On avait crie' au canular, en fait, c'est un fantome :
http://valgasu.rstack.org/casper/
Je n'ai absolument rien contre le developpement de POC, mais
la prochaine fois qu'on viendra sur ce forum demander si ce sont
les editeurs d'anti-virus qui font les malwares...refrechissez bien
avant de repondre :
Je n'ose pas imaginer que ce code puisse etre inclus dans une
version quelconque d'Agobot (brrrr...).
Ah, j'oubliais. Heuristiques vs Furtivite' : 1 - 0
351 ms D:\Tmp\casper\Release\hook.exe Virus W32/Malware ( [
General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 53248 bytes.
[ Process/window information ]
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer, amha c'est moins utile que l'analyse de graphes pour localiser la zone à examiner quand on connait les autres.
Oui, mais j'ai surtout l'impression que c'est complementaire. Du moins dans le cas ou l'analyse de graphe se fait en utilisant la methode proposee par Halvar Flake (sans presumer des capacites des autres methodes d'analyse de graphe). Etant donne' les criteres utilises par celui-ci pour determiner les similitudes entre deux procedures (nombre de blocs - tete de bloc = destination de saut -, nombre d'aretes, nombre de calls par noeud, puis mise en correspondance des graphes d'appel), on fait, je suppose, l'hypothese a-priori que les programmes compares sont similaires.
Donc la methode d'analyse de similarite' par compression pourrait etre utilisee en tant que preprocesseur, et la methode d'analyse de graphe viendrait ensuite pour identifier les zones similaires (mais en vous relisant, je realise qu'on est vraissemblablement d'accord).
C'est aussi beaucoup plus facile
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi. Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
et probablement plus facilement contournable (enfin cela donnerait dees résultats erronés quand l'analyse de graphe n'en donnerait pas).
Par exemple les vers qui rajoutent des octets aleatoires a la suite de leur propre code pour eviter la prise d'empreinte MD5 (Bagle, Netsky ?) trompent du meme coup ce genre de techniques.
Reste a savoir si le risque est plutot du cote des faux positifs (programmes etant reconnus comme similaires tandis qu'ils ne le sont pas) ou des faux negatifs. J'ai le sentiment que dans tous les cas, la taille des deux programmes a comparer doit etre relativement similaire pour que ca marche correctement.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Pierre Vandevennne wrote:
NO_eikaewt_SPAM@hotmail.com (Tweakie) wrote in
news:40c30907$0$21562$626a14ce@news.free.fr:
Cette technique, sa justification mathematique, et certaines
applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer,
amha c'est moins utile que l'analyse de graphes pour localiser la zone à
examiner quand on connait les autres.
Oui, mais j'ai surtout l'impression que c'est complementaire. Du moins
dans le cas ou l'analyse de graphe se fait en utilisant la methode
proposee par Halvar Flake (sans presumer des capacites des autres
methodes d'analyse de graphe). Etant donne' les criteres utilises par
celui-ci pour determiner les similitudes entre deux procedures (nombre
de blocs - tete de bloc = destination de saut -, nombre d'aretes, nombre
de calls par noeud, puis mise en correspondance des graphes d'appel), on
fait,
je suppose, l'hypothese a-priori que les programmes compares
sont similaires.
Donc la methode d'analyse de similarite' par compression pourrait etre
utilisee en tant que preprocesseur, et la methode d'analyse de graphe
viendrait ensuite pour identifier les zones similaires (mais en vous
relisant,
je realise qu'on est vraissemblablement d'accord).
C'est aussi beaucoup plus facile
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi.
Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
et probablement plus facilement contournable (enfin cela donnerait
dees résultats erronés quand l'analyse de graphe n'en donnerait pas).
Par exemple les vers qui rajoutent des octets aleatoires a la suite de
leur
propre code pour eviter la prise d'empreinte MD5 (Bagle, Netsky ?) trompent
du meme coup ce genre de techniques.
Reste a savoir si le risque est plutot du cote des faux positifs
(programmes etant reconnus comme similaires tandis qu'ils ne
le sont pas) ou des faux negatifs. J'ai le sentiment que dans tous
les cas, la taille des deux programmes a comparer doit etre relativement
similaire pour que ca marche correctement.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Cette technique, sa justification mathematique, et certaines applications sont exposees dans cet article :
http://arxiv.org/PS_cache/cs/pdf/0312/0312044.pdf
Intéressant, merci pour le lien. Cela dit, si cela peut servir à classer, amha c'est moins utile que l'analyse de graphes pour localiser la zone à examiner quand on connait les autres.
