Ficarcy0407
Messages postés28Date d'inscriptionsamedi 5 avril 2003StatutMembreDernière intervention24 septembre 2005 23 févr. 2004 à 18:58
salut, tu dit ke ta fait la v2, elle est ou la v2 please ?
Merci !
Ficarcy0407
Messages postés28Date d'inscriptionsamedi 5 avril 2003StatutMembreDernière intervention24 septembre 2005 23 févr. 2004 à 18:43
Tout d'abord j'aimerais qu'on m'explique pourquoi ca desinfecte pas si on supprime le exe, sinon, jai trouvé une autre faille :
je crois que qu'en faite la deuxieme faille vient de la methode 3, la verification toute les 10 secondes : je m'explique, vu que ca verifie toute les 10 secondes, tu créé un mini prog vbs qui modifie les 2 valeurs du registre infecté, et dès que le vbs a fini, tout de suite apres, tu debranche la prise de ton pc, donc le virus il a pas le temps de refaire la clé infecté
A moins que tai vraiment pas de bol et ke la verification tombe aux mauvais moment ! J'ai pas testé mais je vois pas comment ma methode pourait ne pas marcher !
Merci de m'expliquer mes erreurs
PS : Désolé les admins jarrive plus a ecrire sans fote !
FrostByte
Messages postés138Date d'inscriptionmercredi 4 avril 2001StatutMembreDernière intervention28 janvier 2006 3 févr. 2004 à 11:33
à la rigueur pour être vraiment méchant tu peux tenter le 'Exe hijacking' je crois... sur PSC y a tout !!
meylyssaw
Messages postés1Date d'inscriptionlundi 4 août 2003StatutMembreDernière intervention 4 août 2003 4 août 2003 à 13:34
salut a tous je vous explique mon probleme j ai un trojan ds mon pc comment je peux l'enlever :( ca met la rage!!!!!!!!
cs_YaNn0u
Messages postés48Date d'inscriptionlundi 6 janvier 2003StatutMembreDernière intervention27 avril 2005 4 juil. 2003 à 06:47
ptite question, si jarrête ce prog avec ctrl alt suppr, processus, est ce que la fonction form_unload se fait quand meme ?
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 11 déc. 2002 à 22:26
walla la v2 sortie avec toutes vos remarques de prises en compte :
Demmarage avec win en mode sans echec
Impossible de l'arretter avec CTRL+ALT+SUPPR
cs_wbr
Messages postés110Date d'inscriptiondimanche 11 août 2002StatutMembreDernière intervention21 juillet 2006 11 déc. 2002 à 22:21
même rendu là, c'est simple de jarté un antivirus, il y a déjà des codes sur vbfrance pour fermer un prog avec son titre (pas arrièreplan). Le seul prob c que on peu pas fermer norton en tapant Navapw32 mais en écrivant Norton Antivirus v5.0 [...]. Il doit quand même exister une autre facon avec la racine du exe mais je n'ai pas trop de temps à consacrer aux infection au virus et autre chose du genre.. Mais akh, ça serait bien de nouvelles méthodes d"infection, ça m'inspire beaucoup et je croit que c'est toujours bon a savoir. Maintenant je vérifi des s'il y a des exe avant douvrir mes projets, parce que, peut etre meme que j'étais infecter sans le savoir..
a+
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 11 déc. 2002 à 21:56
désolé mais je n'ait pas de viguard ... quand au jartage des antivirus ce n'est pas mon pb , c'est carément un autre dommaine ... qu'il faudrais étudier de prés dont je n'ait pas le temps ...
Voilà ... je viens de poster la v2 du défi ... et là vous aurez du mal ... moi je me suis infecté et j'ai plus de moyen de les jarter ... mais je vais bien trouver ... :)
Spylover
Messages postés110Date d'inscriptionmercredi 24 avril 2002StatutMembreDernière intervention12 août 20101 11 déc. 2002 à 21:52
Salut,
Je veux pas vous couper dans votre élan, certes votre mode d'infection ne sera pas visible avec NAV (norton anti virus) mais avec Viguard, c'est foutu....
