[Contribution]Hash MD5 viral

Résolu/Fermé
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 - 24 déc. 2011 à 16:24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 25 déc. 2011 à 20:19
Hello ,

je code actuellement un anti-Malware qui a pour but de comparer les hash MD5 d'un malware a celui de la base de donné , si il trouve le hash du Malware dans la base de donné , il supprime ce dernier :p .

Du coup j'ai besoin de rassembler le maximum de hash que je peut , c'est pourquoi je vous adresse ma requête , merci de partager ici tout les hash que vous pouvez avoir .

Pour remercier ceux qui m'aideront , j'ajouterai leur pseudo dans mon anti-Malware

Merci d'avance .

A voir également:

17 réponses

Utilisateur anonyme
25 déc. 2011 à 02:17
Bonsoir,

Juste pour dire que :

L'idée est bonne, mais...

-> L'explorer est patché, tu détectes le Md5 d'un fichier pourrie, tu le dégommes... Aïe.

-> C'est bien le Md5, mais comme algo y'a mieux, 128bits d'empreinte num c'est caffouillage... donc tu confondra très vite un fichier infecté avec un mauvais.

Ce sont les deux grosses raisons qui me font dire que, ce projet devra être très finement travailler pour le voir porter sur qlqc de viable..

J'dis ç pour aider, rien d'autre...

Bonne Fêtes à tous :-)
2
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 16:22
merci du commentaire .
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
24 déc. 2011 à 21:23
Hi,



Qu'un tel outil puisse être OpenSource est dramatique.


Je (ou on) ne dois pas avoir la même définition "d'open source".

En tous cas en terme d'avantage, je trouve au contraire que la démarche de placer un tool en open source, c'est le mettre à l'abri de failles qu'une entité unique ne pourrait/voudrait détecter.

Je le dis gentiment, mais quand même:
Vincent, même une veille de Noël, t'es relou :p
Même si t'as pas l'intention de changer, y'a des moments où tu pourrais essayer de nous le faire croire :)

@+

2
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 déc. 2011 à 00:19
Re,

tu parles de ça

http://www.novirusthanks.org/service/multi-engine-antivirus-scanner/

Tu travailles pour eux :

https://www.novirusthanks.org/company/

===

-tu est toujours désagréable
r
Quand on me demande de contribuer à un outil qui, dans sa conception, risque de planter des ordis, je suis désagréable.

Quand, pour réponse à cette remarque je suis traité de noob, je deviens très désagréable.

2
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 16:22
je parle de ça oui ... , effectivement a chaque réponse que tu poste , tu est de plus en plus noob , t'a rien a dire .
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 déc. 2011 à 17:42
donc le scanner on line performant, c'est lui ?

ou bien tu l'as réécrit ?
0
salut

et je partage la source pour que les programmeur l'utilise et apprennent

si tu codes comme tu ecris , ca va etre beau !!

et de plus l'outil detectera atapi patché (je doute mais bon dans l'extreme ) , le supprimera ( je doute mais bon dans l'extreme ) , et le pc ne redemarrera jamais....( ca j'en suis sûr par contre )
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
25 déc. 2011 à 10:11
re,

pour en revenir à ce que j'ai demandé un peu plus haut (voir ton outil, même non presentable, en batch sûrement) et discuter sur tes recherches par rapport au hash des fichiers :

tu peux faire de recherches et comparaison sur les fichiers par le hash mdx, mais ces recherches et suppression peuvent être dangreuses pour le système.

tu peux avoir un hash légitime, mais le fichier soit infectieux, donc avec ton outil, tu le vires, le pc plante !

ou à l'inverse, tu peux avoir un hash non reconnu par l'outil, puis le virer en mode automatique, puis vu qu'il s'agit d'un fichier vital, le pc plante aussi !

on en a discuté avec pas mal de devloppeurs d'outils, il y a environ 1 an, on est arrivé à cette conclusion que je viens de t'expliquer.

pour en revenir au plantage, il y a des outils qui le font et/ou qu'ils l'ont fait, donc c'est un risque, tout le monde le sait.


ce que je cherche à savoir sur ton outil, c'est la manière de procèder (la suppression automatique n'est pas un très bonne solution, ceci est sûrement à revoir).

toujours dans la même idée, tu pourras trouver les informations sur le hash sur le site de virus total, mais encore une fois de plus, ceci ne te certifie pas que le fichier soit sain ou infecté avec le même hash !


je ne sais pas si je suis arrivé à bien te l'expliquer, mais ceci s'avere périlleux pour un pc.

si ton but est de faire un bon outil, il faut miser sur une autre manière de recherche, voir la comparaison.