Oui, mais j'ai surtout l'impression que c'est complementaire. Du moins dans le cas ou l'analyse de graphe se fait en utilisant la methode proposee par Halvar Flake (sans presumer des capacites des autres methodes d'analyse de graphe). Etant donne' les criteres utilises par celui-ci pour determiner les similitudes entre deux procedures (nombre de blocs - tete de bloc = destination de saut -, nombre d'aretes, nombre de calls par noeud, puis mise en correspondance des graphes d'appel), on fait, je suppose, l'hypothese a-priori que les programmes compares sont similaires.
Donc la methode d'analyse de similarite' par compression pourrait etre utilisee en tant que preprocesseur, et la methode d'analyse de graphe viendrait ensuite pour identifier les zones similaires (mais en vous relisant, je realise qu'on est vraissemblablement d'accord).
C'est aussi beaucoup plus facile
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi. Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
et probablement plus facilement contournable (enfin cela donnerait dees résultats erronés quand l'analyse de graphe n'en donnerait pas).
Par exemple les vers qui rajoutent des octets aleatoires a la suite de leur propre code pour eviter la prise d'empreinte MD5 (Bagle, Netsky ?) trompent du meme coup ce genre de techniques.
Reste a savoir si le risque est plutot du cote des faux positifs (programmes etant reconnus comme similaires tandis qu'ils ne le sont pas) ou des faux negatifs. J'ai le sentiment que dans tous les cas, la taille des deux programmes a comparer doit etre relativement similaire pour que ca marche correctement.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Pierre Vandevennne
Frederic Bonroy wrote in news::
AMcD® wrote:
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système, IDA avant tout un désassembleur. Même si cela parait similaire, c'est très différent. Soft-Ice désassemble les instructions pour affichage, nous les désassemblons pour analyse. Pas moyen de désassembler explorer dans Soft- Ice (le déboguer si), pas moyen de déboguer un driver dans IDA (le désassembler si).
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
Frederic Bonroy <bidonavirus@yahoo.fr> wrote in
news:2ijqcaFno95nU1@uni-berlin.de:
AMcD® wrote:
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA,
mais c'est lourd, très lourd, compliqué et même si les tarifs
baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son
interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine
dernière en ce lieu même.
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système, IDA
avant tout un désassembleur. Même si cela parait similaire, c'est très
différent. Soft-Ice désassemble les instructions pour affichage, nous les
désassemblons pour analyse. Pas moyen de désassembler explorer dans Soft-
Ice (le déboguer si), pas moyen de déboguer un driver dans IDA (le
désassembler si).
Ça fait des années que j'entends parler de Soft Ice, de cette
merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma
pointure de chaussure et la couleur de ma brosse à dent pour pouvoir
obtenir une version d'évaluation. Ma curiosité ne sera donc pas
satisfaite. Apparemment eux aussi choisissent bien leur clients.
Le problème est simple: un désassembleur ou un débogueur, cela attire des
milliers de punkoides retardés mentaux quand ils découvrent qu'on peut
"hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les
évite :)
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
Mais bon, si tu as lu les réponses de Vandevenne, tu as son interprétation du pourquoi de ces tarifs. Sinon, c'était la semaine dernière en ce lieu même.
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système, IDA avant tout un désassembleur. Même si cela parait similaire, c'est très différent. Soft-Ice désassemble les instructions pour affichage, nous les désassemblons pour analyse. Pas moyen de désassembler explorer dans Soft- Ice (le déboguer si), pas moyen de déboguer un driver dans IDA (le désassembler si).
Ça fait des années que j'entends parler de Soft Ice, de cette merveille. Mais ce qui m'agace, c'est qu'il faut leur donner ma pointure de chaussure et la couleur de ma brosse à dent pour pouvoir obtenir une version d'évaluation. Ma curiosité ne sera donc pas satisfaite. Apparemment eux aussi choisissent bien leur clients.
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
NO_eikaewt_SPAM
AMcD® wrote:
Frederic Bonroy wrote:
AMcD® wrote:
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
A vue de nez (jamais teste'), ca n'a pas l'air d'etre tout a fait dans le meme creneau. L'un est un desassembleur et l'autre est un debugger (meme si chacun empiete manifestement sur les plates-bandes de l'autre).
J'utilise de temps a autre les produits de la suite DevPartner (boundschecker, et les deux produits qui s'appelaient truetime et truecoverage). C'est plutot pratique pour ceux qui, comme moi, codent comme des porcs :-) Par contre, le support technique nous a un peu decu : aller expliquer a ses clients que ca ne peut marcher que si l'utilisateur a les droits d'administrateur et que "non, mon bon monsieur, on aimerait bien mais on peut rien y faire", tandis qu'il suffit en fait d'aller changer les droits sur une clef de la BdR, c'est un peu prendre leur clientele - les developpeurs - pour des debiles profonds...
