bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).
Pour ceux qui savent pas se que c'est qu'un compacteur, précisons
d'entrée que ça n'a rien à voir avec un compresseur (comme le sont
les zip, rar, ace, arj, tar, gzip ect qu'on appelle aussi"archiveurs").
Ce sont des programmes permettant de compresser certaines parties
d'un exécutables afin de le rendre plus léger. La routine de
décompression est bien entendue ajoutée au ficher. Celui-ci reste
exécutable tel quel, et rien ne permet a priori de se rendre compte
qu'un compactage du fichier a été entrepris.
LaDDL:
> Veux-tu utiliser les 2 backdoors + les 4 worms du test de ROKOP ?
Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.
> Si oui j peux t les forwarder ;)
Pas la peine, j'ai tout ce qu'il faut :)
> Idem pr les packers
Faut voir ce que tu as. Fait une liste des packers et éventuellement
des unpackers les plus "éxotiques" que tu as. Les autres, on les as
déjà :)
Bon, il semble que nous soyons 4-5 pour l'instant. Je pense que
c'est suffisant pour faire cette petite expérience.
Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si ça
vaut le coup).
Ça c'est un ver! Par contre, c'est sûr que l'on doit pouvoir compresser un ver infecté par un virus.
J'y ai pensé aussi mais ça m'était sorti de la tête! Un peu de fun ne fera pas de mal! Je ne sais même pas quelle partie de ce keylogger est détecté.
Il y avait une archive auto-exctractible
Oui, un rar autoextractible (SFX). A l'intérieur, le programme et la fameuse dll :)
-- joke0
Roland Garcia
Roland Garcia wrote:
Parce que les éditeurs ne voient pas ça du meme oeil que toi vois-tu... Ils sont tous persuadés que leurs produits sont mirifiques et n'apprécient pas que tu farfouilles dedans. Surtout que souvent la seule solution est de désassembler, ce qui est interdit.
Rien n'interdit de tester la détection des anti-virus.
Je n'ai pas écrit celà. Je parle de leur désassemblage...
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Alors, il ne restent que quelques
possibilités de tests externes, qui finissent généralement par des communiqués des éditeurs spécifiant que tu n'y comprends rien, que t'es qu'un amateur et que tu devrais laisser ça aux pros (eux).
Ce n'est pas interdit non plus :-)
C'est bien ce que je dis, "il ne reste plus...". Dis, t'es pas en forme ces temps-ci toi, change un peu d'interlocuteur dans les threads ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar. Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Roland Garcia
Roland Garcia wrote:
Parce que les éditeurs ne voient pas ça du meme oeil que toi
vois-tu... Ils sont tous persuadés que leurs produits sont
mirifiques et n'apprécient pas que tu farfouilles dedans. Surtout
que souvent la seule solution est de désassembler, ce qui est
interdit.
Rien n'interdit de tester la détection des anti-virus.
Je n'ai pas écrit celà. Je parle de leur désassemblage...
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait
effectivement interdit.
Alors, il ne restent que quelques
possibilités de tests externes, qui finissent généralement par des
communiqués des éditeurs spécifiant que tu n'y comprends rien, que
t'es qu'un amateur et que tu devrais laisser ça aux pros (eux).
Ce n'est pas interdit non plus :-)
C'est bien ce que je dis, "il ne reste plus...". Dis, t'es pas en forme ces
temps-ci toi, change un peu d'interlocuteur dans les threads ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar. Même
si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Parce que les éditeurs ne voient pas ça du meme oeil que toi vois-tu... Ils sont tous persuadés que leurs produits sont mirifiques et n'apprécient pas que tu farfouilles dedans. Surtout que souvent la seule solution est de désassembler, ce qui est interdit.
Rien n'interdit de tester la détection des anti-virus.
Je n'ai pas écrit celà. Je parle de leur désassemblage...
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Alors, il ne restent que quelques
possibilités de tests externes, qui finissent généralement par des communiqués des éditeurs spécifiant que tu n'y comprends rien, que t'es qu'un amateur et que tu devrais laisser ça aux pros (eux).
Ce n'est pas interdit non plus :-)
C'est bien ce que je dis, "il ne reste plus...". Dis, t'es pas en forme ces temps-ci toi, change un peu d'interlocuteur dans les threads ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar. Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Roland Garcia
Arnold McDonald \(AMcD\)
Roland Garcia wrote:
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants un peu "spéciaux" qui racontent pas mal de bêtises ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Roland Garcia wrote:
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait
effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui
l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants
un peu "spéciaux" qui racontent pas mal de bêtises ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même
si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants un peu "spéciaux" qui racontent pas mal de bêtises ;o).