Have Fun ;-)


1
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 16:24
okix , quel manière de recherche tu propose ?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 déc. 2011 à 17:29
tu veux pas qu'il le code à ta place aussi ?
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 19:15
Rend toi utile et va voir ailleurs si j'y suis .
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 déc. 2011 à 19:18
Rend toi utile, renonce à ton projet.
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 19:34
Mon projet me concerne que moi , sur ce sujet clos , casse toi .
0
Utilisateur anonyme
24 déc. 2011 à 16:27
bonjour,
y a t il un lien pour voir ton tool ?

0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 18:12
il n'est pas très présentable pour le moment , je le mettrais en open source une fois le Project terminé :)
ils comporte un anti-autorun ,un scanner online très efficace , un scanner par md5(dont je regroupe les hash ici) , et aussi un coffre fort 256bit :p .
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 18:16
Bonsoir,

si il trouve le hash du Malware dans la base de donné , il supprime ce dernier


Devinette : combien d'ordis auront été totalement planté avant que tu te décides à retirer ton outil ?
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 18:29
-Esque vous pouvez arrêtez les HS de noob ?? .
je code ce tool pour mon université , je sais qu'il détectera uniquement les malware vraiment générique , c'est a dire qu'il pourra pas détecter les server trojan generé / stealer /botnet ..etc .
si t'a pas compris tampis
0
ok pour tes arguments, mais il faut que je vois ton tool et on en discute avec les autres helpers pour prendre une décision (je ne suis pas le seul ici :D)

une fois que j'aurais les élements demandés, je les remonte chez " qui a le droit ", puis on te dit si oui ou non, ça peut se faire, ici comme ailleur.

en attendant, j'attends de tes nouvelles ;-)

P.S :

si tu ne veux pas mettre ton lien en public, tu me l'envoie en mp :D

@++

O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 18:29
-_-" ....
es-que c'est si grave de demander des hash ? un ensemble de lettre et de chiffres non hostile lol .
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
24 déc. 2011 à 18:39
Salut ledit "relax"

Si ça te pose un problème de répondre aux souhaits de personnes disposées à t'aider, je ne vois pas comment tu pourras être aidé.
Tu récolteras ce que tu auras semé.

Et pour le moment, je ne vois pas d'issue qui te soit favorable.
À l'avenir, évite un tel langage avec les helpers, et surtout pas avec Lyonnais92.

Albert
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 19:01
"Devinette : combien d'ordis auront été totalement planté avant que tu te décides à retirer ton outil ?"
c'est pas un langage de helpers ça ...c'est un HS de flammer ...
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 18:41
Re,

tu vas constituer une base de hash

tu vas supprimer les fichiers ayant un hash trouvé dans ta base

tu vas supprimer des fichiers système vitaux

donc tu vas planter des ordis.


Ca me suffit pour dire que, université ou pas, la logique de ton outil est totalement erronée et dangereuse.

Alors, si tu crois que ma question est HS, c'est que le noob, c'est toi.

Et pour anticiper une réponse, actuellement, tu demande le hash et pas le nom du fichier associé. Même si tu demandais ce nom, rien ne te garantis que c'est le "nom interne" du fichier.

Donc, avec te démarche, tu n'es pas prêt de savoir ce que ton outil va faire comme dégâts.

===

Quel est l'environnement qui encadre ton développement ?

Qui valide le protocole de test qui va être utilisé avant mise en production ?
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 18:53
encore une fois , tu nous prouve que t'es noob .
essaye de faire un nouveau fichier text et ecrit dedant : noob puis enregistre . ensuite calcule la valeur MD5 de ce fichier .
apres ouvre ce fichier et ajoute : 1 , puis enregistre une nouvelle fois , puis recalcule la valeur MD5 , tu verra la valeur md5 n'est pas identique ....
du coup si un virus infecte les fichiers système ça changera complètement le hash md5 , et du coup il ne sera pas détecté .

"Quel est l'environnement qui encadre ton développement ? "
-N/A
Qui valide le protocole de test qui va être utilisé avant mise en production ?
-je vais "release" ce tool en tant que "code-source" , pour que les programmeurs vb.net puissent en apprendre , c'est simple , ce n'est pas un concourant de kaspersky .


ah aussi , le lient : "ajouter un commentaire" n'est pas fait pour rien .
0
Utilisateur anonyme
25 déc. 2011 à 02:32
lol et dire que pagefile.sys et hyberfil.sys ont le meme md5 alors qu'ils ont un poids different , qu'est-ce que tu dis de ca ?
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 18:55
Réflexion faite , je chercherai ailleurs ....
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 19:08
Continue sur ce thème, tu commences à me plaire.


du coup si un virus infecte les fichiers système ça changera complètement le hash md5 , et du coup il ne sera pas détecté .


