Exemple concret d'infection d'une application
sabrina07
Messages postés
25
Statut
Membre
-
sabrina07 Messages postés 25 Statut Membre -
sabrina07 Messages postés 25 Statut Membre -
bonjour a tous
voila je suis entrain de me documenter sur la securité , je suis arrivé a la definition des virus et leur mode de propagation mais je n'arrive pas a voire comment le virus infecte les autre application. je sais que les virus copie une proportion de programme dans une application hote et qu'il se declanche en executant l'application. mais je ne sais pas si quelqu'un a un exemple concret qui me permet de bien voire les étapes d'infection.
merci et bonne jounée a tous.
voila je suis entrain de me documenter sur la securité , je suis arrivé a la definition des virus et leur mode de propagation mais je n'arrive pas a voire comment le virus infecte les autre application. je sais que les virus copie une proportion de programme dans une application hote et qu'il se declanche en executant l'application. mais je ne sais pas si quelqu'un a un exemple concret qui me permet de bien voire les étapes d'infection.
merci et bonne jounée a tous.
A voir également:
- Exemple concret d'infection d'une application
- Nommez une application d'appel vidéo ou de visioconférence - Guide
- Desinstaller application windows - Guide
- Comment supprimer une application préinstallée sur android - Guide
- Url exemple - Guide
- Application word et excel gratuit - Guide
4 réponses
bonjour un exemple concret serai
le virus parité
http://www.secuser.com/alertes/2001/parite.htm
ou le virus :win32.virut ( traduction google)
http://translate.google.com/...
a++++
le virus parité
http://www.secuser.com/alertes/2001/parite.htm
ou le virus :win32.virut ( traduction google)
http://translate.google.com/...
a++++
Salut Sabrina
Pour certaines variantes de Parité par exemple, admettons que tu télécharges un fichier vérolé par cette saleté.
Ce premier fichier sera un "dropper", c'est à dire un fichier chargé de transporter le ver et de l'installer, car le ver en lui même ne possède pas cette fonction.
Le drop consiste dans ce cas à créer un fichier temporaire qui contiendra le code du ver et à l'injecter dans un processus actif comme explorer.exe (par exemple) afin qu'il soit résident en mémoire.
A partir de là, le code viral du ver prend la relève et est exécuté, le ver (dans l'exemple de parité) recherche tout les fichiers d'extension exe ou scr sur chaques lecteur et dès qu'il en trouve un, il rajoute environ 170 ko de données (son code viral) dans chaques exe ou scr pour assurer sa propagation en continu.
La difficulté consiste à pouvoir nettoyer tous les fichiers contaminés (virer les 170 ko de code rajoutés), car tu te douteras que si un seul fichier est oublié, dès qu'il sera lancé cela réactivera automatiquement le ver et tout sera à recommencer :-(
D'autres vers, emploient une autre méthode qui consiste à modifier le registre et les clés chargées de gérer et de coordonner l'ouverture des fichiers selon leur extension.
Pour les exe par exemple, les paramètres se trouvent dans ses clés:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKLM, Software\CLASSES\exefile\shell\open\command
Si le ver modifie les valeurs par défaut en rajoutant le chemin du fichier vérolé porteur du code infectieux, à chaque ouverture d'un exe le ver est exécuté, mais sans toucher au fichier exe en lui même.
La différence entre les deux méthodes est que dans le premier cas, le ver n'a besoin d'être exécuté qu'une seule fois, ensuite même si le fichier d'origine contenant le code viral est supprimé, les exécutables contaminés assurent sa multiplication.
Tandis que dans le second cas, il faut impérativement que le ver soit sous la forme d'un fichier présent sur le disque dur pour pouvoir s'exécuter en simultané avec un exe.
Le problème ensuite reste de pouvoir correctement nettoyer l'infection, ce qui est beaucoup plus facile dans le second cas ou il suffit grossos modo de réassocier l'extension exe avec les paramètres d'origines ce qui facilite la tâche de l'antivirus qui à ce moment-là ne détectera plus tous les exe actifs comme infectés mais seulement le ou les fichiers responsables de l'infection.
Dans le premier cas, c'est beaucoup plus difficile, certains av oublient ou n'arrivent pas à supprimer correctement quelque fois une portion de code, et certains programmes peuvent ne plus fonctionner après ce nettoyage.
