la page de l'Intranet qui liste les différents accès aux mises à jour avec des versions pirates, avec entre parenthèses la source de la fuite (bicoz watermarking) !
Nicob
On Sat, 05 Jun 2004 09:18:38 +0000, Pierre Vandevennne wrote:
Wolski, DVDMods ou la version russe que le pov' gars croyait avoir
déwatermakée...
Vous devez bien vous marrer devant la page de l'Intranet qui liste les
différents accès aux mises à jour avec des versions pirates, avec entre
parenthèses la source de la fuite (bicoz watermarking) !
On Sat, 05 Jun 2004 09:18:38 +0000, Pierre Vandevennne wrote:
Wolski, DVDMods ou la version russe que le pov' gars croyait avoir déwatermakée...
Vous devez bien vous marrer devant la page de l'Intranet qui liste les différents accès aux mises à jour avec des versions pirates, avec entre parenthèses la source de la fuite (bicoz watermarking) !
Nicob
AMcD®
Frederic Bonroy wrote:
Il faut bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de nos jours.
C'est qui l'autre?
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur, de nos jours, ça n'intéresse plus grand monde, même pas les étudiants en informatique. Même si tu vendais ça à 2 euros 50 tu ne te débarrasserais pas de beaucoup d'exemplaires.
Oui. C'est devenu un produit de luxe :-).
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Il faut
bien avouer que vous n'êtres plus que 2 sur le marché à être
crédibles de nos jours.
C'est qui l'autre?
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur,
de nos jours, ça n'intéresse plus grand monde, même pas les étudiants
en informatique. Même si tu vendais ça à 2 euros 50 tu ne te
débarrasserais
pas de beaucoup d'exemplaires.
Il faut bien avouer que vous n'êtres plus que 2 sur le marché à être crédibles de nos jours.
C'est qui l'autre?
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Je ne sais pas si c'est uniquement une question de prix. L'assembleur, de nos jours, ça n'intéresse plus grand monde, même pas les étudiants en informatique. Même si tu vendais ça à 2 euros 50 tu ne te débarrasserais pas de beaucoup d'exemplaires.
Oui. C'est devenu un produit de luxe :-).
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy
AMcD® wrote:
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Ah, Soft Ice?
AMcD® wrote:
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
AMcD® wrote:
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais
c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu,
cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation
du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu
même.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy
AMcD® wrote:
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
AMcD® wrote:
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais
c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu,
cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation
du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu
même.
Ça fait des années que j'entends parler de Soft Ice, de cette merveille.
Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de
chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une
version d'évaluation. Ma curiosité ne sera donc pas satisfaite.
Apparemment eux aussi choisissent bien leur clients.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
ppc
Frederic Bonroy wrote:
AMcD® wrote:
Ma curiosité ne sera donc pas satisfaite.
Et Martino Lori reprit son chemin vers le cimientière. Il avait bien des choches à dire à la morte, ce soir-là.
/Tuutto pour bene/
Frederic Bonroy wrote:
AMcD® wrote:
Ma curiosité ne sera donc pas satisfaite.
Et Martino Lori reprit son chemin vers le
cimientière. Il avait bien des choches à dire à la
morte, ce soir-là.
Et Martino Lori reprit son chemin vers le cimientière. Il avait bien des choches à dire à la morte, ce soir-là.
/Tuutto pour bene/
AMcD®
Frederic Bonroy wrote:
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
Oui. À quand un inspecteur du FBI derrière chaque gars qui utilise un désassembleur/débuggueur...
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Ça fait des années que j'entends parler de Soft Ice, de cette
merveille.
Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de
chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une
version d'évaluation. Ma curiosité ne sera donc pas satisfaite.
Apparemment eux aussi choisissent bien leur clients.
Oui. À quand un inspecteur du FBI derrière chaque gars qui utilise un
désassembleur/débuggueur...
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
Oui. À quand un inspecteur du FBI derrière chaque gars qui utilise un désassembleur/débuggueur...
