bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).
Pour ceux qui savent pas se que c'est qu'un compacteur, précisons
d'entrée que ça n'a rien à voir avec un compresseur (comme le sont
les zip, rar, ace, arj, tar, gzip ect qu'on appelle aussi"archiveurs").
Ce sont des programmes permettant de compresser certaines parties
d'un exécutables afin de le rendre plus léger. La routine de
décompression est bien entendue ajoutée au ficher. Celui-ci reste
exécutable tel quel, et rien ne permet a priori de se rendre compte
qu'un compactage du fichier a été entrepris.
LaDDL:
> Veux-tu utiliser les 2 backdoors + les 4 worms du test de ROKOP ?
Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.
> Si oui j peux t les forwarder ;)
Pas la peine, j'ai tout ce qu'il faut :)
> Idem pr les packers
Faut voir ce que tu as. Fait une liste des packers et éventuellement
des unpackers les plus "éxotiques" que tu as. Les autres, on les as
déjà :)
Bon, il semble que nous soyons 4-5 pour l'instant. Je pense que
c'est suffisant pour faire cette petite expérience.
Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si ça
vaut le coup).
Bon j'ai vérifié ma configuration & effectué quelques ajustements. Ca devrait être mieux à présent très chère ;) Il est très bien mais voilà ce qui se passe quand on laisse ses proches utiliser sa machine ! Pour information, mon reader est Noworita. Il est très bien !
Il semble pour l'instant utiliser ISO-8859-2 (Europe Centrale) au lieu d'ISO-8859-2. Ci-dessus ce qui s'affiche chez moi :-( (je n'utilise pas un codage par défaut pour les messages entrants car je me balade parfois dans ng polonais)
Ewcia
Bjr
Si tu veux passer en ISO-8859-1 vas dans Options/Set 8 bit characters as... et indiques ce que tu veux ;)
siostra Ani wrote:
Dans la news:3f225ccb$0$29208$79c14f64@nan-newsreader-02.noos.net,
LaDDL <alamaison@noos.fr> a écrit:
Bon j'ai vérifié ma configuration & effectué quelques ajustements.
Ca devrait être mieux à présent très chère ;)
Il est très bien mais voilà ce qui se passe quand on laisse ses
proches utiliser sa machine !
Pour information, mon reader est Noworita. Il est très bien !
Il semble pour l'instant utiliser ISO-8859-2 (Europe Centrale) au lieu
d'ISO-8859-2.
Ci-dessus ce qui s'affiche chez moi :-(
(je n'utilise pas un codage par défaut pour les messages entrants car
je me balade parfois dans ng polonais)
Ewcia
Bjr
Si tu veux passer en ISO-8859-1 vas dans Options/Set 8 bit characters
as... et indiques ce que tu veux ;)
Bon j'ai vérifié ma configuration & effectué quelques ajustements. Ca devrait être mieux à présent très chère ;) Il est très bien mais voilà ce qui se passe quand on laisse ses proches utiliser sa machine ! Pour information, mon reader est Noworita. Il est très bien !
Il semble pour l'instant utiliser ISO-8859-2 (Europe Centrale) au lieu d'ISO-8859-2. Ci-dessus ce qui s'affiche chez moi :-( (je n'utilise pas un codage par défaut pour les messages entrants car je me balade parfois dans ng polonais)
Ewcia
Bjr
Si tu veux passer en ISO-8859-1 vas dans Options/Set 8 bit characters as... et indiques ce que tu veux ;)
Content-Type: text/plain; charset="iso-8859-1" Tout de même !
Alors heureuse ? ;)
Je parlais du cafouillage de mon propre en[meeeeeep]ueue de lecteur de nouvelles. Quant à savoir si c'est par solidarité avec le tien ou une simple application des lois de Usenet + Murphy... ;o)
LN Mais à présent, tout est bien. Réjouissons-nous, mes amis, et retournons à notre programme habituel : virus'n'trolls. -- Lecturer: Is there some problem down the back? Zen-Master Greg: There is no problem. L: Then what was that noise? ZMG: Problem resolution. (http://www.guild.uwa.edu.au/users/greg/)
LaDDL a écrit:
Content-Type: text/plain; charset="iso-8859-1"
Tout de même !