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
AMcD® wrote:
Frederic Bonroy wrote:
AMcD® wrote:
SI. Trop cher et, AMHA, pas équivalent au produit de Pierre.
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais
c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu,
cher.
A vue de nez (jamais teste'), ca n'a pas l'air d'etre tout a fait dans le
meme creneau. L'un est un desassembleur et l'autre est un debugger
(meme si chacun empiete manifestement sur les plates-bandes de l'autre).
J'utilise de temps a autre les produits de la suite DevPartner
(boundschecker,
et les deux produits qui s'appelaient truetime et truecoverage). C'est
plutot
pratique pour ceux qui, comme moi, codent comme des porcs :-)
Par contre, le support technique nous a un peu decu : aller expliquer a
ses clients que ca ne peut marcher que si l'utilisateur a les droits
d'administrateur et que "non, mon bon monsieur, on aimerait bien mais
on peut rien y faire", tandis qu'il suffit en fait d'aller changer les
droits sur
une clef de la BdR, c'est un peu prendre leur clientele - les developpeurs
-
pour des debiles profonds...
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Ça tue, l'interface est, AMHA, bien plus pratique que celle de IDA, mais c'est lourd, très lourd, compliqué et même si les tarifs baissent peu à peu, cher.
A vue de nez (jamais teste'), ca n'a pas l'air d'etre tout a fait dans le meme creneau. L'un est un desassembleur et l'autre est un debugger (meme si chacun empiete manifestement sur les plates-bandes de l'autre).
J'utilise de temps a autre les produits de la suite DevPartner (boundschecker, et les deux produits qui s'appelaient truetime et truecoverage). C'est plutot pratique pour ceux qui, comme moi, codent comme des porcs :-) Par contre, le support technique nous a un peu decu : aller expliquer a ses clients que ca ne peut marcher que si l'utilisateur a les droits d'administrateur et que "non, mon bon monsieur, on aimerait bien mais on peut rien y faire", tandis qu'il suffit en fait d'aller changer les droits sur une clef de la BdR, c'est un peu prendre leur clientele - les developpeurs - pour des debiles profonds...
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy
Pierre Vandevennne wrote:
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
Bof, les débogueurs/désassembleurs gratuits ne manquent pas et sont facilement accessibles. Donc s'ils ne peuvent pas obtenir un programme professionnel, les tarés se replieront sur ces alternatives. De toute façon une version d'évaluation "grand public" un peu bridée pourrait limiter les dégâts.
Pierre Vandevennne wrote:
Le problème est simple: un désassembleur ou un débogueur, cela attire des
milliers de punkoides retardés mentaux quand ils découvrent qu'on peut
"hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les
évite :)
Bof, les débogueurs/désassembleurs gratuits ne manquent pas et sont
facilement accessibles. Donc s'ils ne peuvent pas obtenir un programme
professionnel, les tarés se replieront sur ces alternatives. De toute
façon une version d'évaluation "grand public" un peu bridée pourrait
limiter les dégâts.
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
Bof, les débogueurs/désassembleurs gratuits ne manquent pas et sont facilement accessibles. Donc s'ils ne peuvent pas obtenir un programme professionnel, les tarés se replieront sur ces alternatives. De toute façon une version d'évaluation "grand public" un peu bridée pourrait limiter les dégâts.
Frederic Bonroy
Tweakie wrote:
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi. Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
L'ennui pour nous, les simples mortels amateurs, c'est que beaucoup (pratiquement toutes?) de techniques de détection de virus reposent d'une manière ou d'une autre sur l'analyse du code. Si on veut soi-même développer des algorithmes de détection de virus, ou reprendre et expérimenter avec ceux élaborés par d'autres, bref, s'amuser en s'intéressant au côté un peu plus technique des virus, il faut d'abord écrire un désassembleur qui pourra "nourrir" ces algorithmes avec les informations dont ils besoin, et pour écrire un désassembleur complet il faut de la patience que pour ma part je n'ai pas. :-)
C'est bête, ça nous empêche d'experimenter nous-mêmes avec tout un tas de trucs comme cette histoire de graphes etc. On en reste à la théorie. :-(
Tweakie wrote:
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi.
Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
L'ennui pour nous, les simples mortels amateurs, c'est que beaucoup
(pratiquement toutes?) de techniques de détection de virus reposent
d'une manière ou d'une autre sur l'analyse du code.