En 1 seconde vous êtes repérés, bien sur il vous faut désactiviter le process de viguard, oui mais il peut varier en fonction des versions.
Alors quand vous pensez antivirus ne pensez pas uniquement à ceux qui vérifient la signature du programme, mais plutot à leurs actions....
Bon courage
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 11 déc. 2002 à 21:01
Test réussit ... en effet en tuant le processus sous xp ça fonctionne ... Alors pour être plus concret la methode pour l'arretter manuellement est :
Démarer / Executer / Regedit
CTRL+ALT+SUPPR
Arreter le programme de nom Project1.exe
Ensuite aller dans HKEY_CLASSES_ROOT puis dans la clef .exe dans la valeur .exe faut mettre exefile .
Bon alors j'annonce la suite que je vais essayer de faire ce soir :
Systéme de virus gardien : Pere qui aide le fils (deux exe)
Avec un mini module polymorphe pour empecher de fermer le prog ...
Quand aux code ... je vais voir si on peut le rendre polymorphe ... Hey ... je pense que ça peut devenir incontrolable ... mais je peux aussi tenter de faire un systéme de propagation ... mais j'en vois pas l'interet ... la methode eput être utilisée à des mauvaises fins ...
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 11 déc. 2002 à 17:51
Bon alors ce soir je teste vos propositions et si c'est le cas on sort la version 2 ...
cs_wbr
Messages postés110Date d'inscriptiondimanche 11 août 2002StatutMembreDernière intervention21 juillet 2006 11 déc. 2002 à 11:30
As-tu résolu le pb du timer ?
Oui facilement. Tu as presque tout protéger mais pas le sur le mode sans échec ou DOS. J'ai fait un petit antidote de 5mn (un peu nul aussi) mais j'ai penser à faire un peu plus grand. Genre un scanner de exe qui vérifi si le contenu provien de ta source ou en est dériver. Si la "chaîne clef" est trouver, on recherche dans le registre le chaîne d'access au fichier dans toutes les clef Run, RunOnce, etc.. Bon alors je vais peut-être faire ça cette semaine mais je sais pas comment je vais mis prendre pour trouver ma lignes sensible..
a+
cs_zappy
Messages postés161Date d'inscriptionmardi 19 juin 2001StatutMembreDernière intervention10 avril 20072 11 déc. 2002 à 09:50
Sous Win2k (noyau NT)
On tue le processus (du coups on appelle pas le form_unload).
On detruit l'exe.
On nettoie la base de registre.
Voila c'est fini, bouffé le trojan (qui n'est pas un virus, je le rappelle).
A+ pour de nouvelles aventures
ovRflow
Messages postés42Date d'inscriptionvendredi 2 août 2002StatutMembreDernière intervention 5 novembre 2004 11 déc. 2002 à 09:33
Je suis desolé de vous cassé ds votre elan mé la je ne puis vs laisser en dire plus sans vous informer que quand vs demarrer votre ordi avec la touche SHIFT ( ca pe varier selon les ordi), les runkey ne sont pas chargées.
Voila bon par contre je vous prévien kan meme g juste survolé ce code ( g pa le temp mé jreviendrai ) donc peut etre ke vs y avez deja pensez??
ovRflow
....:: www.ovRflow.fr.st ::....
PS : compren rien a lang alors si qqn pouvai me dire ou kliker sur le site tlsecurity pour telecharger votre programme miracle ki fusionne les dll,ocx avec l'exe ??? Merci d'avance.
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 11 déc. 2002 à 07:49
si tu veux rendre le .exe inactif ... à sa valeur défault tu dois remettre son ancienne valeur exefile que je ne modifie pas . Biensûr si on veut être battard on peut essayer de camoufler le registre dans .exe à la valeur default on laisse exefile ce qui ferra le registre continuer vers la clef exefile .
Dans la valeur exefile on jarte toutes ses clefs pour obliger les gars à les réécrire au lieu de modifier une seule valeur ... puis dans cette valeur default de exefile on lui mets une valeur de chaine aléatoire ... histoire que les antivirus ne pigent pas trop ce qui leur arrive (cf mes sources polymorphes) puis on rédige dans cette clef aleatoire la structure d'execution .