C'est du en partie à une protection anti-cracking pour la plupart et pas à cause du bout de code oublié, le prog vérifie son intégrité dès qu'il est lancé et si sa taille à varié il refusera de s'exécuter.
J'espère que ca répondra en partie à ta question, quant à la technique d'injection de code et je crois comprendre que c'est ce qui t'interressais le plus, désolé mais je crois pas que ce forum soit le lieu idéal pour te donner des exemples :-) (hors charte)
a++
Pour certaines variantes de Parité par exemple, admettons que tu télécharges un fichier vérolé par cette saleté.
Ce premier fichier sera un "dropper", c'est à dire un fichier chargé de transporter le ver et de l'installer, car le ver en lui même ne possède pas cette fonction.
Le drop consiste dans ce cas à créer un fichier temporaire qui contiendra le code du ver et à l'injecter dans un processus actif comme explorer.exe (par exemple) afin qu'il soit résident en mémoire.
A partir de là, le code viral du ver prend la relève et est exécuté, le ver (dans l'exemple de parité) recherche tout les fichiers d'extension exe ou scr sur chaques lecteur et dès qu'il en trouve un, il rajoute environ 170 ko de données (son code viral) dans chaques exe ou scr pour assurer sa propagation en continu.
La difficulté consiste à pouvoir nettoyer tous les fichiers contaminés (virer les 170 ko de code rajoutés), car tu te douteras que si un seul fichier est oublié, dès qu'il sera lancé cela réactivera automatiquement le ver et tout sera à recommencer :-(
D'autres vers, emploient une autre méthode qui consiste à modifier le registre et les clés chargées de gérer et de coordonner l'ouverture des fichiers selon leur extension.
Pour les exe par exemple, les paramètres se trouvent dans ses clés:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKLM, Software\CLASSES\exefile\shell\open\command
Si le ver modifie les valeurs par défaut en rajoutant le chemin du fichier vérolé porteur du code infectieux, à chaque ouverture d'un exe le ver est exécuté, mais sans toucher au fichier exe en lui même.
La différence entre les deux méthodes est que dans le premier cas, le ver n'a besoin d'être exécuté qu'une seule fois, ensuite même si le fichier d'origine contenant le code viral est supprimé, les exécutables contaminés assurent sa multiplication.
Tandis que dans le second cas, il faut impérativement que le ver soit sous la forme d'un fichier présent sur le disque dur pour pouvoir s'exécuter en simultané avec un exe.
Le problème ensuite reste de pouvoir correctement nettoyer l'infection, ce qui est beaucoup plus facile dans le second cas ou il suffit grossos modo de réassocier l'extension exe avec les paramètres d'origines ce qui facilite la tâche de l'antivirus qui à ce moment-là ne détectera plus tous les exe actifs comme infectés mais seulement le ou les fichiers responsables de l'infection.
Dans le premier cas, c'est beaucoup plus difficile, certains av oublient ou n'arrivent pas à supprimer correctement quelque fois une portion de code, et certains programmes peuvent ne plus fonctionner après ce nettoyage.
C'est du en partie à une protection anti-cracking pour la plupart et pas à cause du bout de code oublié, le prog vérifie son intégrité dès qu'il est lancé et si sa taille à varié il refusera de s'exécuter.
J'espère que ca répondra en partie à ta question, quant à la technique d'injection de code et je crois comprendre que c'est ce qui t'interressais le plus, désolé mais je crois pas que ce forum soit le lieu idéal pour te donner des exemples :-) (hors charte)
a++
bonjour zbr a en grande partie repondu a tes interoggations mais on peu pas te donnée plus detailles c'est contraire a la charte du forum
a++++
a++++
Salut Sabrina, Salwa
On peut toujours expliquer le principe sans trop en dévoiler et tout en restant dans le cadre de la charte.
Il y a plusieurs méthodes pour injecter du code dans un processus en cours, la plus connue utilisant les API windows.(API=Application Programming Interface)
Les API se sont des fonctions qui permettent à des programmes d'interragir avec le système d'exploitation et constituent tout ce qui fait le système nerveux de windows.
Ces API sont stockées dans les fichiers dll système comme user32.dll, kernel32.dll etc...
