bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).
Pour ceux qui savent pas se que c'est qu'un compacteur, précisons
d'entrée que ça n'a rien à voir avec un compresseur (comme le sont
les zip, rar, ace, arj, tar, gzip ect qu'on appelle aussi"archiveurs").
Ce sont des programmes permettant de compresser certaines parties
d'un exécutables afin de le rendre plus léger. La routine de
décompression est bien entendue ajoutée au ficher. Celui-ci reste
exécutable tel quel, et rien ne permet a priori de se rendre compte
qu'un compactage du fichier a été entrepris.
LaDDL:
> Veux-tu utiliser les 2 backdoors + les 4 worms du test de ROKOP ?
Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.
> Si oui j peux t les forwarder ;)
Pas la peine, j'ai tout ce qu'il faut :)
> Idem pr les packers
Faut voir ce que tu as. Fait une liste des packers et éventuellement
des unpackers les plus "éxotiques" que tu as. Les autres, on les as
déjà :)
Bon, il semble que nous soyons 4-5 pour l'instant. Je pense que
c'est suffisant pour faire cette petite expérience.
Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si ça
vaut le coup).
Je parlais du cafouillage de mon propre en[meeeeeep]ueue de lecteur de nouvelles.
en[meeeeep]ueue ? Je la connais pas celle-là ! Pourtant des noms d'oiseaux on en voit pas mal ici ;o). C'est quelle insulte ?
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Arnold McDonald \(AMcD\)
Tweakie wrote:
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV vis a vis de tel ou tel packer/binder.
Voyons voir...
En effet, pas mal de compagnies (symantec et Norman a coup sur) choisissent simplement d'ajouter a leur base une signature specifique au trojan packe' si celui-ci est rencontre' itw. Du coup, si on utilise un echantillon trop reduit, il y a un facteur "chance" qui intervient : on ne teste plus seulement le support de tel ou tel packer mais le fait que les trojans de l'echantillon aient etes rapportes a l'editeur d'AV packes avec les packers utilises. Si on prend pour optique que ce test devrait permettre de mettre en evidence l'efficacite' relative de chacune de ces deux methodes, il faut avoir un echantillon suffisemment important pour pouvoir lui reconnaitre une valeur statistique.
Certes. Mais en ce cas, c'est la procédure de test qu'il faut revoir. Si tu sais qu'un AV se contente d'ajouter une signature du packed, trouve juste un packed non encore ajouté à la base, et tu montreras que ce n'est pas le packer qui est pris en compte. En statistique ce n'est pas la taille de l'échantillon qui compte, mais sa représentativité. Évidemment, il faut un "certain" nombre de virus pour supprimmer le biais dont tu parles. Mais tout dépend de la manière dont tu conduis le tests.
Ce que je voulais dire moi, c'est que montrer que les packers les plus connus (genre UPX) ne sont pas pris en compte est le plus important. Si un AV se contente d'ajouter une signature, c'est nul, il ne prends pas en compte le packer, mais juste une forme du virus. Et ça c'est à mentionner. Si l'AV ne prend pas en compte tous les packers ce n'est pas grave non plus; d'abord il y en a trop et puis c'est facile d'en créer. Ce qui compte c'est que les plus connus soit pris en compte. Cela montre au moins que l'éditeur est un peu sensible au problème. Mais bon, finalement, ce n'est pas si important ce test. Si j'étais un auteur de virus, j'écrirai tout simplement mon propre packer avec.
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
Tweakie wrote:
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle
peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV
vis a vis de tel ou tel packer/binder.
Voyons voir...
En effet, pas mal de compagnies (symantec et Norman a coup sur)
choisissent simplement d'ajouter a leur base une signature specifique
au trojan packe' si celui-ci est rencontre' itw. Du coup, si on
utilise un echantillon trop reduit, il y a un facteur "chance" qui
intervient : on ne teste plus seulement le support de tel ou tel
packer mais le fait que les trojans de l'echantillon aient etes
rapportes a l'editeur d'AV packes avec les packers utilises. Si on
prend pour optique que ce test devrait permettre de mettre en evidence
l'efficacite' relative de chacune de ces deux methodes, il faut
avoir un echantillon suffisemment important pour pouvoir lui
reconnaitre une valeur statistique.
Certes. Mais en ce cas, c'est la procédure de test qu'il faut revoir. Si tu
sais qu'un AV se contente d'ajouter une signature du packed, trouve juste un
packed non encore ajouté à la base, et tu montreras que ce n'est pas le
packer qui est pris en compte. En statistique ce n'est pas la taille de
l'échantillon qui compte, mais sa représentativité. Évidemment, il faut un
"certain" nombre de virus pour supprimmer le biais dont tu parles. Mais tout
dépend de la manière dont tu conduis le tests.
Ce que je voulais dire moi, c'est que montrer que les packers les plus
connus (genre UPX) ne sont pas pris en compte est le plus important. Si un
AV se contente d'ajouter une signature, c'est nul, il ne prends pas en
compte le packer, mais juste une forme du virus. Et ça c'est à mentionner.
Si l'AV ne prend pas en compte tous les packers ce n'est pas grave non plus;
d'abord il y en a trop et puis c'est facile d'en créer. Ce qui compte c'est
que les plus connus soit pris en compte. Cela montre au moins que l'éditeur
est un peu sensible au problème. Mais bon, finalement, ce n'est pas si
important ce test. Si j'étais un auteur de virus, j'écrirai tout simplement
mon propre packer avec.
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
En plus, je ne suis pas d'accord avec l'affirmation selon laquelle peu de malwares suffisent a etablir l'efficacite' de tel ou tel AV vis a vis de tel ou tel packer/binder.
Voyons voir...
En effet, pas mal de compagnies (symantec et Norman a coup sur) choisissent simplement d'ajouter a leur base une signature specifique au trojan packe' si celui-ci est rencontre' itw. Du coup, si on utilise un echantillon trop reduit, il y a un facteur "chance" qui intervient : on ne teste plus seulement le support de tel ou tel packer mais le fait que les trojans de l'echantillon aient etes rapportes a l'editeur d'AV packes avec les packers utilises. Si on prend pour optique que ce test devrait permettre de mettre en evidence l'efficacite' relative de chacune de ces deux methodes, il faut avoir un echantillon suffisemment important pour pouvoir lui reconnaitre une valeur statistique.
Certes. Mais en ce cas, c'est la procédure de test qu'il faut revoir. Si tu sais qu'un AV se contente d'ajouter une signature du packed, trouve juste un packed non encore ajouté à la base, et tu montreras que ce n'est pas le packer qui est pris en compte. En statistique ce n'est pas la taille de l'échantillon qui compte, mais sa représentativité. Évidemment, il faut un "certain" nombre de virus pour supprimmer le biais dont tu parles. Mais tout dépend de la manière dont tu conduis le tests.
Ce que je voulais dire moi, c'est que montrer que les packers les plus connus (genre UPX) ne sont pas pris en compte est le plus important. Si un AV se contente d'ajouter une signature, c'est nul, il ne prends pas en compte le packer, mais juste une forme du virus. Et ça c'est à mentionner. Si l'AV ne prend pas en compte tous les packers ce n'est pas grave non plus; d'abord il y en a trop et puis c'est facile d'en créer. Ce qui compte c'est que les plus connus soit pris en compte. Cela montre au moins que l'éditeur est un peu sensible au problème. Mais bon, finalement, ce n'est pas si important ce test. Si j'étais un auteur de virus, j'écrirai tout simplement mon propre packer avec.
-- AMcD
http://arnold.mcdonald.free.fr/ (still in fossilization progress but now in english, thus the whole world can see my laziness)
joke0
Salut,
djehuti:
Par contre, il existe des packers quasi impossible à dénicher: Momma entre autres. j'me demande même s'il existe (et si kaspersky l'aurait pas
inventé juste pour me faire ch....)
Il existe forcément, mais je doute qu'on puisse le trouver sur le web. Faudra aller fouiner sur irc et dans les boards spécialisés pour avoir des pistes. Par contre, il se peut que le packer ne s'appelle pas Momma et que kav ait changé son nom commme il le font avec les bestioles. Il y a 2 mois j'avais trouvé un fichier crypté-packé avec un truc inconnu de kav. Dans un premier temps ils me disent "TLSecurity envelope". Finalement le "packer" s'appelle SilverKey...
mais où loger les échantillons "certifiés" pour qu'ils soient accessibles aux testeurs (mais pas publics, non plus) ?
J'ai un compte FTP sur free. 100 Mo.
-- joke0
Salut,
djehuti:
Par contre, il existe des packers quasi impossible à dénicher:
Momma entre autres.
j'me demande même s'il existe (et si kaspersky l'aurait pas
inventé juste pour me faire ch....)
Il existe forcément, mais je doute qu'on puisse le trouver sur le
web. Faudra aller fouiner sur irc et dans les boards spécialisés
pour avoir des pistes. Par contre, il se peut que le packer ne
s'appelle pas Momma et que kav ait changé son nom commme il le font
avec les bestioles. Il y a 2 mois j'avais trouvé un fichier
crypté-packé avec un truc inconnu de kav. Dans un premier temps ils
me disent "TLSecurity envelope". Finalement le "packer" s'appelle
SilverKey...
mais où loger les échantillons "certifiés" pour qu'ils soient
accessibles aux testeurs (mais pas publics, non plus) ?
Par contre, il existe des packers quasi impossible à dénicher: Momma entre autres. j'me demande même s'il existe (et si kaspersky l'aurait pas
inventé juste pour me faire ch....)