Bon bref rien ne sert à compliquer tout ça ... ici c'est juste pour s'entrainer ... donc pour que tu jartes l'étape 2 mets juste ça :
PS : As-tu résolu le pb du timer ? car modifier ceci toutes les 10 sec ça va être chaud pour tout arréter ...
cs_wbr
Messages postés110Date d'inscriptiondimanche 11 août 2002StatutMembreDernière intervention21 juillet 2006 11 déc. 2002 à 02:25
DHKold:
fusion de bitsart sert à fusionner un exécutable avec des DLL ou des OCX. Les appli faites en vb ont besoin de 2 DLL de base pour rouler. Alors si on les fusionne dans le exe, les 3 fichiers sont combiner ensemble et forme 1 (2DLL + 1EXE). Donc les runtimes que tu a besoin sont tous dans le .exe et roule un peu partout (semblablement a Delphi). Tu peux avoir le logiciel fusion sur http://www.tlsecurity.net/main.htm. Mais prend un crack parce que la version gratuite est nul.. Et akh, donne moi la ligne d'origine de la clef .exe que tu as modifier avec ton programme et je te fait l'antidote.
a+
DHKold
Messages postés153Date d'inscriptionvendredi 6 décembre 2002StatutMembreDernière intervention29 mai 20052 10 déc. 2002 à 22:58
Oups, excuse c'était FrostByte qui avait posté ce texte, enfin si tu sais...
DHKold
Messages postés153Date d'inscriptionvendredi 6 décembre 2002StatutMembreDernière intervention29 mai 20052 10 déc. 2002 à 22:54
hello, je connais vraiment rien aux virus (mais ici j'ai compris ;). Par contre j'ai repéré un petit truc qui m'interesse, tu dis:
"sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy) "
J'ai tenté une recherche là-dessus mais sans résultat, pourrais tu m'expliquer, même briêvement?
:: Merci, et bravo pour ta source ::
cs_blabla
Messages postés112Date d'inscriptionmercredi 28 août 2002StatutMembreDernière intervention13 mars 2004 10 déc. 2002 à 21:21
hi ! faite attention c tro chian !
aKheNathOn>encore merci ... ;-)
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 10 déc. 2002 à 20:11
Ah ouais pas mal du tout ! Je connaissait pas ça ... Bon je vais tester ta proposition puis mettre à jour si c'est ok :)
vbGuy
Messages postés60Date d'inscriptionsamedi 10 novembre 2001StatutMembreDernière intervention13 juin 2004 10 déc. 2002 à 20:01
Le prob(enfin je crois je ne l' ai pas encore tester) c' est qu' il ne laissera pas un bon arret de windows parceque meme windows ne pourras pas arreter le prog.
Tu aurrai du mettre le code suivant
> Privat sub Form_queryunload(cancel as integer,unloadmode as integer)
'REGARDE POURQUOI L'APPLI QUITTE
Select case UnloadMode
case vbAppWindows
If Right(App.Path, 1) <> "" Then
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & "" & App.EXEName
Else
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & App.EXEName
End If
Cancel = False 'ON QUITTE CAR APPLI FERMEE PAR WINDOWS
Case else:
Cancel = true ' L'APPLI N' EST PAS FERMEE PAR WINDOWS ON NE QUITTE PAS
end select
End Sub
cs_moustachu
Messages postés1079Date d'inscriptionjeudi 14 novembre 2002StatutMembreDernière intervention 1 janvier 2012 10 déc. 2002 à 18:06
Je le prenais comme tel, je vais un peu l'étudier avant de la lancer. Je suis plutôt Newbies dans ce domaine
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 10 déc. 2002 à 17:57
Ou encore si j'ai vb version Englaise (elle sont inclues dans l'install de windows à partir de win2000) pour les versions englaises y'à besoin que juste de msvbvm60.dll .
et puis justement ce qui est bien avec vb c'est que mes codes ne seront pas utilisés à des fin méchantes ... ou du moins si elles le sont elles n'aboutiront pas ... je vois mal un virus de 1.6 MO ... donc pas de pbs ce code n'est pas méchant :) ...