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Roland Garcia
Roland Garcia wrote:
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants un peu "spéciaux" qui racontent pas mal de bêtises ;o).
C'est pour ça que j'ai mis le conditionnel.
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
De ta publication sur eicar.com et de la réaction pas toujours scientifique de certains éditeurs.
Roland Garcia
Roland Garcia wrote:
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait
effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui
l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants
un peu "spéciaux" qui racontent pas mal de bêtises ;o).
C'est pour ça que j'ai mis le conditionnel.
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même
si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
De ta publication sur eicar.com et de la réaction pas toujours
scientifique de certains éditeurs.
D'après ce que j'ai lu sur fmdi au sujet de "qui vous savez" ce serait effectivement interdit.
Tu veux parler de fr.misc.droit.internet ? Qu'est-ce qui est interdit et qui l'a dit ? Quand ? Parce que bon, là-bas, il y a aussi quelques intervenants un peu "spéciaux" qui racontent pas mal de bêtises ;o).
C'est pour ça que j'ai mis le conditionnel.
Je te ferais quand même remarquer que je n'ai rien dit sur Eicar.
??? Heu que viens faire EICAR là-dedans ?
Même si ce test n'est pas net "certains" éditeurs anti-virus non plus....
Mais de quoi veux-tu donc parler ?
De ta publication sur eicar.com et de la réaction pas toujours scientifique de certains éditeurs.
Roland Garcia
JacK
'lut,
Une idée comme ça : inutile que tlm se tape tous les unpack/repack des échantillons
Suffit de faire un dossier zippé avec les échantillons compactés + les originaux et de le mettre sur un serveur avec un accès protégé par un .htaccess par exemple et de communiquer les identifiants aux seuls participants. -- JacK
'lut,
Une idée comme ça : inutile que tlm se tape tous les unpack/repack des
échantillons
Suffit de faire un dossier zippé avec les échantillons compactés + les
originaux et de le mettre sur un serveur avec un accès protégé par un
.htaccess par exemple et de communiquer les identifiants aux seuls
participants.
--
JacK
Une idée comme ça : inutile que tlm se tape tous les unpack/repack des échantillons
Suffit de faire un dossier zippé avec les échantillons compactés + les originaux et de le mettre sur un serveur avec un accès protégé par un .htaccess par exemple et de communiquer les identifiants aux seuls participants. -- JacK
Ah bon? Kaspersky s'est gouré alors: http://www.avp.ch/avpve/worms/email/magistr.stm
;-)
Frederic Bonroy
joke0 wrote:
Oui, mais je ne prendrais que des virus fonctionnels, c'est à dire approuvé par un labo ou trouvé dans la nature (par la méthode que je t'ai expliquée il y a qq tps -mais silence là-dessus ;-)
Moi je ne dis rien, j'ai la bouche cousue. Remarque, si on ajoute ma méthode et la méthode djehutienne on pourrait carrément écrire un article "comment obtenir en une journée assez de virus pour remplir un disque dur tout neuf". :-)
joke0 wrote:
Oui, mais je ne prendrais que des virus fonctionnels, c'est à dire
approuvé par un labo ou trouvé dans la nature (par la méthode que je
t'ai expliquée il y a qq tps -mais silence là-dessus ;-)
Moi je ne dis rien, j'ai la bouche cousue. Remarque, si on ajoute
ma méthode et la méthode djehutienne on pourrait carrément écrire
un article "comment obtenir en une journée assez de virus pour
remplir un disque dur tout neuf". :-)
Oui, mais je ne prendrais que des virus fonctionnels, c'est à dire approuvé par un labo ou trouvé dans la nature (par la méthode que je t'ai expliquée il y a qq tps -mais silence là-dessus ;-)
Moi je ne dis rien, j'ai la bouche cousue. Remarque, si on ajoute ma méthode et la méthode djehutienne on pourrait carrément écrire un article "comment obtenir en une journée assez de virus pour remplir un disque dur tout neuf". :-)
joke0
Salut,
Frederic Bonroy:
D:VIRUSMTEST.EXE infected: I-Worm.Magistr.b Ça c'est un ver!
Ah bon? Kaspersky s'est gouré alors: http://www.avp.ch/avpve/worms/email/magistr.stm
Haha! Tout de suite tu me sort un cas particulier, je cite: « This is a very dangerous memory resident Win32 worm combined with virus infection routines ». Magister est à la fois un virus et un ver...
;-)
;-)
-- joke0
Salut,
Frederic Bonroy:
D:VIRUSMTEST.EXE infected: I-Worm.Magistr.b
Ça c'est un ver!