Alors heureuse ? ;)
Je parlais du cafouillage de mon propre en[meeeeeep]ueue de lecteur de
nouvelles.
Quant à savoir si c'est par solidarité avec le tien ou une simple
application des lois de Usenet + Murphy... ;o)
LN
Mais à présent, tout est bien. Réjouissons-nous, mes amis, et retournons
à notre programme habituel : virus'n'trolls.
--
Lecturer: Is there some problem down the back?
Zen-Master Greg: There is no problem.
L: Then what was that noise?
ZMG: Problem resolution. (http://www.guild.uwa.edu.au/users/greg/)
Content-Type: text/plain; charset="iso-8859-1" Tout de même !
Alors heureuse ? ;)
Je parlais du cafouillage de mon propre en[meeeeeep]ueue de lecteur de nouvelles. Quant à savoir si c'est par solidarité avec le tien ou une simple application des lois de Usenet + Murphy... ;o)
LN Mais à présent, tout est bien. Réjouissons-nous, mes amis, et retournons à notre programme habituel : virus'n'trolls. -- Lecturer: Is there some problem down the back? Zen-Master Greg: There is no problem. L: Then what was that noise? ZMG: Problem resolution. (http://www.guild.uwa.edu.au/users/greg/)
LaDDL
Tweakie wrote:
bon, apparemment plusieurs personnes ont l'air motivées pour conduire ce test sur les compacteurs (alias packers).
Desole' d'insister, mais pour les trojans (au moins !), faudrait faire ca dans les regles de l'art et aussi tester des binders. Une chtite liste (piske c'est a la mode) :
[...]
et pour resumer le protocole (qui est celui habituellement utilise' par ceux qui envoient des trojans, a defaut d'etre celui utilise' par ceux qui testent les AVs, ca me parait donc important si on veut faire un test significatif):
trojan | | Test on-access |-> Joiner -> Binder -> | exe sain de reference | | Test on-demand
Ensuite, il suffit de faire varier Trojan, Joiner et Binder.
Si on a T trojans, J Joiners et B Binders et qu'on veut tout tester, T*J*B echantillons. Va falloir limiter T, J ou B.
Ah parfait on commence à rentrer dans le vif du sujet ;)
Ton principe de fonctionnement me satisfait. Va falloir choisir les échantillons maintenant.
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV vis a vis de tel ou tel packer/binder.
[...]
Si on prend pour optique que ce test devrait permettre de mettre en evidence l'efficacite' relative de chacune de ces deux methodes, il faut avoir un echantillon suffisemment important pour pouvoir lui reconnaitre une valeur statistique.
*l'autre point qui m'embete un peu, c'est que le manque de plateforme dediee nous empechera sans doute de faire des tests "on-access". On va perdre une nuance importante.
Oui moi aussi.
[...]
Tweakie wrote:
bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).
Desole' d'insister, mais pour les trojans (au moins !), faudrait faire
ca dans les regles de l'art et aussi tester des binders. Une chtite
liste (piske c'est a la mode) :
[...]
et pour resumer le protocole (qui est celui habituellement utilise'
par ceux qui envoient des trojans, a defaut d'etre celui utilise'
par ceux qui testent les AVs, ca me parait donc important si on veut
faire un test significatif):
trojan | | Test on-access
|-> Joiner -> Binder -> |
exe sain de reference | | Test on-demand
Ensuite, il suffit de faire varier Trojan, Joiner et Binder.
Si on a T trojans, J Joiners et B Binders et qu'on veut tout tester,
T*J*B echantillons. Va falloir limiter T, J ou B.