Je vous propose juste de vous divertir en aprennant . (PS : Déconséillé comme même au newbies ...!)
FrostByte
Messages postés138Date d'inscriptionmercredi 4 avril 2001StatutMembreDernière intervention28 janvier 2006 10 déc. 2002 à 17:49
sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy)
cs_moustachu
Messages postés1079Date d'inscriptionjeudi 14 novembre 2002StatutMembreDernière intervention 1 janvier 2012 10 déc. 2002 à 17:44
Je ne suis pas trop branché virus mais j'essaye de m'intéresser un peu à tout... Mais là il faut les runtimes de VB pour lancer un virus ? Pas top ;)
cs_aKheNathOn
Messages postés575Date d'inscriptiondimanche 23 décembre 2001StatutMembreDernière intervention23 octobre 2012 10 déc. 2002 à 17:39
23 févr. 2004 à 19:56
Amuses toi bien :)
23 févr. 2004 à 18:58
Merci !
23 févr. 2004 à 18:43
je crois que qu'en faite la deuxieme faille vient de la methode 3, la verification toute les 10 secondes : je m'explique, vu que ca verifie toute les 10 secondes, tu créé un mini prog vbs qui modifie les 2 valeurs du registre infecté, et dès que le vbs a fini, tout de suite apres, tu debranche la prise de ton pc, donc le virus il a pas le temps de refaire la clé infecté
A moins que tai vraiment pas de bol et ke la verification tombe aux mauvais moment ! J'ai pas testé mais je vois pas comment ma methode pourait ne pas marcher !
Merci de m'expliquer mes erreurs
PS : Désolé les admins jarrive plus a ecrire sans fote !
3 févr. 2004 à 11:33
4 août 2003 à 13:34
4 juil. 2003 à 06:47
11 déc. 2002 à 22:26
Demmarage avec win en mode sans echec
Impossible de l'arretter avec CTRL+ALT+SUPPR
11 déc. 2002 à 22:21
a+
11 déc. 2002 à 21:56
Voilà ... je viens de poster la v2 du défi ... et là vous aurez du mal ... moi je me suis infecté et j'ai plus de moyen de les jarter ... mais je vais bien trouver ... :)
11 déc. 2002 à 21:52
Je veux pas vous couper dans votre élan, certes votre mode d'infection ne sera pas visible avec NAV (norton anti virus) mais avec Viguard, c'est foutu....
En 1 seconde vous êtes repérés, bien sur il vous faut désactiviter le process de viguard, oui mais il peut varier en fonction des versions.
Alors quand vous pensez antivirus ne pensez pas uniquement à ceux qui vérifient la signature du programme, mais plutot à leurs actions....
Bon courage
11 déc. 2002 à 21:01
Démarer / Executer / Regedit
CTRL+ALT+SUPPR
Arreter le programme de nom Project1.exe
Ensuite aller dans HKEY_CLASSES_ROOT puis dans la clef .exe dans la valeur .exe faut mettre exefile .
Bon alors j'annonce la suite que je vais essayer de faire ce soir :
Systéme de virus gardien : Pere qui aide le fils (deux exe)
Avec un mini module polymorphe pour empecher de fermer le prog ...
Quand aux code ... je vais voir si on peut le rendre polymorphe ... Hey ... je pense que ça peut devenir incontrolable ... mais je peux aussi tenter de faire un systéme de propagation ... mais j'en vois pas l'interet ... la methode eput être utilisée à des mauvaises fins ...
11 déc. 2002 à 17:51
11 déc. 2002 à 11:30
Oui facilement. Tu as presque tout protéger mais pas le sur le mode sans échec ou DOS. J'ai fait un petit antidote de 5mn (un peu nul aussi) mais j'ai penser à faire un peu plus grand. Genre un scanner de exe qui vérifi si le contenu provien de ta source ou en est dériver. Si la "chaîne clef" est trouver, on recherche dans le registre le chaîne d'access au fichier dans toutes les clef Run, RunOnce, etc.. Bon alors je vais peut-être faire ça cette semaine mais je sais pas comment je vais mis prendre pour trouver ma lignes sensible..
a+
11 déc. 2002 à 09:50
On tue le processus (du coups on appelle pas le form_unload).