Ah bon? Kaspersky s'est gouré alors:
http://www.avp.ch/avpve/worms/email/magistr.stm
Haha! Tout de suite tu me sort un cas particulier, je cite: « This is a very
dangerous memory resident Win32 worm combined with virus infection
routines ». Magister est à la fois un virus et un ver...
D:VIRUSMTEST.EXE infected: I-Worm.Magistr.b Ça c'est un ver!
Ah bon? Kaspersky s'est gouré alors: http://www.avp.ch/avpve/worms/email/magistr.stm
Haha! Tout de suite tu me sort un cas particulier, je cite: « This is a very dangerous memory resident Win32 worm combined with virus infection routines ». Magister est à la fois un virus et un ver...
;-)
;-)
-- joke0
Frederic Bonroy
"Arnold McDonald (AMcD)" wrote:
Parce que les éditeurs ne voient pas ça du meme oeil que toi vois-tu... Ils sont tous persuadés que leurs produits sont mirifiques et n'apprécient pas que tu farfouilles dedans.
Ils sont bien conscients des limites de leurs produits, du moins les techniciens. Ce sont les gars du marketing qui racontent des âneries. Mais il est vrai qu'ils n'aiment pas parler des faiblesses de leur produits. Je ne sais pas si c'est parce qu'ils méprisent la vulgaire populace que nous sommes ou si ça les enquiquine simplement d'en parler.
J'ai fait l'expérience deux fois avec Frisk: la première fois c'était un problème avec leur émulateur. Skulason en personne m'avait répondu, mais une seule fois; il n'a plus réagi après. Même chose plus tard avec un Opaserv non détecté que je lui avais envoyé (il me l'avait demandé), il n'avait pas répondu à toutes mes questions.
Kaspersky c'est pareil, j'attends toujours qu'il me dise pourquoi la version DOS 3.0.133 était disponible sur le site suisse bien qu'elle soit incapable de détecter Sobig.E. D'ailleurs le distributeur suisse n'était pas très bavard non plus, rien n'a changé, ce n'est pas sérieux tout ça! :-(
Puis un contributeur de claymania.com avait envoyé un très simple virus VBS à H+BEDV en leur demandant pourquoi AntiVir était incapable de le détecter heuristiquement - il a reçu une réponse standard ("c'est un nouveau virus, on va l'ajouter").
Et puis certains ici ont eu des ennuis avec Eset.
Bref, c'est triste. Certains éditeurs ont l'air de prendre leurs utilisateurs pour des demeurés.
Alors, il ne restent que quelques possibilités de tests externes, qui finissent généralement par des communiqués des éditeurs spécifiant que tu n'y comprends rien, que t'es qu'un amateur et que tu devrais laisser ça aux pros (eux).
Il faut bien sûr admettre que beaucoup de tests réalisés par des amateurs ne valent rien. Par exemple, si l'antivirus ABC foire lamentablement lors d'un test réalisé par un magazine avec des simulateurs de virus, les lecteurs vont contacter l'éditeur pour lui demander pourquoi son produit est si mauvais; va leur expliquer la différence entre des virus et des simulateurs et leur faire comprendre que ce test n'a aucune valeur scientifique. Il est peu probable qu'ils comprennent, ils diront plutôt "ouais, z'êtes que des menteurs et mon magazine préféré à moi il a fait un test qui prouve que vous êtes que des escrocs qui blablabla".
"Arnold McDonald (AMcD)" wrote:
Parce que les éditeurs ne voient pas ça du meme oeil que toi vois-tu... Ils
sont tous persuadés que leurs produits sont mirifiques et n'apprécient pas
que tu farfouilles dedans.
Ils sont bien conscients des limites de leurs produits, du moins les
techniciens. Ce sont les gars du marketing qui racontent des âneries.
Mais il est vrai qu'ils n'aiment pas parler des faiblesses de leur
produits. Je ne sais pas si c'est parce qu'ils méprisent la vulgaire
populace que nous sommes ou si ça les enquiquine simplement d'en parler.
J'ai fait l'expérience deux fois avec Frisk: la première fois c'était
un problème avec leur émulateur. Skulason en personne m'avait répondu,
mais une seule fois; il n'a plus réagi après.
Même chose plus tard avec un Opaserv non détecté que je lui avais
envoyé (il me l'avait demandé), il n'avait pas répondu à toutes mes
questions.
Kaspersky c'est pareil, j'attends toujours qu'il me dise pourquoi
la version DOS 3.0.133 était disponible sur le site suisse bien
qu'elle soit incapable de détecter Sobig.E.
D'ailleurs le distributeur suisse n'était pas très bavard non plus,
rien n'a changé, ce n'est pas sérieux tout ça! :-(
Puis un contributeur de claymania.com avait envoyé un très simple
virus VBS à H+BEDV en leur demandant pourquoi AntiVir était
incapable de le détecter heuristiquement - il a reçu une réponse
standard ("c'est un nouveau virus, on va l'ajouter").
Et puis certains ici ont eu des ennuis avec Eset.
Bref, c'est triste. Certains éditeurs ont l'air de prendre leurs
utilisateurs pour des demeurés.
Alors, il ne restent que quelques possibilités de tests externes, qui
finissent généralement par des communiqués des éditeurs spécifiant que
tu n'y comprends rien, que t'es qu'un amateur et que tu devrais laisser
ça aux pros (eux).
Il faut bien sûr admettre que beaucoup de tests réalisés par des
amateurs ne valent rien. Par exemple, si l'antivirus ABC foire
lamentablement lors d'un test réalisé par un magazine avec des
simulateurs de virus, les lecteurs vont contacter l'éditeur pour
lui demander pourquoi son produit est si mauvais; va leur expliquer
la différence entre des virus et des simulateurs et leur faire
comprendre que ce test n'a aucune valeur scientifique. Il est peu
probable qu'ils comprennent, ils diront plutôt "ouais, z'êtes que
des menteurs et mon magazine préféré à moi il a fait un test qui
prouve que vous êtes que des escrocs qui blablabla".
Parce que les éditeurs ne voient pas ça du meme oeil que toi vois-tu... Ils sont tous persuadés que leurs produits sont mirifiques et n'apprécient pas que tu farfouilles dedans.
Ils sont bien conscients des limites de leurs produits, du moins les techniciens. Ce sont les gars du marketing qui racontent des âneries. Mais il est vrai qu'ils n'aiment pas parler des faiblesses de leur produits. Je ne sais pas si c'est parce qu'ils méprisent la vulgaire populace que nous sommes ou si ça les enquiquine simplement d'en parler.
J'ai fait l'expérience deux fois avec Frisk: la première fois c'était un problème avec leur émulateur. Skulason en personne m'avait répondu, mais une seule fois; il n'a plus réagi après. Même chose plus tard avec un Opaserv non détecté que je lui avais envoyé (il me l'avait demandé), il n'avait pas répondu à toutes mes questions.
Kaspersky c'est pareil, j'attends toujours qu'il me dise pourquoi la version DOS 3.0.133 était disponible sur le site suisse bien qu'elle soit incapable de détecter Sobig.E. D'ailleurs le distributeur suisse n'était pas très bavard non plus, rien n'a changé, ce n'est pas sérieux tout ça! :-(
Puis un contributeur de claymania.com avait envoyé un très simple virus VBS à H+BEDV en leur demandant pourquoi AntiVir était incapable de le détecter heuristiquement - il a reçu une réponse standard ("c'est un nouveau virus, on va l'ajouter").
Et puis certains ici ont eu des ennuis avec Eset.
Bref, c'est triste. Certains éditeurs ont l'air de prendre leurs utilisateurs pour des demeurés.
Alors, il ne restent que quelques possibilités de tests externes, qui finissent généralement par des communiqués des éditeurs spécifiant que tu n'y comprends rien, que t'es qu'un amateur et que tu devrais laisser ça aux pros (eux).
Il faut bien sûr admettre que beaucoup de tests réalisés par des amateurs ne valent rien. Par exemple, si l'antivirus ABC foire lamentablement lors d'un test réalisé par un magazine avec des simulateurs de virus, les lecteurs vont contacter l'éditeur pour lui demander pourquoi son produit est si mauvais; va leur expliquer la différence entre des virus et des simulateurs et leur faire comprendre que ce test n'a aucune valeur scientifique. Il est peu probable qu'ils comprennent, ils diront plutôt "ouais, z'êtes que des menteurs et mon magazine préféré à moi il a fait un test qui prouve que vous êtes que des escrocs qui blablabla".
LaDDL
Roland Garcia wrote:
Le problème des packers c'est qu'il y en a des tas. Tu auras bien du mal à les recenser tous. Des applis avec packers (à 200 à l'heure) ?
Alloy, AppLok, Armadillo, ASPack, BJFNT, CodeCrypt, Ding Boys PE-Lock, Exe Protector, PE Compact, PE-Crypt32, PELOCKnt, PE Password Encryptor, PE-Prot, Petite, Private Exe, Shrinker, Stone PE, UPX
