Discussion :

[Invité]

Bonjour,
j'aimerais savoir comment savoir comment crée une signature d'un fichier quelconque pour uniquement identifier formellement ce fichier,j'imagine que les sociétés antivirus ont du bien réfléchir a ce problème (si c'est réellement un problème,à moins qu'il prenne de manière un peu aléatoire une suite d'octet assez longue dans ce fichier mais je ne pense pas...), j'aimerais connaître la longueur de ces signatures , si il y a des sections privilégié, si il peut en avoir plusieurs pour un même fichier et dans quels cas, si il y a des vérification supplémentaire du genre le type mime avant analyse enfin toutes sortes d'informations a ce sujet

Dans mon cas ce sera principalement pour des fichiers au format PE, mais peut-être que j'en aurais besoin pour d'autres fichiers plus classique


Merci pour vos renseignement.

[chrtophe]

Pour identifier un fichier par signature, tu peux lui appliquer une signature md5, sha1, sha256. Le principe : c'est un calcul sur le contenu du fichier aboutissant à une valeur unique.

Pour les antivirus, la signature consiste en une suite d'octets correspondant à une partie du code de celui-ci. Les antivirus utilisent aussi des heuristiques ils font de l'analyse comportementale sur les fichiers.

[Invité]

Pour identifier un fichier par signature, tu peux lui appliquer une signature md5, sha1, sha256. Le principe : c'est un calcul sur le contenu du fichier aboutissant à une valeur unique.

Pour les antivirus, la signature consiste en une suite d'octets correspondant à une partie du code de celui-ci. Les antivirus utilisent aussi des heuristiques ils font de l'analyse comportementale sur les fichiers.

merci pour ta réponse.
Les hash c'est surtout ce que je ne veux pas, un octet modifié et c'est fini, détection heuristique ce n'est pas non plus ce que je veux, je souhaite seulement des signatures en terme de suite d'octets (comme indiqué dans mon premier post), j'aimerais les faire le plus intelligemment possible et ne pas réinventer la roue, si tu as (vous avez) des documents technique en français ou anglais sur le sujet je suis preneur

[chrtophe]

Les hashs, c'est pourtant fait pour signer les fichiers. Effectivement, un octet, même un bit déplacé et le hash n'est plus le même, cela n'identifie pas formellement le fichier ?

[Invité]

oui les hashs cela identifie formellement un fichier mais ce n'est pas ce que les sociétés antivirus utilisent, moi je parle de suite d'octets (ou peut-être plusieurs avec peut-être vérification supplémentaire avant le test d'ailleurs ce sont mes questions)

je ne veux surtout pas de hash il suffit que un programme se rajoute une ressource et c'est foutu , a moins de faire un hash de une de ces sections mais ce n'ai pas trop viable , je souhaite copier au mieux les méthodes utilisée aujourd'hui par les antivirus.

Les antivirus ont la difficile tâche de garantir le bon fonctionnement des applications et de ne pas pénaliser l'utilisateur, en le faisant patienter à chaque fois qu'une action potentiellement dangereuse est effectuée par celui-ci. De nombreux algorithmes sont mis en œuvre dans ce but : la reconnaissance de signature de virus (suite caractéristique d'octets) [...]

http://www.universalis.fr/encycloped...les-antivirus/

[Invité]

Désolé d'insister, sinon j'ai trouvé ceci et je veux savoir exactement ou il est préférable de prendre cette suite d'octets dans le fichier.

First of all a virus signature is not necessarily a hash value of a file. A signature is usually a string of bits found in a file, although a hash value could also be used as a signature.

Suppose, for example, that a virus contains the string of bits 0x23956a58bd910345. We can consider this string to be a signature of the virus, and we can search for this signature in the files on a system. However, even if we find the signature, we can’t be certain that we’ve found the virus, since other innocent files could contain the same string of bits.

Si personne ne peut ,m'aider ce n'ai pas grave je ferait ma signature a la "sauvage"...

Pièce jointe 158310

[Bros]

C'est impossible de faire fonctionner un antivirus avec un Hash (que ce soit MD5 - SHA1 ...) car effectivement ca identifie bien un fichier, donc cela identifierai le virus seul lui même mais ne serait pas fonctionnel car de nos jours, les virus se "cachent" derrière d'autres exécutables etc ...

La signature se base sur les octets intéressants du programme et n'est pas beaucoup plus fiable que ca non plus car elle (peu) génère des "faux positif".

Exemple, un virus est packé avec un packer gratuit et/ou opensource (voir même un payant)... l'antivirus (certains pas tous heureusement) ca prendre la signature du packer pour identifier le virus et donc "hurler" a chaque fois que il le voit.
Cela a déja été le cas avec des antivirus célèbre qui chaque fois qu'ils voient certaines versions de themida / Winlicense bloquent le fichier en le signalant comme virus de type Win32/Packed.Themida.

La signature reste le meilleur moyen, c'est également ce qu'utilisent les crackers pour identifier un packer avant de désassembler quelque chose

[chrtophe]

En plus maintenant certains antivirus ont un code polymorphe (qui change), les antivirus font de l'analyse comportementale.

[Invité]

La signature reste le meilleur moyen [...]

En plus maintenant certains antivirus ont un code polymorphe (qui change), les antivirus font de l'analyse comportementale.

Je n'ai jamais encore entendu des antivirus avec code polymorphe, les antivirus font effectivement (entre autre) de l'analyse comportementale (facilement contournable d'ailleurs) mais ce n'ai pas de ce que je souhaite faire , ce que je souhaite faire c'est bien une signature (sous forme de suite d'octet dans le fichier exécutable) , packer ou non cela n'as pas d'importance pour moi car la plus part des exécutable du commerce/légal n'utilise pas de packer et puis même si cela aurait été le cas il ne le font pas toutes les semaines... je ferais une autre signature si c'est le cas...

la section .rdata as l'air bien pour en prendre une suite d'octet mais j’attends l'aide de pro qui si connaissent sur le sujet

merci d'avance.

[puke502]

les anti virus sont surtout useless et très facilement "by passable" par énormément de techniques

[sevyc64]

Pas tant que ça.

Non seulement les anti-virus sont encore plus que nécessaire et font très bien leur boulot, mais les techniques qui existent pour les contourner ne sont pas forcément à la portée de tout le monde et necessitent généralement des conditions bien spécifiques sur la machine à infecter pour être activées.

[JayGr]

Pas tant que ça.

Non seulement les anti-virus sont encore plus que nécessaire et font très bien leur boulot, mais les techniques qui existent pour les contourner ne sont pas forcément à la portée de tout le monde et necessitent généralement des conditions bien spécifiques sur la machine à infecter pour être activées.

Je suis d'accord, et j'ajouterais qu'il ne faut pas considérer qu'un AV ne sert à rien sous prétexte qu'on peut le bypasser avec des connaissances.
Alors oui... certes, un AV ne bloque pas tout, mais si on prend le problème dans l'autre sens, il bloque tout de même beaucoup d'attaques pour des users lambda.

Ne délaissons pas ce qui protège les novices,

Pour ce qui est de la signature, je suis curieux que tu partages ta méthode une fois que tu l'auras mis en place.

@+