Ah parfait on commence à rentrer dans le vif du sujet ;)
Ton principe de fonctionnement me satisfait.
Va falloir choisir les échantillons maintenant.
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle
peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV
vis a vis de tel ou tel packer/binder.
[...]
Si on prend pour optique que ce test devrait permettre de mettre en evidence
l'efficacite' relative de chacune de ces deux methodes, il faut
avoir un echantillon suffisemment important pour pouvoir lui
reconnaitre une valeur statistique.
*l'autre point qui m'embete un peu, c'est que le manque de plateforme
dediee nous empechera sans doute de faire des tests "on-access". On
va perdre une nuance importante.
bon, apparemment plusieurs personnes ont l'air motivées pour conduire ce test sur les compacteurs (alias packers).
Desole' d'insister, mais pour les trojans (au moins !), faudrait faire ca dans les regles de l'art et aussi tester des binders. Une chtite liste (piske c'est a la mode) :
[...]
et pour resumer le protocole (qui est celui habituellement utilise' par ceux qui envoient des trojans, a defaut d'etre celui utilise' par ceux qui testent les AVs, ca me parait donc important si on veut faire un test significatif):
trojan | | Test on-access |-> Joiner -> Binder -> | exe sain de reference | | Test on-demand
Ensuite, il suffit de faire varier Trojan, Joiner et Binder.
Si on a T trojans, J Joiners et B Binders et qu'on veut tout tester, T*J*B echantillons. Va falloir limiter T, J ou B.
Ah parfait on commence à rentrer dans le vif du sujet ;)
Ton principe de fonctionnement me satisfait. Va falloir choisir les échantillons maintenant.
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV vis a vis de tel ou tel packer/binder.
[...]
Si on prend pour optique que ce test devrait permettre de mettre en evidence l'efficacite' relative de chacune de ces deux methodes, il faut avoir un echantillon suffisemment important pour pouvoir lui reconnaitre une valeur statistique.
*l'autre point qui m'embete un peu, c'est que le manque de plateforme dediee nous empechera sans doute de faire des tests "on-access". On va perdre une nuance importante.
Oui moi aussi.
[...]
joke0
Salut,
LaDDL:
Sinon tu me l'aurais signalé j'en suis sûr ! ;)
½ufs corses! Il y a qq tps j'ai réglé tout ces pb d'encodage en installant mime-proxy. Maintenant je peux voir tous les ½ æ ¤ (alors qu'avec Xnews seul c'est impossible) et corriger à la volée les pb d'encodage des autres. Bref, que du bonheur :-)
-- joke0
Salut,
LaDDL:
Sinon tu me l'aurais signalé j'en suis sûr ! ;)
½ufs corses! Il y a qq tps j'ai réglé tout ces pb d'encodage en
installant mime-proxy. Maintenant je peux voir tous les ½ æ ¤ (alors
qu'avec Xnews seul c'est impossible) et corriger à la volée les pb
d'encodage des autres. Bref, que du bonheur :-)
½ufs corses! Il y a qq tps j'ai réglé tout ces pb d'encodage en installant mime-proxy. Maintenant je peux voir tous les ½ æ ¤ (alors qu'avec Xnews seul c'est impossible) et corriger à la volée les pb d'encodage des autres. Bref, que du bonheur :-)
-- joke0
Tweakie
Ah parfait on commence à rentrer dans le vif du sujet ;) Ton principe de fonctionnement me satisfait. Va falloir choisir les échantillons maintenant.
J'ai commence' a faire quelques tests. Je me suis laisse' dire que les packers "itw" etaient ceux-la, mais bien sur, il doit y avoir des versions plus ou moins courantes :
UPX Aspack Petite Pecompact Neolite PECrypt Shrinker PELock PEPack PEShield
Reste a trouver des packers "zoo" qui fonctionnent bien. J'ai commence' a faire quelques tests. Ca va pas etre facile de trouver des packers/joiners qui donnent des trojans fonctionnels quel que soit le trojan d'origine. Il faudra imperativement *tester* les trojans avant de les ajouter a l'echantillon.