Il existe forcément, mais je doute qu'on puisse le trouver sur le web. Faudra aller fouiner sur irc et dans les boards spécialisés pour avoir des pistes. Par contre, il se peut que le packer ne s'appelle pas Momma et que kav ait changé son nom commme il le font avec les bestioles. Il y a 2 mois j'avais trouvé un fichier crypté-packé avec un truc inconnu de kav. Dans un premier temps ils me disent "TLSecurity envelope". Finalement le "packer" s'appelle SilverKey...
mais où loger les échantillons "certifiés" pour qu'ils soient accessibles aux testeurs (mais pas publics, non plus) ?
J'ai un compte FTP sur free. 100 Mo.
-- joke0
Tweakie
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement (en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...) si ca vous tente... Et pas de problemes de BP ;)
-- Tweakie -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
Je dois pouvoir nous obtenir un compte avec autant de place que
necessaire pour stocker ca, discuter en prive' si necessaire,
publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre
le stockage de ce genre de betes, tant que l'objectif est louable.
J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement
(en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...)
si ca vous tente... Et pas de problemes de BP ;)
--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement (en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...) si ca vous tente... Et pas de problemes de BP ;)
-- Tweakie -- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
joke0
Salut,
Tweakie:
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. Si ca vous interesse, of course.
Ok ça roule!
Ah, par packers "zoo", je veux juste parler des moins connus/ moins utilises.
C'est bien ce que j'avais compris ;-) Krypton sera très bien et TeLock aussi je pense.
Mettons-nous aussi d'accord sur les bestioles. Après tout on est pas obligé de prendre des vers et des trojans très répandus. On évitera au moins les pb de signatures spécifiques ajoutées. On peut aussi commencer par se faire la main sur les vers.
1- Combiens de bestioles, 2- Lesquelles, 3- Quels packers/crypteurs/binders
-- joke0
Salut,
Tweakie:
Je dois pouvoir nous obtenir un compte avec autant de place que
necessaire pour stocker ca, discuter en prive' si necessaire,
publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre
le stockage de ce genre de betes, tant que l'objectif est louable.
Si ca vous interesse, of course.
Ok ça roule!
Ah, par packers "zoo", je veux juste parler des moins connus/
moins utilises.
C'est bien ce que j'avais compris ;-)
Krypton sera très bien et TeLock aussi je pense.
Mettons-nous aussi d'accord sur les bestioles. Après tout on est
pas obligé de prendre des vers et des trojans très répandus. On
évitera au moins les pb de signatures spécifiques ajoutées. On peut
aussi commencer par se faire la main sur les vers.
1- Combiens de bestioles,
2- Lesquelles,
3- Quels packers/crypteurs/binders
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. Si ca vous interesse, of course.
Ok ça roule!
Ah, par packers "zoo", je veux juste parler des moins connus/ moins utilises.
C'est bien ce que j'avais compris ;-) Krypton sera très bien et TeLock aussi je pense.
Mettons-nous aussi d'accord sur les bestioles. Après tout on est pas obligé de prendre des vers et des trojans très répandus. On évitera au moins les pb de signatures spécifiques ajoutées. On peut aussi commencer par se faire la main sur les vers.
1- Combiens de bestioles, 2- Lesquelles, 3- Quels packers/crypteurs/binders
-- joke0
LaDDL
Tweakie wrote:
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement (en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...) si ca vous tente... Et pas de problemes de BP ;)
Parfait et bravo pour la réactivité ;)
Tu es le plus entreprenant alors je t'écoute pour la suite
Tweakie wrote:
Je dois pouvoir nous obtenir un compte avec autant de place que
necessaire pour stocker ca, discuter en prive' si necessaire,
publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre
le stockage de ce genre de betes, tant que l'objectif est louable.
J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement
(en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...)
si ca vous tente... Et pas de problemes de BP ;)
Parfait et bravo pour la réactivité ;)
Tu es le plus entreprenant alors je t'écoute pour la suite
Je dois pouvoir nous obtenir un compte avec autant de place que necessaire pour stocker ca, discuter en prive' si necessaire, publier ce qu'on veut. L'hebergeur n'ayant a-priori rien contre le stockage de ce genre de betes, tant que l'objectif est louable. J'attends confirmation.
Ca y est, c'est confirme'. On peut mettre tout en place rapidement (en fait, ca a deja commence' : vhost, subdomain, de quoi uploader/dl...) si ca vous tente... Et pas de problemes de BP ;)
Parfait et bravo pour la réactivité ;)
Tu es le plus entreprenant alors je t'écoute pour la suite
joke0
Salut,
LaDDL:
Où en es-tu ainsi que les autres volonataires pour ce test "maison" ?
On en est au tests préliminaires: trouver des bestioles qui passent à travers les packers/crypteurs que nous avons choisi. Ça avance très doucement.
PS: Merci de ne citer que le texte auquel tu réponds.
-- joke0
Salut,
LaDDL:
Où en es-tu ainsi que les autres volonataires pour ce test
"maison" ?
On en est au tests préliminaires: trouver des bestioles qui passent
à travers les packers/crypteurs que nous avons choisi. Ça avance
très doucement.
PS: Merci de ne citer que le texte auquel tu réponds.
