Test antivirus: les packers

Salut,

djehuti:

et pour le protocole... c'est bien
on est sûr que la licence de ton AV est tout à fait valide :-)

A propos d'AV, il faut voir lesquels on peut tester. Pour l'instant
on a: Norton 2003, AVP3.5, VirusScan DOS 4.26, F-Prot DOS,
VirusBuster, j'imagine que Jack a Nod32 2.x

--
joke0

joke0 wrote:

A propos d'AV, il faut voir lesquels on peut tester. Pour l'instant
on a: Norton 2003, AVP3.5, VirusScan DOS 4.26, F-Prot DOS,
VirusBuster, j'imagine que Jack a Nod32 2.x

Je peux rajouter AntiVir PE à la liste.

joke0 wrote:

Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si ça
vaut le coup).

Déjà il faudrait voir si les virus sont détectés dans leur état
normal, parce que s'ils ne le sont pas ce ne sera pas la faute
du packer s'ils ne sont pas détectés non plus après compression...

Dans le message : XnF93C3A62273AE34164N@joke0.net,

Salut,

djehuti:

et pour le protocole... c'est bien
on est sûr que la licence de ton AV est tout à fait valide :-)

A propos d'AV, il faut voir lesquels on peut tester. Pour l'instant
on a: Norton 2003, AVP3.5, VirusScan DOS 4.26, F-Prot DOS,
VirusBuster, j'imagine que Jack a Nod32 2.x

Je veux bien essayer avec Panda

joke0 wrote:

Salut,

bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).

Pour ceux qui savent pas se que c'est qu'un compacteur, précisons
d'entrée que ça n'a rien à voir avec un compresseur (comme le sont
les zip, rar, ace, arj, tar, gzip ect qu'on appelle aussi"archiveurs").

Ce sont des programmes permettant de compresser certaines parties
d'un exécutables afin de le rendre plus léger. La routine de
décompression est bien entendue ajoutée au ficher. Celui-ci reste
exécutable tel quel, et rien ne permet a priori de se rendre compte
qu'un compactage du fichier a été entrepris.

LaDDL:

Veux-tu utiliser les 2 backdoors + les 4 worms du test de ROKOP ?

Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.

C'est c k j pensais aussi ;)

Si oui j peux t les forwarder ;)

Pas la peine, j'ai tout ce qu'il faut :)

ok

Idem pr les packers

Faut voir ce que tu as. Fait une liste des packers et éventuellement
des unpackers les plus "éxotiques" que tu as. Les autres, on les as
déjà :)

Je suis en train d checker mes packers & binders
J confirme les chiffres d'ici 5 à 10mn ;)

Bon, il semble que nous soyons 4-5 pour l'instant. Je pense que
c'est suffisant pour faire cette petite expérience.

Ca m semble parfait

Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si ça
vaut le coup).

Je pense que le protocole de test de ROKOP de mai pourrait ns inspirer
Jetez-y un oeil.

Pr les AV j suis ouvert ;)

Salut,

Frederic Bonroy:

Déjà il faudrait voir si les virus sont détectés dans leur état
normal, parce que s'ils ne le sont pas ce ne sera pas la faute
du packer s'ils ne sont pas détectés non plus après compression...

Ça me semble plus qu'évident. Commençons par choisir les bestioles
que nous allons tester. il nous faut des vers et des backdoors. Quel
nombre?

Pour les vers, on pourrait ajouter les plus récents et les plus
répandus: Le top 20 de juin 2003 selon KAV:
<http://www.viruslist.com/eng/index.html?tnews01&ida166>

Pour l'instant, je pense à:

_Vers:
Gibe.b, Tanatos.b, Lentin/Yaha, Klez, Ganda, Hybris, Avron,
Hawawi, Mapson, Fizzer, Roron.

_Backdoors:
Beastdoor, Assasin10, Optix, SdBot.gen, Death, IRC.Zcrew.
TrojanProxy.Win32.Webber.

--
joke0

In news:3f213fa4$0$21823$79c14f64@nan-newsreader-02.noos.net,
LaDDL <alamaison@noos.fr> signalait:

Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.

C'est c k j pensais aussi ;)

Hello,

Ça change rien : s'il est détecté non compacté, c'est le principal, c'est
l'aptitude à analyser les runpackers qui sera testée ici, rien de plus ;)
Pareil pour moi, l'essentiel est que tout les AV soient testés avec les
mêmes samples et les mêmes runtime packers.
--
JacK

JacK wrote:

In news:3f213fa4$0$21823$79c14f64@nan-newsreader-02.noos.net,
LaDDL <alamaison@noos.fr> signalait:

Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.

C'est c k j pensais aussi ;)

Hello,

Ça change rien : s'il est détecté non compacté, c'est le principal, c'est
l'aptitude à analyser les runpackers qui sera testée ici, rien de plus ;)
Pareil pour moi, l'essentiel est que tout les AV soient testés avec les
mêmes samples et les mêmes runtime packers.

Arf Jack j ai collé ton email ss regarder ! lol

Envoies moi un mail (cf mailto )
Thx

joke0 wrote:

Ça me semble plus qu'évident. Commençons par choisir les bestioles
que nous allons tester.