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
Je suis entrain de me renseigner pour savoir differencier les binders "populaires" des binders "marginaux". Histoire d'en choisir par exemple 2 de chaque.
Pour les trojans, il faudrait limiter la population de test a, par exemple :
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders.
En fait il faut T*(J+1)*(P+1) echantillons si on veut tout tester, y compris sans packer et/ou sans joiner.
Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de packers / joiners sont "scriptables".
Va falloir retrousser ses manches.
-- Tweakie
PS: Un truc qui me fait halluciner : je viens de tester un Optix Lite X.x, Norton 2004b detecte le serveur tel que fourni dans l'archive d'origine. Une fois celui-ci est configure' a l'aide du client (une configuration tres standard), il ne le reconnait plus. Ca aussi, c'est enoooorme.
-- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
Ah parfait on commence à rentrer dans le vif du sujet ;)
Ton principe de fonctionnement me satisfait.
Va falloir choisir les échantillons maintenant.
J'ai commence' a faire quelques tests. Je me suis laisse'
dire que les packers "itw" etaient ceux-la, mais bien sur,
il doit y avoir des versions plus ou moins courantes :
UPX
Aspack
Petite
Pecompact
Neolite
PECrypt
Shrinker
PELock
PEPack
PEShield
Reste a trouver des packers "zoo" qui fonctionnent bien.
J'ai commence' a faire quelques tests. Ca va pas etre facile
de trouver des packers/joiners qui donnent des trojans
fonctionnels quel que soit le trojan d'origine. Il faudra
imperativement *tester* les trojans avant de les ajouter
a l'echantillon.
Il me semble que pour les "itw" il faut au moins UPX/Aspack/
petite (les trois plus communs) et au moins un ou deux autres.
Je suis entrain de me renseigner pour savoir differencier les
binders "populaires" des binders "marginaux". Histoire d'en
choisir par exemple 2 de chaque.
Pour les trojans, il faudrait limiter la population de test a,
par exemple :
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders.
En fait il faut T*(J+1)*(P+1) echantillons si on veut tout tester, y
compris sans packer et/ou sans joiner.
Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de
packers / joiners sont "scriptables".
Va falloir retrousser ses manches.
--
Tweakie
PS: Un truc qui me fait halluciner : je viens de tester un
Optix Lite X.x, Norton 2004b detecte le serveur tel que fourni
dans l'archive d'origine. Une fois celui-ci est configure' a
l'aide du client (une configuration tres standard), il ne le
reconnait plus. Ca aussi, c'est enoooorme.
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Ah parfait on commence à rentrer dans le vif du sujet ;) Ton principe de fonctionnement me satisfait. Va falloir choisir les échantillons maintenant.
J'ai commence' a faire quelques tests. Je me suis laisse' dire que les packers "itw" etaient ceux-la, mais bien sur, il doit y avoir des versions plus ou moins courantes :
UPX Aspack Petite Pecompact Neolite PECrypt Shrinker PELock PEPack PEShield
Reste a trouver des packers "zoo" qui fonctionnent bien. J'ai commence' a faire quelques tests. Ca va pas etre facile de trouver des packers/joiners qui donnent des trojans fonctionnels quel que soit le trojan d'origine. Il faudra imperativement *tester* les trojans avant de les ajouter a l'echantillon.
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
Je suis entrain de me renseigner pour savoir differencier les binders "populaires" des binders "marginaux". Histoire d'en choisir par exemple 2 de chaque.
Pour les trojans, il faudrait limiter la population de test a, par exemple :
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders.
En fait il faut T*(J+1)*(P+1) echantillons si on veut tout tester, y compris sans packer et/ou sans joiner.
Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de packers / joiners sont "scriptables".
Va falloir retrousser ses manches.
-- Tweakie
PS: Un truc qui me fait halluciner : je viens de tester un Optix Lite X.x, Norton 2004b detecte le serveur tel que fourni dans l'archive d'origine. Une fois celui-ci est configure' a l'aide du client (une configuration tres standard), il ne le reconnait plus. Ca aussi, c'est enoooorme.
-- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
djehuti
salut "Tweakie" a écrit dans le message news:
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
euh... yoda et krypton, peut être
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders. Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de packers / joiners sont "scriptables".
ouais, je dirais même plus... c'est *trop* énorme :D
@tchao
salut
"Tweakie" <NO_eikaewt_SPAM@hotmail.com> a écrit dans le message news:
2003726-154347-844277@foorum.com
Il me semble que pour les "itw" il faut au moins UPX/Aspack/
petite (les trois plus communs) et au moins un ou deux autres.
euh... yoda et krypton, peut être
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders.
Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de
packers / joiners sont "scriptables".
ouais, je dirais même plus... c'est *trop* énorme :D
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
euh... yoda et krypton, peut être
20 trojans (10 "itw" et 10 "zoo"), 6 packers et 4 binders. Ca nous ferait un pool de 700 fichiers !! C'est enoooorme. Et peu de packers / joiners sont "scriptables".
ouais, je dirais même plus... c'est *trop* énorme :D
@tchao
joke0
Salut,
Tweakie:
Reste a trouver des packers "zoo" qui fonctionnent bien.
Packers zoo? Faudra que tu m'expliques ;-) Par contre, il existe des packers quasi impossible à dénicher: Momma entre autres.
J'ai commence' a faire quelques tests. Ca va pas etre facile de trouver des packers/joiners qui donnent des trojans fonctionnels quel que soit le trojan d'origine. Il faudra imperativement *tester* les trojans avant de les ajouter a l'echantillon.
Si on commencait d'abord par faire les tests les plus simples sur les vers?
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
J'ai déjà fait une liste là: news:
Pour les trojans, il faudrait limiter la population de test a, par exemple :
[snip]
Va falloir retrousser ses manches.
Tu me fais peur des fois! ;-)
-- joke0
Salut,
Tweakie:
Reste a trouver des packers "zoo" qui fonctionnent bien.
Packers zoo? Faudra que tu m'expliques ;-)
Par contre, il existe des packers quasi impossible à dénicher: Momma
entre autres.
J'ai commence' a faire quelques tests. Ca va pas etre facile
de trouver des packers/joiners qui donnent des trojans
fonctionnels quel que soit le trojan d'origine. Il faudra
imperativement *tester* les trojans avant de les ajouter
a l'echantillon.
Si on commencait d'abord par faire les tests les plus simples sur les vers?
Il me semble que pour les "itw" il faut au moins UPX/Aspack/
petite (les trois plus communs) et au moins un ou deux autres.
J'ai déjà fait une liste là:
news:XnF93C47D2D9D1CB4164N@joke0.net
Pour les trojans, il faudrait limiter la population de test a,
par exemple :
Reste a trouver des packers "zoo" qui fonctionnent bien.
Packers zoo? Faudra que tu m'expliques ;-) Par contre, il existe des packers quasi impossible à dénicher: Momma entre autres.
J'ai commence' a faire quelques tests. Ca va pas etre facile de trouver des packers/joiners qui donnent des trojans fonctionnels quel que soit le trojan d'origine. Il faudra imperativement *tester* les trojans avant de les ajouter a l'echantillon.
Si on commencait d'abord par faire les tests les plus simples sur les vers?
Il me semble que pour les "itw" il faut au moins UPX/Aspack/ petite (les trois plus communs) et au moins un ou deux autres.
J'ai déjà fait une liste là: news:
Pour les trojans, il faudrait limiter la population de test a, par exemple :