Ah bon, il n'y a pas de modifications de fichier système qui soit déterministe ?

Si évidemment.

Si tu connaissais un minimum de choses en désinfection, tu saurais que des outils d'analyse sont tous à faits capables d'identifier comme malware (ou sain, ou inconnu) les hash de fichiers système.

===

"Quel est l'environnement qui encadre ton développement ? "
-N/A


Pas rassurant, c'est le moins que l'on puisse dire.

===

Qui valide le protocole de test qui va être utilisé avant mise en production ?
-je vais "release" ce tool en tant que "code-source" , pour que les programmeurs vb.net puissent en apprendre ,


C'est à dire que tu t'apprêtes à mettre dans la nature un outil qui n'aura pas été testé, qui est susceptible de planter totalement des ordis et, pour ça, tu viens demander l'aide de ceux qui passent du temps à remettre sur pieds des ordis.

===

Un scanner on line très efficace

Vends le.


0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 19:16
MAIS BON DIEU ! , c'est juste un tout petit projet pour mon université !

"Ah bon, il n'y a pas de modifications de fichier système qui soit déterministe ? "
j'ai pas codé le tool pour détecter les modification système , c'est un tool pour marquer le COUP ...-_-"

"Un scanner on line très efficace "
j'ai déjà partagé la source .
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 19:19
"Si tu connaissais un minimum de choses en désinfection, tu saurais que des outils d'analyse sont tous à faits capables d'identifier comme malware (ou sain, ou inconnu) les hash de fichiers système. " .
c'est claire que t'a pas compris ce que je t'ai expliqué .
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 22:28
Re,

Tryind2, tu peux garder pour toi tes commentaires désobligeants sous leur ton sirupeux.

Cet outil est, par sa conception, susceptible de faire sauter l'OS d'un ordi.

Le rendre accessible ne fait que multiplier les risques sans aucun bienfait.

L'intérêt de tous est que ce projet tombe dans de profondes oubliettes.
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 23:24
-MDR , je commence a t'apprécier Lyonnais92 .
pour la %ld éme fois , personne va utiliser cet outil , c'est justre pour montrer le fonctionnement d'un type d'anti-quoiquecesoit , et je partage la source pour que les programmeur l'utilise et apprennent , et ne t'enquiete pas , en partageant la source , j'ajouterai un NB :
cet outil est bien plus dangereux que les virus , je vous interdit de l'utiliser pour attaquer les autre .
c'est suffisant ?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 23:41
personne va utiliser cet outil

alors aucune importance d'avoir des hash réels. Utilise un générateur au hasard.

Et, au cas où tu ne t'en serais pas aperçu, quelle preuve apportes-tu de l'exactitude de ce que tu as écrit ?

Et par exemple, tu trouves crédible d'écrire que tu as codé un "un scanner online très efficace" dans le cadre d'un outil qui ne servira pas ?

Et si tu crois vraiment (ou crois que je vais croire) que ta mention empêcherait quoi que ce soit, c'est à désespérer du niveau de l'Université française. Si ça se voulait de l'humour aussi d'ailleurs.
0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 00:04
-le scanner online tres efficace est a la base : No virus Thanks si tu le connais , le soft upload le ficher au site qui est scanné par 9 antivirus puis donne le résultat :p .
-je vais recuperer les hash a la main .
-"c'est à désespérer du niveau de l'Université française" : si tu veut oui , ça m'importe peut ..
-tu est toujours désagréable ? je suis certain que tu as beaucoup d'amis ..
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
25 déc. 2011 à 16:39
Hello et en plus y'a des malwares qui renvoient un "fake md5" (un vrai en fait) pour ne pas que les outils le détecte (voir avec TDSS et des rapports TDSSKiller)
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 déc. 2011 à 17:37
Bonjour,

ça, c'est un moindre mal.

On sait que tous les outils ne sont pas à même de "voir" et de traiter tous les malwares.

Donc qu'une partie échappe, les symptômes vont rester et donc il faudra continuer à chercher en mobilisant d'autres outils plus "spécialisés".

