IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

VBScript Discussion :

Comment déterminer la fonction de Codage ou bien de Cryptage ?


Sujet :

VBScript

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Expert confirmé
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 844
    Par défaut Comment déterminer la fonction de Codage ou bien de Cryptage ?
    à Tous !
    Je me suis interessé sur les nouveaux virus qui circulent partout ces jours-ci et j'ai remarqué qu'il a parmis ces derniers qui sont cryptés ou bien disons codés pour qu'ils puissent contourner les antivirus.
    Donc dans le but de faire un outil de nettoyage pour mettre tout en ordre et effacer leurs traces , je dois alors lire son contenu càd son code source original pour voir quelles sont les clés de la base des registre qui ont été modifié ou bien été ajouté ou bien été supprimé avant d'être crypté ou bien codé.
    Hier j'ai réussi à décoder un virus qui circule sur les clés USB ,c'est parce que j'ai vu à la fin de la source une fonction qui décode son contenu en l'exécutant donc j'ai pris cette derniére et je l'ai modifié pour arriver enfin à décoder le contenu de ce virus.
    Voila cette Fonction:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    avira ="code crypté du virus"'Bien sûr il n'est pas lisible
    For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) : Next : Execute(PRGT)
    et voila le code que je l'ai testé pour décoder ce dernier, bon je vais pas mettre le code viral en entier ici mais juste pour qu'il me déchiffre les trois premiers lignes
    Code vbs : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    avira ="(cz!;!NzMpwfGbdfCppl/MjvZjGfjAIpunbjm/DpNpo!fssps!sftvnf!ofyuejn!nztpvsdf-xjoqbui-gmbtiesjwf-gt-ng-bus-ug-sh-ou-difdl-te"
    For i = 1 To Len(avira) 
    PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1)  
    Next 
    set fso = CreateObject("Scripting.FileSystemObject")
    NomFichierLog = "Fichierdecode.txt"
    Set OutPut = fso.OpenTextFile(NomFichierLog,2,True)
    OutPut.Writeline PRGT
    et qu'il va afficher ceci:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    'by : MyLoveFaceBook.LiuYiFei@Hotmail.CoM
    on error resume next
    dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
    Donc ma question est : connaissant la fonction de décodage ou bien de décryptage comment je peux faire l'inverse càd déterminer la fonction de codage ou bien de Cryptage ?

    Remarque: juste à titre d'information on a chpoé ce même type de virus il y a presque un an dans notre établissement et voila il nous rend-viste ces jours-ci
    de votre éventuelle aide

  2. #2
    Rédacteur
    Avatar de omen999
    Profil pro
    Inscrit en
    Février 2006
    Messages
    1 302
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 1 302
    Par défaut
    salut,
    la fonction de décodage est tout simplement un décalage d'un rang en arrière dans le tableau ascii
    donc la fonction de codage est un décalage d'un rang ... en avant comme ceci
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) + 1)
    désactiver l'autorun des clés usb c'est pas une mauvaise idée...
    nomen omen, nemo non omen - Consultez la FAQ VBScript et les cours et tutoriels VBScript
    le plus terrible lorsqu'une voiture renverse un piéton, c'est que ce sont les freins qui hurlent. (ramón)
    pas de questions techniques par mp

  3. #3
    Expert confirmé
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 844
    Par défaut
    omen999 et le problème maintenant est

  4. #4
    Expert confirmé
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 844
    Par défaut Application !
    à vous Tous ! et spécialement un grand à omen999 car tu m'a fais gagner un temps précieux pour comprendre cette fonction
    Donc à titre d'essai et d'application j'ai fait ce vbscript que je voudrais bien que quelqu'un parmi vous me le teste sur son environnement et il me dit s'il y a des bugs ou non sur son système
    Pour moi je l'ai testé sous Windows XP SP 3 et il marche très bien !
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    Title = "EncodeVBSFile © Hackoo © 2011"
    Question = MsgBox ("Did you want to Choose a file to be encoded ? " &vbcr &_
    "CLICK YES TO ENCODE A FILE !"&vbcr &_
    "OR CLICK NO TO QUIT THIS PROGRAM !",VBYesNO+VbQuestion,Title)
     If Question = VbYes then
     GetFile = BrowseForFile
    set fso = CreateObject("Scripting.FileSystemObject")
    File2Crypt = "CryptedFile.vbs"
    Set output = fso.CreateTextFile(File2Crypt, True)
    Set oFich = fso.OpenTextFile(GetFile,1)
    		Tx = oFich.ReadAll
                    crypt(Tx)
    		output.write "avira="""
    		output.write crypt(Tx) & """" & VbNewline 
    		output.writeline "For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 100) : Next : Execute(PRGT)"
    	 else
    Wscript.Quit
    end If
     
    Function crypt(Txt)
    For i = 1 To Len(Txt)
    Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100)
    Next
    end Function
     
    Function BrowseForFile()
     Dim shell : Set shell = CreateObject("WScript.Shell")
     Dim fso : Set fso = CreateObject("Scripting.FileSystemObject")
     Dim tempFolder : Set tempFolder = fso.GetSpecialFolder(2)
     Dim tempName : tempName = fso.GetTempName()
     Dim tempFile : Set tempFile = tempFolder.CreateTextFile(tempName & ".hta")
     tempFile.Write _
     "<html>" & _
     "    <head>" & _
     "        <title>Browse</title>" & _
     "    </head>" & _
     "    <body>" & _
     "        <input type='file' id='f'>" & _
     "        <script type='text/javascript'>" & _
     "            var f = document.getElementById('f');" & _
     "            f.click();" & _
     "            var shell = new ActiveXObject('WScript.Shell');" & _
     "            shell.RegWrite('HKEY_CURRENT_USER\\Volatile Environment\\MsgResp', f.value);" & _
     "            window.close();" & _
     "        </script>" & _
     "    </body>" & _
     "</html>"
     tempFile.Close
    shell.Run tempFolder & "\" & tempName & ".hta", 1, True
    BrowseForFile = shell.RegRead("HKEY_CURRENT_USER\Volatile Environment\MsgResp")
    shell.RegDelete "HKEY_CURRENT_USER\Volatile Environment\MsgResp"
    End Function

  5. #5
    Modérateur
    Avatar de l_autodidacte
    Homme Profil pro
    Retraité : Directeur de lycée/Professeur de sciences physiques
    Inscrit en
    Juillet 2009
    Messages
    2 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 69
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Retraité : Directeur de lycée/Professeur de sciences physiques
    Secteur : Enseignement

    Informations forums :
    Inscription : Juillet 2009
    Messages : 2 420
    Par défaut
    Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne
    Argument ou appel de procédure incorrect 'Chr'
    car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.
    Ne pas oublier le tag si satisfait.
    Voter pour toute réponse satisfaisante avec pour encourager les intervenants.
    Balises CODE indispensables. Regardez ICI
    Toujours utiliser la clause Option Explicit(VBx, VBS ou VBA) et Ne jamais typer variables et/ou fonctions en VBS.
    Vous pouvez consulter mes contributions
    Ne pas oublier de consulter les différentes FAQs et les Cours/Tutoriels VB6/VBScript
    Ne pas oublier L'Aide VBScript et MSDN VB6 Fr

  6. #6
    Expert confirmé
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 844
    Par défaut
    Citation Envoyé par l_autodidacte Voir le message
    Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.
    l_autodidacte
    pour le test et je vais voir ce problème et si je ne trouve pas la solution je vais la poster dans une nouvelle discussion

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 3
    Dernier message: 08/03/2008, 11h01
  2. Réponses: 4
    Dernier message: 14/11/2007, 15h55
  3. Réponses: 8
    Dernier message: 14/02/2007, 10h37
  4. [CF][C#]Comment déterminer si mon PPC est bien connecté?
    Par royrremi dans le forum Windows Mobile
    Réponses: 2
    Dernier message: 07/03/2006, 15h35
  5. Comment chronométrer une fonction
    Par 323 dans le forum Pascal
    Réponses: 3
    Dernier message: 19/03/2003, 20h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo