Tweet
Les programmes malveillants
Un programme malveillant est un programme qui effectuera des tâches malveillantes sur le système infecté , pour cela il existe différents types de programmes malveillant .
Le Backdoor : Ce genre de malware une fois qu'il a infecté le système va offrir un accès complet et en tant qu'Administrateur à un attaquant sans que la victime s'aperçoit de rien . Un backdoor peut-être un cheval de Troie,un RAT,etc.
Le stealer ou keylogger :Ce genre de malware une fois qu'il a infecté un système vas enregistrer les frappes du clavier(mots de passe,donnés confidentielles)ou voler les mots de passe et les envoyer à l'attaquant.
Le ransomware : Ce genre de malware une fois qu'il a infecté un système va crypter ou bloquer les donnés de l'utilisateur et pour les débloquer la victime devra payer une rançon.
Le vers : Ce genre de malware une fois qu'il a infecté un système va faire des actions malveillantes sur le système en toute furtivité .
Le nombre de Virus a largement augmenté dans les années 2000-2005 , pour cela les entreprises de sécurité informatiques ont inventé L'anti-virus
Chaque programme a une signature (md5,sh1,sh256) le but de l'antivirus est de reconnaitre les signatures des malware grâce a leur base virale (base de donnés de signatures d'anti-virus).
Mais aujourd'hui je vais vous montrer des techniques pour bypasser les AV
AV evasion avec un packer
Un packer est un logiciel conçu pour encoder le binaire d'un exécutable pour le compresser un peu comme winrar,7zip,unzip mais on peut aussi l'utiliser pour bypasser les AV
lien d'un packer open-source : http://upx.sourceforge.net/
Code source
Une seconde technique existe qui consiste à rajouter beaucoup de commentaires ou code inutile dans le code-source
pour éviter la détection des Av .
Note : - Pour cela utiliser un décompileur adapté au language du programme
- les commentaires en C++ se font avec //
Nom du programme
Le nom du programme peut changer la détection des AV ainsi évitez les noms trop visibles.
- Virus.exe
- Trojan.exe
- Payload.exe
- Hacked.exe
Test avec Facebook.py
facebook.py est un faux script qui est détecté par certains anti-virus !! on va tester les Av avant et après l'encodage du code-source avec des commentaires !! Let's Go !!
avant l'encodage:
facebook.py est detecté par 1 AV
Capture.jpg
après l'encodage :
facebook.py est passé clean
Capture2.jpg
Note:Tutoriel purement éducatif
Un programme malveillant est un programme qui effectuera des tâches malveillantes sur le système infecté , pour cela il existe différents types de programmes malveillant .
Le Backdoor : Ce genre de malware une fois qu'il a infecté le système va offrir un accès complet et en tant qu'Administrateur à un attaquant sans que la victime s'aperçoit de rien . Un backdoor peut-être un cheval de Troie,un RAT,etc.
Le stealer ou keylogger :Ce genre de malware une fois qu'il a infecté un système vas enregistrer les frappes du clavier(mots de passe,donnés confidentielles)ou voler les mots de passe et les envoyer à l'attaquant.
Le ransomware : Ce genre de malware une fois qu'il a infecté un système va crypter ou bloquer les donnés de l'utilisateur et pour les débloquer la victime devra payer une rançon.
Le vers : Ce genre de malware une fois qu'il a infecté un système va faire des actions malveillantes sur le système en toute furtivité .
Le nombre de Virus a largement augmenté dans les années 2000-2005 , pour cela les entreprises de sécurité informatiques ont inventé L'anti-virus
Chaque programme a une signature (md5,sh1,sh256) le but de l'antivirus est de reconnaitre les signatures des malware grâce a leur base virale (base de donnés de signatures d'anti-virus).
Mais aujourd'hui je vais vous montrer des techniques pour bypasser les AV
AV evasion avec un packer
Un packer est un logiciel conçu pour encoder le binaire d'un exécutable pour le compresser un peu comme winrar,7zip,unzip mais on peut aussi l'utiliser pour bypasser les AV
lien d'un packer open-source : http://upx.sourceforge.net/
Code source
Une seconde technique existe qui consiste à rajouter beaucoup de commentaires ou code inutile dans le code-source
pour éviter la détection des Av .
Note : - Pour cela utiliser un décompileur adapté au language du programme
- les commentaires en C++ se font avec //
Code:
instruction 1 // ceci est un commentaire
instruction 2
Le nom du programme peut changer la détection des AV ainsi évitez les noms trop visibles.
- Virus.exe
- Trojan.exe
- Payload.exe
- Hacked.exe
Test avec Facebook.py
facebook.py est un faux script qui est détecté par certains anti-virus !! on va tester les Av avant et après l'encodage du code-source avec des commentaires !! Let's Go !!
avant l'encodage:
facebook.py est detecté par 1 AV
Capture.jpg
après l'encodage :
facebook.py est passé clean
Capture2.jpg
Note:Tutoriel purement éducatif
Commentaire