IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Question implémentation de malware


Sujet :

Sécurité

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2016
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Question implémentation de malware
    Bonjour,

    Je suis en université d'informatique et je travaille actuellement sur un document exposant l'intérêt des outils Sysinternals dans la détection de malwares.
    Mon prof m'avait parlé d'un mécanisme utilisé dans un certain nombre de malwares consistant à avoir des processus concurrents qui surveillent l'activité du programme principal afin que si celui-ci est arrêté, les processus observateurs le relance, ainsi il est nécessaire de trouver tous les processus liés au malware, les suspendre puis les arrêter pour stopper le malware.
    Je ne retrouve plus le nom de ce mécanisme et j'aimerais en parler dans mon exposé.

    Merci d'avance pour vos réponses.

  2. #2
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    Octobre 2011
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : Octobre 2011
    Messages : 144
    Points : 228
    Points
    228
    Par défaut
    Bonjour, un peu tard et je ne suis pas certain, mais je dirais que c'est le polymorphisme.
    Une boucle (ou plusieurs) infinie qui s'assure de la présence du fichiers principal si il est "arrêter" une variante recompiler et "fud" est automatiquement réinstaller via un téléchargement dérobé.

    Cela peut être fait en injectant le processus dans un autre légitime.

    Voici un lien qui est bien fait pour se documenter Zenk_pdf

  3. #3
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    Février 2013
    Messages
    50
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2013
    Messages : 50
    Points : 231
    Points
    231
    Par défaut Il s'agit d'un Watchdog
    Le mécanisme de chien de garde ou watchdog logiciel consiste à surveiller un processus critique pour le relancer s'il est arrêté. De tels mécanismes sont également utilisés par certains malwares pour garantir une exécution persistante sans nécessiter de redémarrage du système hôte. En effet, les techniques de persistance habituelles ne s'occupent que du chargement au démarrage du système (ou d'un exécutable infecté). En comparaison, le watchdog garantit une persistance plus robuste au runtime.

    Cependant, j'ai également rencontré une APT faisant exactement le contraire. Il s'agissait de supprimer l'instance en cours d'exécution lorsqu'une menace de découverte survenait afin de fournir une grande furtivité. Les compagnons du malware Regin (développé par le GCHQ ?) s'exécutant sur des systèmes Unix telecom effectuaient une surveillance pour supprimer le malware en mémoire mais aussi le binaire pour empêcher sa découverte... Seuls les IOC permettaient d'identifier la compromission d'un système.

Discussions similaires

  1. Design Pattern : question implémentation DAO
    Par kuckinsin dans le forum Langage
    Réponses: 2
    Dernier message: 15/01/2010, 15h18
  2. Réponses: 14
    Dernier message: 21/11/2008, 17h29
  3. Réponses: 9
    Dernier message: 16/10/2008, 03h54
  4. [N-Tier] [3-tier] Question sur l'implémentation
    Par Y.Guillermin dans le forum Autres
    Réponses: 1
    Dernier message: 19/05/2008, 15h39
  5. Question d'implémentation: boucle active
    Par addack dans le forum Langage
    Réponses: 25
    Dernier message: 22/11/2005, 15h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo