hacker59000
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
hacker59000

forum de hacke
 
AccueilAccueil  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  ConnexionConnexion  
Le Deal du moment : -29%
PC portable – MEDION 15,6″ FHD Intel i7 ...
Voir le deal
499.99 €

hacker59000 :: Trojans & Spyware
 

 RENDRE UN TROJAN INDETECTABELE

Aller en bas 
AuteurMessage
Admin
Admin
Admin


Messages : 3
Date d'inscription : 14/02/2008
Age : 35

RENDRE UN TROJAN INDETECTABELE Empty
MessageSujet: RENDRE UN TROJAN INDETECTABELE   RENDRE UN TROJAN INDETECTABELE Icon_minitimeJeu 14 Fév - 6:55
Rendre un trojan indetectable en modifiant sa signature

Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus.

A quoi peut servir de connaitre ces signatures ?
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.

Méthode de detection de l’anti virus (AV)

Comme pré-requis, vous devez savoir que les Av reconnaissent un élément hostile (un troyen par exemple) par analyse d’un ou plusieurs morceaux de code binaires, qu’on appelle signature. Celle-ci devra être bien sûr caractéristique de l’hostile.
On appellera Offset de signature le lieu où est placé ce code dans le programme.
Or, le premier problème dans notre démarche future est que chaque AV va utiliser sa propre méthode pour reconnaître l’hostile. Comprennez que tout AV considérera une signature différente. Les opérations qui seront décrites ici devront donc être répétées, voire adaptées à la cible, plus précisement à l’AV qui en assure la protection. Un hostile non détecté par Norton peut tout a fait l’être chez KAV.



Le principe de la modification

La démarche qui consiste à modifier l’hostile pour qu’il passe inapercu aux yeux de l’AV s’inscrit en trois temps :
- détermination des signatures utilisées par l’AV
- localisation de cette signature au sein de l’hostile
- modification de celle-ci
Jusqu’ici, et vu comme cela, ca à l’air assez simple. Cependant, pour ceux qui ont suivit, quelques problèmes se profilent déjà, dont la nécessiter de connaître le stockage de la base de données de signatures de l’AV, être capable de situer precisement ces signatures au sein de l’hostile, et enfin pouvoir modifier le code sans altérer le fonctionnement du programme.


Détermination des signatures utilisées par l’AV

Il s’agit ici d’étudier l’AV qui protège la cible. Pour cela, rien de mieux que de l’installer chez soi, et l’observer afin de connaître l’emplacement dans le repertoire d’installation où sont stockées les données de signature. Dans le cas de KAV, il s’agira de %repertoire racine%\KAV Shares Files\Bases\. On y trouvera des fichiers en .AVC. Ceux-ci devront être decryptés .

Préparation :

Comme on veut manipuler des fichiers contenant un code hostile, il va falloir dire a son chien de garde de se tenir tranquille.Préparons donc notre environnement de travail :

avant le travail:

1) désactivez l'autoprotect de votre antivirus
2) créez un dossier dans lequel on fera ces manipulations, disons ...\tests
3) dans votre antivirus, excluez ce dossier des scans. Ainsi vous pouvez laisser votre travail tranquillement pour y revenir par la suite.

pendant le travail
1) laisser l'autoprotect enlevé. Les tests successifs se feront a la main, en demandant un scan de fichier a l'antivirus.
2) préparez dans le dossier \tests une copie du serveur (on ne la modifiera pas, elle sert de témoins), puis une deuxième (celle ci servira a chaque étape, et sera testée)
3) si plusieurs manipulations sont necessaires, n'hesitez pas a renommer le serveur de test de facon claire, afin de pouvoir s'y retrouver dans les différentes étapes.

1er methode

Vous aurez besoin de :
-AVPOFFSET ici http://hackingsoft.free.fr/telechargement/avpoffset.rar
-Kaspersky (installer sur votre ordinateur)
-Hexiwin http://www.safesite.com/product.php[id]63476[SiteID]digibuy

ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...)

Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :

" AVPOFFSET SERVER.EXE "

Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:

SERVER.EXE infected: backdoor xxxxxx

Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)

Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)

Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN.
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.

Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)

Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices

Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.

?tudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :

8D45F8

Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)

Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...

2éme methode

La meilleure methode mais compliquée consiste a ouvrir le server avec un editeur hexadecimal et de rajouter des bits blancs (000) a la fin pour tenter de modifier la signature qui changera peutetre car la taille du server augmentera.
Ou alors, toujours avec l'editeur hexadecimal, ouvrir le server et remplacer la premiere moitié des numeros par des 0000. sauvegardez vers un nouveau .exe et verifiez si il est toujours detecté par l'antivirus. Si il n'est plus detecté, c'est que vous avez effacé la signature et donc que la signature ce trouve dans la premiere moitié! Maintenant repetez l'operations avec une partie plus petite etc.... Si oui, effacez la 2eme moitié et normalement il ne devrait plus etre detecté. Faites maintenant comme expliqué pour la premiere partie. Une fois que vous aurrez trouvé la partie la plus petite a enlever pour que le server ne soit plus detecté, vous pouvez compiler en exe et l'envoyer a votre victime.

Voila j'espere que sa vous plait !!!
Revenir en haut Aller en bas
https://hacker59000.kanak.fr
 
RENDRE UN TROJAN INDETECTABELE
Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
hacker59000 :: Trojans & Spyware-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser