Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

+ Répondre à la discussion

VBScript

Discussion :

Comment déterminer la fonction de Codage ou bien de Cryptage ?

Sujet :

VBScript

Outils de la discussion
- Afficher une version imprimable
- S'abonner à cette discussion…
Affichage
- Choisir le mode linéaire
- Choisir le mode hybride
- Mode arborescent

Mode arborescent

Message précédent

Message précédent

Message suivant

Message suivant

14/09/2011, 16h22 #1

hackoofr

hackoofr est déconnecté

Expert confirmé

Posteur de sources - 32 sources postées

3 trophées reçus

Comment déterminer la fonction de Codage ou bien de Cryptage ?

à Tous !
Je me suis interessé sur les nouveaux virus qui circulent partout ces jours-ci et j'ai remarqué qu'il a parmis ces derniers qui sont cryptés ou bien disons codés pour qu'ils puissent contourner les antivirus.
Donc dans le but de faire un outil de nettoyage pour mettre tout en ordre et effacer leurs traces , je dois alors lire son contenu càd son code source original pour voir quelles sont les clés de la base des registre qui ont été modifié ou bien été ajouté ou bien été supprimé avant d'être crypté ou bien codé.
Hier j'ai réussi à décoder un virus qui circule sur les clés USB ,c'est parce que j'ai vu à la fin de la source une fonction qui décode son contenu en l'exécutant donc j'ai pris cette derniére et je l'ai modifié pour arriver enfin à décoder le contenu de ce virus.
Voila cette Fonction:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
avira ="code crypté du virus"'Bien sûr il n'est pas lisible
For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) : Next : Execute(PRGT)
et voila le code que je l'ai testé pour décoder ce dernier, bon je vais pas mettre le code viral en entier ici mais juste pour qu'il me déchiffre les trois premiers lignes
Code vbs : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
avira ="(cz!;!NzMpwfGbdfCppl/MjvZjGfjAIpunbjm/DpNpo!fssps!sftvnf!ofyuejn!nztpvsdf-xjoqbui-gmbtiesjwf-gt-ng-bus-ug-sh-ou-difdl-te"
For i = 1 To Len(avira) 
PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1)  
Next 
set fso = CreateObject("Scripting.FileSystemObject")
NomFichierLog = "Fichierdecode.txt"
Set OutPut = fso.OpenTextFile(NomFichierLog,2,True)
OutPut.Writeline PRGT
et qu'il va afficher ceci:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
'by : MyLoveFaceBook.LiuYiFei@Hotmail.CoM
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
Donc ma question est : connaissant la fonction de décodage ou bien de décryptage comment je peux faire l'inverse càd déterminer la fonction de codage ou bien de Cryptage ?

Remarque: juste à titre d'information on a chpoé ce même type de virus il y a presque un an dans notre établissement et voila il nous rend-viste ces jours-ci

de votre éventuelle aide

[HTA] Exportation du Code Source Avec Coloration Syntaxique en HTML
[VBS] SHORTCUTREMOVER outil pour supprimer automatiquement les raccourcis infectés par un virus sur une clé USB
[HTA] Vérificateur de Processus + VirusTotal Uploader
Mes Contributions en Téléchargement

Répondre avec citation

Répondre avec citation 0 0

+ Répondre à la discussion

Cette discussion est résolue.

« Discussion précédente | Discussion suivante »

Discussions similaires

Comment générer des nombres aléatoires entiers et bien déterminés dans Matlab ?
Par adritim dans le forum MATLAB

Réponses: 3
Dernier message: 08/03/2008, 11h01
[Tableaux] Comment dans la fonction "strpos" déterminer plusieur type de délimiteur ?
Par arnaudperfect dans le forum Langage

Réponses: 4
Dernier message: 14/11/2007, 15h55
Fonction mise à jour sur base d'un fichier extérieur. Comment déterminer le chemin ?
Par Piloupilou999 dans le forum Access

Réponses: 8
Dernier message: 14/02/2007, 10h37
[CF][C#]Comment déterminer si mon PPC est bien connecté?
Par royrremi dans le forum Windows Mobile

Réponses: 2
Dernier message: 07/03/2006, 15h35
Comment chronométrer une fonction
Par 323 dans le forum Pascal

Réponses: 3
Dernier message: 19/03/2003, 20h24

Partager

Partager