Ce qui est vraiment dangereux dans l'outil décrit c'est qu'il va essayer (Gen a raison, pas sûr qu'il y arrive toujours) de supprimer des fichiers qui, en cas de succès, vont bloquer le redémarrage de l'ordi et vont nécessité la réparation voire la réinstallation (départ usine) du système.

@+
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
25 déc. 2011 à 19:37
Salut mon lyonnais (j'ai pas encore été te voir au cinéma mais parait que le film est bien !)

En effet tout a été dit, je n'ai rien d'autre à rajouter :)
0
Utilisateur anonyme
25 déc. 2011 à 18:01
okix , quel manière de recherche tu propose ?

@ relax :


pour savoir comment chercher, il faut faire des testes en VM !

ce qu'on pratique ici ou ailleur, donc, non seulement il faut télécharger les infections pour le teste, de plus, il faut voir l'outil en action sur tout type d'OS !

à toi de voir comment veux tu t'y prendre, mais encore une fois, cette manière de comparaison et suppression automatique n'est pas la bonne !


on t'ai déjà ce que tu dois savoir, à toi de voir comment lancer les recherches et coder ton outil.

il y a, sur ce poste, des dévloppeurs d'outils qui sont déjà intervenus, je pense que si tu leur demandes, tu auras une réponse.

mais ceci suppose de voir ce que tu as déjà dévloppé avant de sa mise en ligne.


0
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
25 déc. 2011 à 19:14
je parlais de la manière de scan , au lieu de l'md5 quesque je devrais chercher.
0
Utilisateur anonyme
25 déc. 2011 à 19:26
si tu cherches dans le regsitre, il faut que tu ais la valeur de l'infection à détecter, puis si confirmée, supprimer.
si tu cherches les fichiers infectés, il faut que tu fasses des testes en VM avec les infections (une sorte de banque de données pour les fichiers infectieux), ça veut dire d'installer une VM, puis lancer l'infection, l'étudier, une fois que tu as trouvé ce qu'il développe, tu le choppe avec l'outil, dans un premier temps en mode recherche, puis suppression à la demande d'un helper .


Lyonnais comme d'autres intérvents te l'ont expliqué :

l'idée est de faire des testes avec l'infection pour voir son efficacité sans planter le pc.

le developpeur, c'est toi, à toi de voir comment trouver une solution de recherches ;-)

attention, par le passé, on a vu appareitre des outils qui supprimaient un peu tout et n'importe quoi sur un pc !

sache que l'outil miracle n'existe pas, à chaque infection, l'outil qui va bien avec pour le traiter :D


je pense qu'à traver nos échanges, tu dois avoir une idée de ce qu'il te reste à faier .

;-)
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 19:24
Re,

MAIS BON DIEU ! , c'est juste un tout petit projet pour mon université !

tu es de plus en plus drôle.

je le mettrais en open source une fois le Project terminé


===

j'ai pas codé le tool pour détecter les modification système , c'est un tool pour marquer le COUP


un anti-Malware qui a pour but de comparer les hash MD5 d'un malware a celui de la base de donné , si il trouve le hash du Malware dans la base de donné

c'est dans quelle phrase que tu dis n'importe quoi ?

===

Dans une infection par virut, pour s'assurer que l'infection a bien été éradiquée par le formatage, un scan par Dr Web est prioritaire sur l'analyse des ports.
-1
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 19:30
"tu es de plus en plus drôle. "
-bah Au mois l'un de nous est content ^^ , je le fait pour l'université , et aussi je donnerai la source a ceux qui veulent .
"c'est dans quelle phrase que tu dis n'importe quoi ? "
-c'est un tool antimalware pour marquer le coup qui compare les hash MD5 d'un malware a celui de la base de donné , si il trouve le hash du Malware dans la base de donné .
si je voulais faire un bon antimalware , j'aurais pas choisis une BDD MD5 .

"Dans une infection par virut, pour s'assurer que l'infection a bien été éradiquée par le formatage, un scan par Dr Web est prioritaire sur l'analyse des ports."
-merci pour l'information .
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 déc. 2011 à 20:14
Re,

l'idée qu'un outil développé dans de telles conditions (avec visiblement des connaissances aussi faibles sur le fonctionnement, le mode d'action et les manifestations des malwares) est terrifiante.

Qu'un tel outil puisse être OpenSource est dramatique.

Le plus vite ce projet échouera, le mieux ce sera.

Bye
-1
relax. Messages postés 380 Date d'inscription vendredi 15 mai 2009 Statut Membre Dernière intervention 8 mars 2013 26
24 déc. 2011 à 20:40
et moi je suis père noël , merci :) .
0