Autre chose: je ne sais pas si quelqu'un ici a une collection
scientifique, mais il faut qu'on fasse quand-même un peu attention
à tester avec des échantillons fonctionnels. Je ne pense pas qu'on
puisse effectivement les tester tous, essayons donc de prendre toutes
les précautions possibles pour éviter au mieux possible de tester avec
des cochonneries qui ne fonctionnent pas (i.e. ne pas télécharger de
sites VX, utiliser des fichiers trouvés en liberté ou confirmés comme
étant fonctionnels par un labo etc.)

il nous faut des vers et des backdoors.

Pourquoi pas des virus aussi?

Quel nombre?

Le plus important possible. Pas des dizaines de milliers bien sûr :-)
mais quelques douzaines je dirais.

_Vers:
Gibe.b, Tanatos.b, Lentin/Yaha, Klez, Ganda, Hybris, Avron,
Hawawi, Mapson, Fizzer, Roron.

Jamais entendu de Hawawi ou Mapson avant que tu ne m'en parles,
là dernièrement. ;-)

Sinon j'ai tous les Sobig de A à E et tous les Opaserv également de
A à E (selon F-Prot).
Tous les Opaserv sont obligatoirement fonctionnels puisque je me suis
fait infecter avec volontairement. Ils sont "vierges" sans autre virus
par-dessus (je dis ça pour ceux qui auraient suivi ma discussiona avec
Zvi Netiv dernièrement).

Sobig.E est également fonctionnel et je ne vois pas pourquoi les autres
ne le seraient pas. :-)

_Backdoors:
Beastdoor, Assasin10, Optix, SdBot.gen, Death, IRC.Zcrew.
TrojanProxy.Win32.Webber.

On prend l'"excellent keylogger" aussi? ;-)

joke0 wrote:

Salut,

bon, apparemment plusieurs personnes ont l'air motivées pour
conduire ce test sur les compacteurs (alias packers).

Perso, je n'en vois pas trop l'intérêt. Certes, si les plus connus, comme
UPX, ne sont pas pris en compte c'est lamentable (je te rassure, ça le sera
;o)). Mais le problème est qu'il faut une demi-heure à un codeur ASM qui s'y
connaît un peu pour en écrire un, donc, forcémment, il n'est pas possible de
tenir compte de tous les compacteuurs dans la nature. Au mieux, tu pourras
gueuler sur les heuristiques défaillantes (et te faire donc de garns amis
tels que Bontchev ou Fitzgerald :o)).

Pour ceux qui savent pas se que c'est qu'un compacteur, précisons
d'entrée que ça n'a rien à voir avec un compresseur (comme le sont
les zip, rar, ace, arj, tar, gzip ect qu'on appelle
aussi"archiveurs").

Ben si, ça a à voir quand même ! Ça compresse...

Ce sont des programmes permettant de compresser certaines parties
d'un exécutables afin de le rendre plus léger. La routine de
décompression est bien entendue ajoutée au ficher. Celui-ci reste
exécutable tel quel, et rien ne permet a priori de se rendre compte
qu'un compactage du fichier a été entrepris.

Ben si, la taille de l'exécutable ;o).

Non, on pourrait en utiliser des plus récentes et répandus. Je
pense à des Sobig, des Gibe.b des Tanatos.b etc.

Ce n'est pas la peine de ta casser la tête avec 50 échantillons. T'en prends
1 seul, bien dangereux. Du moment qu'il y a échec, c'est bon, ton test est
effectif.

Faut voir ce que tu as. Fait une liste des packers et éventuellement
des unpackers les plus "éxotiques" que tu as. Les autres, on les as
déjà :)

Le problème des packers c'est qu'il y en a des tas. Tu auras bien du mal à
les recenser tous. Des applis avec packers (à 200 à l'heure) ?

Alloy,
AppLok,
Armadillo,
ASPack,
BJFNT,
CodeCrypt,
Ding Boys PE-Lock,
Exe Protector,
PE Compact,
PE-Crypt32,
PELOCKnt,
PE Password Encryptor,
PE-Prot,
Petite,
Private Exe,
Shrinker,
Stone PE,
UPX

Etc., etc., etc.

Bon, il semble que nous soyons 4-5 pour l'instant. Je pense que
c'est suffisant pour faire cette petite expérience.

Hum. Normalement, il faudrait qu'une seule personne fasse l'ensemble des
tests. Sinon, les détracteurs vont t'accuser de ne pas avoir une plate-forme
de test unique et égale. Et c'est logique ;o). Après tout, tu ne sais pas
comment tes collègues ont installé leur AV, quelle version, etc. Ni même
quel est leur degré d'intégrité ;o). Je te dis ça parce que c'est vite
arrivé de se faire descendre lorsque tu chatouilles les AVs. Soit le plus
irrprochable possible.

Il faut maintenant nous mettre d'accord sur ce que nous allons faire
sur le protocole de test et les antivirus testés (et surtout, voir si
ça vaut le coup).

D'autres ont déjà fait le test avant toi. Donc, ça fait un peu redite. Au
mieux, tu montreras que les éditeurs s'en foutent...

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)