Beaucoup d'entre vous ont surement deja voir des tutos sur ce genre de trucs mais bons...
Tout d'abord, Qu est ce une signature ???
Une signature est un petit bout de code en Hexadecimal propre à un trojan, qui est détecté par les antivirus.
A quoi peut servir de connaitre ces signatures ???
Si vous savez ou se trouve les signatures, vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.
------------------------------
Vous aurez besoin de :
-AVPOFFSET (http://splintersecurity.com/DownloadDB/pafiledb.php?action=file&id=231)
-Kaspersky (installer sur votre ordinateur) http://d-us-1h.kaspersky-labs.com/trial/registered/2T17J48017F63KM1T941/kav5.0.383trial_personalen.exe
-Hexiwin (http://drn.digitalriver.com/product.php%5Bid%5D63476%5BSiteID%5Dregnow), ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (cad : non packé, crypté, bindé, etc...)
------------------------------
Pour commencer, désactivez votre A-V.
Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .
Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :
" AVPOFFSET SERVER.EXE "
Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:
SERVER.EXE infected: backdoor xxxxxx
Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)
Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)
Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrez "SERVER.EXE" avec HEXIWIN.
Puis faites "EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6eh " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.
Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)
Cette signature est facile à modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices
Il y a évidemment plein de possibilités de modifications, mais la chose à ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.
------------------------------
Étudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :
8D45F8
Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal, elle est en fait un LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)
Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...
Yeaaa! Oh le petit enfoiré! =D
Et en plus tu upload?
Rhoooo =D
Ps: Après formatage de ma soeur (amen) + windaube + virus + re linux sans mes docs et Nervé...
Mwi. Mac caylebian.
Commentaires