On detruit l'exe.
On nettoie la base de registre.
Voila c'est fini, bouffé le trojan (qui n'est pas un virus, je le rappelle).
A+ pour de nouvelles aventures
11 déc. 2002 à 09:33
Voila bon par contre je vous prévien kan meme g juste survolé ce code ( g pa le temp mé jreviendrai ) donc peut etre ke vs y avez deja pensez??
ovRflow
....:: www.ovRflow.fr.st ::....
PS : compren rien a lang alors si qqn pouvai me dire ou kliker sur le site tlsecurity pour telecharger votre programme miracle ki fusionne les dll,ocx avec l'exe ??? Merci d'avance.
11 déc. 2002 à 07:49
Dans la valeur exefile on jarte toutes ses clefs pour obliger les gars à les réécrire au lieu de modifier une seule valeur ... puis dans cette valeur default de exefile on lui mets une valeur de chaine aléatoire ... histoire que les antivirus ne pigent pas trop ce qui leur arrive (cf mes sources polymorphes) puis on rédige dans cette clef aleatoire la structure d'execution .
Bon bref rien ne sert à compliquer tout ça ... ici c'est juste pour s'entrainer ... donc pour que tu jartes l'étape 2 mets juste ça :
Registres.SaveString Registres.HKEY_CLASSES_ROOT, ".exe", "", "exefile"
PS : As-tu résolu le pb du timer ? car modifier ceci toutes les 10 sec ça va être chaud pour tout arréter ...
11 déc. 2002 à 02:25
fusion de bitsart sert à fusionner un exécutable avec des DLL ou des OCX. Les appli faites en vb ont besoin de 2 DLL de base pour rouler. Alors si on les fusionne dans le exe, les 3 fichiers sont combiner ensemble et forme 1 (2DLL + 1EXE). Donc les runtimes que tu a besoin sont tous dans le .exe et roule un peu partout (semblablement a Delphi). Tu peux avoir le logiciel fusion sur http://www.tlsecurity.net/main.htm. Mais prend un crack parce que la version gratuite est nul.. Et akh, donne moi la ligne d'origine de la clef .exe que tu as modifier avec ton programme et je te fait l'antidote.
a+
10 déc. 2002 à 22:58
10 déc. 2002 à 22:54
"sauf si elles sont inclues dans le exe (voir Fusion de bit-arts ou Compy) "
J'ai tenté une recherche là-dessus mais sans résultat, pourrais tu m'expliquer, même briêvement?
:: Merci, et bravo pour ta source ::
10 déc. 2002 à 21:21
aKheNathOn>encore merci ... ;-)
10 déc. 2002 à 20:11
10 déc. 2002 à 20:01
Tu aurrai du mettre le code suivant
> Privat sub Form_queryunload(cancel as integer,unloadmode as integer)
'REGARDE POURQUOI L'APPLI QUITTE
Select case UnloadMode
case vbAppWindows
If Right(App.Path, 1) <> "" Then
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & "" & App.EXEName
Else
Registres.SaveString Registres.HKEY_LOCAL_MACHINE, "softwaremicrosoftwindowscurrentversion
un", "sdsys", App.Path & App.EXEName
End If
Cancel = False 'ON QUITTE CAR APPLI FERMEE PAR WINDOWS
Case else:
Cancel = true ' L'APPLI N' EST PAS FERMEE PAR WINDOWS ON NE QUITTE PAS
end select
End Sub
10 déc. 2002 à 18:06
10 déc. 2002 à 17:57
et puis justement ce qui est bien avec vb c'est que mes codes ne seront pas utilisés à des fin méchantes ... ou du moins si elles le sont elles n'aboutiront pas ... je vois mal un virus de 1.6 MO ... donc pas de pbs ce code n'est pas méchant :) ...
Je vous propose juste de vous divertir en aprennant . (PS : Déconséillé comme même au newbies ...!)
10 déc. 2002 à 17:49
10 déc. 2002 à 17:44
10 déc. 2002 à 17:39