Si on veut soi-même développer des algorithmes de détection de virus, ou
reprendre et expérimenter avec ceux élaborés par d'autres, bref,
s'amuser en s'intéressant au côté un peu plus technique des virus, il
faut d'abord écrire un désassembleur qui pourra "nourrir" ces
algorithmes avec les informations dont ils besoin, et pour écrire un
désassembleur complet il faut de la patience que pour ma part je n'ai
pas. :-)
C'est bête, ça nous empêche d'experimenter nous-mêmes avec tout un tas
de trucs comme cette histoire de graphes etc. On en reste à la théorie. :-(
C'est le gros avantage : tout un chacun peut s'amuser a tester ca chez soi. Pour l'analyse de graphe, je crains que ce soit un tantinet plus complexe.
L'ennui pour nous, les simples mortels amateurs, c'est que beaucoup (pratiquement toutes?) de techniques de détection de virus reposent d'une manière ou d'une autre sur l'analyse du code. Si on veut soi-même développer des algorithmes de détection de virus, ou reprendre et expérimenter avec ceux élaborés par d'autres, bref, s'amuser en s'intéressant au côté un peu plus technique des virus, il faut d'abord écrire un désassembleur qui pourra "nourrir" ces algorithmes avec les informations dont ils besoin, et pour écrire un désassembleur complet il faut de la patience que pour ma part je n'ai pas. :-)
C'est bête, ça nous empêche d'experimenter nous-mêmes avec tout un tas de trucs comme cette histoire de graphes etc. On en reste à la théorie. :-(
AMcD®
Pierre Vandevennne wrote:
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système, IDA avant tout un désassembleur.
Oui. Précision utile de Tweakie et de toi.
Même si cela parait similaire, c'est très différent. Soft-Ice désassemble les instructions pour affichage, nous les désassemblons pour analyse. Pas moyen de désassembler explorer dans Soft- Ice (le déboguer si), pas moyen de déboguer un driver dans IDA (le désassembler si).
Très différent... Dans un déboggueur il y a un désassembleur, sinon, ce ne serait pas très utile :o). Je comparais les deux produits pour la qualité de leur désassemblage, très loin devant la concurrence à mon humble avis. Quoique je me sers souvent des debuggeurs de Microsoft qui font très bien leur boulot également.
Fouiller par là pour ceux que ça intéressent : http://www.microsoft.com/whdc/ddk/
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
Je trouve ce jugement bien aggressif. Pourquoi sont-ce des tarés ?
-- AMcD®
http://arnold.mcdonald.free.fr/
Pierre Vandevennne wrote:
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système,
IDA avant tout un désassembleur.
Oui. Précision utile de Tweakie et de toi.
Même si cela parait similaire, c'est
très différent. Soft-Ice désassemble les instructions pour affichage,
nous les désassemblons pour analyse. Pas moyen de désassembler
explorer dans Soft- Ice (le déboguer si), pas moyen de déboguer un
driver dans IDA (le désassembler si).
Très différent... Dans un déboggueur il y a un désassembleur, sinon, ce ne
serait pas très utile :o). Je comparais les deux produits pour la qualité de
leur désassemblage, très loin devant la concurrence à mon humble avis.
Quoique je me sers souvent des debuggeurs de Microsoft qui font très bien
leur boulot également.
Fouiller par là pour ceux que ça intéressent :
http://www.microsoft.com/whdc/ddk/
Le problème est simple: un désassembleur ou un débogueur, cela attire
des milliers de punkoides retardés mentaux quand ils découvrent qu'on
peut "hacker" avec ces produits. Tout le monde à raz le C... de ces
tarés et les évite :)
Je trouve ce jugement bien aggressif. Pourquoi sont-ce des tarés ?
Aussi, ne pas mélanger: soft-ice est avant tout un debogueur système, IDA avant tout un désassembleur.
Oui. Précision utile de Tweakie et de toi.
Même si cela parait similaire, c'est très différent. Soft-Ice désassemble les instructions pour affichage, nous les désassemblons pour analyse. Pas moyen de désassembler explorer dans Soft- Ice (le déboguer si), pas moyen de déboguer un driver dans IDA (le désassembler si).
Très différent... Dans un déboggueur il y a un désassembleur, sinon, ce ne serait pas très utile :o). Je comparais les deux produits pour la qualité de leur désassemblage, très loin devant la concurrence à mon humble avis. Quoique je me sers souvent des debuggeurs de Microsoft qui font très bien leur boulot également.
Fouiller par là pour ceux que ça intéressent : http://www.microsoft.com/whdc/ddk/
Le problème est simple: un désassembleur ou un débogueur, cela attire des milliers de punkoides retardés mentaux quand ils découvrent qu'on peut "hacker" avec ces produits. Tout le monde à raz le C... de ces tarés et les évite :)
Je trouve ce jugement bien aggressif. Pourquoi sont-ce des tarés ?