Chacune des Dll stockant des groupes de fonctions à utilité bien précises.
Par exemple, un programmeur qui voudrait interragir dans le registre, va faire appel en codant son progs à une Dll windows qui contiendra les fonctions adéquates pour pouvoir écrire dans le registre.
Donc le but de notre virus étant d'injecter son code, il va se servir de certaines fonctions de ces DLL système afin de :
- Trouver un processus actif afin de récupérer son PID (c'est un marqueur unique qui permet d'identifier un processus)
- Ensuite, à l'aide d'une autre fonction il va s'attribuer un espace mémoire dans ce processus.
- Toujours à l'aide d'une fonction bien précise il va indiquer ou se trouve le code à inscrire (chemin du fichier infecté droppé) et agrandir l'espace mémoire afin qu'il soit assez grand pour y contenir son code.
- Et pour terminer, une autre fonction permettra de charger ce fichier dans l'espace mémoire qui a été prévue, c'est à dire inscrire le code et en fin de manoeuvre l'exécuter.
Une fois que le dropper a injecté son code, il peut se terminer et être totalement invisible du gestionnaire des tâches car son rôle s'arrête là.
A ce moment-là on dit qu'il est résident en mémoire et le code injecté est actif tant que le processus hôte est actif lui aussi.
Voilà sabrina, je ne pense pas avoir été hors charte et assez vague, j'espère que ça te permettras de mieux orienter tes recherches sur les méthodes d'injection :-) si c'est ce qui t'interresse.
a++
On peut toujours expliquer le principe sans trop en dévoiler et tout en restant dans le cadre de la charte.
Il y a plusieurs méthodes pour injecter du code dans un processus en cours, la plus connue utilisant les API windows.(API=Application Programming Interface)
Les API se sont des fonctions qui permettent à des programmes d'interragir avec le système d'exploitation et constituent tout ce qui fait le système nerveux de windows.
Ces API sont stockées dans les fichiers dll système comme user32.dll, kernel32.dll etc...
Chacune des Dll stockant des groupes de fonctions à utilité bien précises.
Par exemple, un programmeur qui voudrait interragir dans le registre, va faire appel en codant son progs à une Dll windows qui contiendra les fonctions adéquates pour pouvoir écrire dans le registre.
Donc le but de notre virus étant d'injecter son code, il va se servir de certaines fonctions de ces DLL système afin de :
- Trouver un processus actif afin de récupérer son PID (c'est un marqueur unique qui permet d'identifier un processus)
- Ensuite, à l'aide d'une autre fonction il va s'attribuer un espace mémoire dans ce processus.
- Toujours à l'aide d'une fonction bien précise il va indiquer ou se trouve le code à inscrire (chemin du fichier infecté droppé) et agrandir l'espace mémoire afin qu'il soit assez grand pour y contenir son code.
- Et pour terminer, une autre fonction permettra de charger ce fichier dans l'espace mémoire qui a été prévue, c'est à dire inscrire le code et en fin de manoeuvre l'exécuter.
Une fois que le dropper a injecté son code, il peut se terminer et être totalement invisible du gestionnaire des tâches car son rôle s'arrête là.
A ce moment-là on dit qu'il est résident en mémoire et le code injecté est actif tant que le processus hôte est actif lui aussi.
Voilà sabrina, je ne pense pas avoir été hors charte et assez vague, j'espère que ça te permettras de mieux orienter tes recherches sur les méthodes d'injection :-) si c'est ce qui t'interresse.
a++
bonjour zBr
alors si j'ai bien compri , une fois le premier processus est infecté le code du virus va refaire les meme opérations que celles faites par le dropper pour infecter les autres processus. c'est a dire que le travail du virus sera identique a celui du dropper.
c'était tres important pour moi de comprendre cette partie parceque je n'aime pas comprendre les choses superficiellement.
a+ et bonne journée.
alors si j'ai bien compri , une fois le premier processus est infecté le code du virus va refaire les meme opérations que celles faites par le dropper pour infecter les autres processus. c'est a dire que le travail du virus sera identique a celui du dropper.
c'était tres important pour moi de comprendre cette partie parceque je n'aime pas comprendre les choses superficiellement.
a+ et bonne journée.
je ne sais pas si je me suis bien fait comprendre !!!!