Rendre trojan indetectable
1. Modifier la signature antivirus du trojan
Tout d'abord, Qu est ce une signature ???
Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par les antivirus.
A quoi peut servir de connaitre ces signatures ?
Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indétectable par les AV.
------------------------------
Vous aurez besoin de :
-AVPOFFSET ICI
-Kaspersky (installer sur votre ordinateur) ICI
-Hexiwin (www.telecharger.com), ou un autre logiciel du même genre...
-Un serveur de trojan qui n'a pas été modifié (c'est à dire : non Packer, crypté, bindé, etc...)
------------------------------
Pour commencer, désactivez votre A-V. Ensuite allez dans le répertoire ou il y a les fichiers ".AVC" (exemple : " C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Lite\BASES ").
Si c'est différent chez vous faite tout simplement une recherche sur votre disque dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le répertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenêtre MS DOS (démarrer puis exécuter et command) .Allez dans le répertoire ou vous avez mis AVPOFFSET et tapé ceci :
" AVPOFFSET SERVER.EXE "
Ensuite patientez (cela dure +- 1-2minutes)
Puis vous obtiendrez ceci:
SERVER.EXE infected: backdoor xxxxxx
Signature 1 found :
Offset : 511854 ( 7CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)
Signature 2 found:
Offset : 515903 ( 7DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)
Ce qui est écrit ci-dessus est fondamental pour la suite.
Ouvrer ensuite "SERVER.EXE" avec HEXIWIN.
Puis faites " EDIT" puis "GOTO..."A coté d'offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Décimal)
Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Hexadécimal.
Ensuite vous devez obtenir de ce style-ci :
756E5365727669636573000000FFFFFFFF (hexadecimal)
RunServices....... (Ascii)
Cette signature est facile a modifier puisqu'elle détecte seulement par du texte. Dans cet exemple elle détecte le Texte " RunServices "
Pour vous débarrasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules. voila qq exemple :
exemple: RunServices ==> runservices ==> RuNServices
Il y a évidemment plein de possibilités de modifications, mais la chose a ne surtout pas faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquence que le serveur ne fonctionne pas.
------------------------------
Étudions maintenant la deuxième signature...
Retournez dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)
Vous obtenez ensuite ceci :
8D45F8
Ceci n'est plus une signature aussi simple que la précédente :
Ecrite en hexadécimal,elle est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)
Bon la y a pas 36 solutions, il faut avoir qq bases en assembleur , j'vous donne l équivalent :
exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un équivalent de cette signature)
Normalement, votre serveur est ensuite plus détecté, ce qui est bien utile , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...;)
2. Appliquer un binder ou un packer
Un binder (beast 2.06 en contient un) permet de rassembler au moins deux EXE (fichier executable) en un seul EXE. Cela a la faculté de parfois modifier les signatures. Un seul inconvénient: les binders sont eux memes detectés par les antivirus. En effet un binder ajouite du code entre les deux EXE afin que ceux ci soient lancés simultenément, et comporte également une signature. M ême si un binder est inoffensif en soi, il sera donc détecté comme dangereux par les antivirus. L'idéal est de se confectionner (à partir de morceaux de sources trouvés sur Internet) son propre Binder, ce qui est tout de même plus rapide que chercher à modifier le code source du trojan. Il existe déjà plusieurs dizaines de Binders sur Internet. Peut être que j'en ajouterai dans la rubrique des téléchargements à vos demandes. Donc pour utiliser en général un binder, il faut le rendre également indétécté avoir la méthode du paragraphe suivant, et s'assurer également que les fichiers à l'intérieur du binder soient aussi indétéctés. Cela donnera des résultats remarquables.
Un packer permet de compresser un fichier non compressé (unpacked). Il en existe également plusieurs dizaines. L'avantage du packer est qu'il modifie très probablement la signature du trojan, mais ce n'est pas sûr à 100%. Cela vient du faite que certaines parties (comportant des overlays) ne peuvent pas être compressées. ET donc si la signature du trojan est située dans cet overlay....le packer ne modifiera pas la signature.
Le principe général d'un packer est de rechercher les redondances (codes répétés plusieurs fois) de codes hexadécimaux dans le fichier à compresser. Par exemple, imaginons que la code hexadécimal "15D9C2" (6 caractères) apparaît 50 fois dans le fichier. Si le compresseur remplacent ces 6 caractères par 4 caractères (par exemple "AAAA") cela fait un gain de place très important. En effet 50 x 6 = 300 caractères remplacés par 50 x 4 = 200 caractères corresponda à un taux de compression de 100 - 200 / 300 x 100 = 44.44%. Tout le code d'origine peut ainsi être remplacé par un code similaire plus court s'il y a redondances. Cela a pour effet de modifier énormément le contenu du fichier et donc la signature. Essayez par exemple sur le serveur Beast 2.06. Editez un serveur non compressé avec UPX (case UPX à décocher) et appliquez (en fenêtre DOS) la commande