Auteur Sujet: Virus total  (Lu 6709 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne pierro

  • Membre Junior
  • *
  • Messages: 22
  • +0/-0
Virus total
« le: 05 septembre 2015 à 00:16:25 »
Bonjour,

J'ai ouïe dire que le site "virustotal" était un sale petit cafteur.

Existe-t-il un site qui propose le même service mais qui ne soit pas "collaborationniste" ?

D'avance merci.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Virus total
« Réponse #1 le: 05 septembre 2015 à 10:45:09 »
Que virus total soit un cafteur est une bonne chose, cela évite au kikoolol de pouvoir tester si leurs RAT's sont FUD et d'infecter leurs famille/amis/copines :D

Hors ligne pierro

  • Membre Junior
  • *
  • Messages: 22
  • +0/-0
Re : Virus total
« Réponse #2 le: 05 septembre 2015 à 16:26:00 »
C'est pas beau de cafter !  >:(

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Re : Virus total
« Réponse #3 le: 05 septembre 2015 à 18:12:41 »
C'est pas beau de cafter !  >:(
C'est pas beau de créer des RAT Troyens virus, mais ça se fait quand même.
Maintenant si on réfléchi un peu nul besoin d'utiliser un service en ligne... crée ton propre service de détection.

Hors ligne Teeknofil

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 368
  • +28/-6
    • https://www.youtube.com/watch?v=R-zrnglcNuA&list=PLeu60bO1b61HE25L8Sz-cC7xjFupaSuWc
Re : Virus total
« Réponse #4 le: 05 septembre 2015 à 23:31:40 »
Je vais être sympa et te donner une astuce:
La premier étapes est simple, il suffit de trouver le SHA256 de ton fichier:
Après tu va vérifier grâce à google si un test à déjà était fait sur ton fichier et si il est positif on négatif (ne pas oublier les double cote", exemple :

site:https://www.virustotal.com "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"

Ouvre les page "Antivirus scan for"  pour voir si le résultat du scan correspond  au SHA256 de ton fichier, utilise CTRL + F et colle le SHA256 de ton fichier pour être sur que c'est la même empreinte. Si le SHA256 de ton fichier correspond au SHA256 de la page web de virus total tu pourra voir le résultat du scan fait par une autre personne.

Ce test n'est pas garantie  à 100% car tu aura seulement le résultat du scan d'une autre personne fait avec une copie de ton fichier. Cette techique est la même que le tool de métasploit ou veil-evation a la différence que tu le fait à la main sans logiciel.
bye, +1
Hacking Debutant - Black Hat Ackademy : https://www.udemy.com/draft/2365526/?couponCode=PROMOTION

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Virus total
« Réponse #5 le: 06 septembre 2015 à 07:23:09 »
Ça par contre, ça ne fonctionnera pas, ça indiquera seulement que cette variante du fichier n'existe pas sur virus total, pas qu'elle ne sera pas détectée par les antiviraux.

Hors ligne Teeknofil

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 368
  • +28/-6
    • https://www.youtube.com/watch?v=R-zrnglcNuA&list=PLeu60bO1b61HE25L8Sz-cC7xjFupaSuWc
Re : Virus total
« Réponse #6 le: 06 septembre 2015 à 17:51:21 »
Oui c'est tout à fait ça, comme je l'ai dit ce test n'est pas garantie  à 100%, si le fichier n'est pas dans leur base de donnée impossible de savoir sans faire un scan de son fichier.

Mais si tu prend un troyen meterpreter de base ou un RAT la con comme darkcomet tu peux savoir si ton fichier est déjà  connu et détecté.

C'est juste ça l’intérêt de cette technique, savoir si ton exécutable est déjà ficher et détectable, après cela s’arrête là.
Si tu trouve un rapport qui correspond à ton fichier et que tu voie qu'il est détecté, tu sais déjà que ta backdoor est pas fud et que tu peux la mettre à la corbeille, par contre si il n'a pas de rapport faut passer à un plan B pour savoir si ton fichier est fud.


En plus c'est pas la technique du siècle car il est impossible d'être sur que c'est pas un faux positifs, mais c'est déjà mieux faire un scan de ton fihcier à la bistoufile et donner la signature de ton payload.

Par contre t'a réveiller ma curiosité :

Citer
Maintenant si on réfléchi un peu nul besoin d'utiliser un service en ligne... crée ton propre service de détection.

Ce types de projet de développement m’intéresserai, mais j'espère que tu sous entends pas faire son propre antivirus ? Comment faire son propre service de détection ? Et puis comment savoir si ton fichier est pas détectable par les autre antivirus et pas que sur ton service de détection ?
Hacking Debutant - Black Hat Ackademy : https://www.udemy.com/draft/2365526/?couponCode=PROMOTION

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Virus total
« Réponse #7 le: 06 septembre 2015 à 18:44:55 »
tu crée un dossier partagé avec plusieurs vm qui ont chacune un anti-virus différent avec le scan en temp réel actif

La première VM qui couine = positif

Il suffit de déposer le fichier dans le dossier partager, par contre ça demande un serveur de VM avec énormément de RAM.

Hors ligne Teeknofil

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 368
  • +28/-6
    • https://www.youtube.com/watch?v=R-zrnglcNuA&list=PLeu60bO1b61HE25L8Sz-cC7xjFupaSuWc
Re : Virus total
« Réponse #8 le: 06 septembre 2015 à 22:51:33 »
Ouais je vois, c'est tellement évident que j'aurais du y pensais penser. Je suppose qu'il faut couper l'accès au réseaux des vm.
Hacking Debutant - Black Hat Ackademy : https://www.udemy.com/draft/2365526/?couponCode=PROMOTION

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Re : Virus total
« Réponse #9 le: 07 septembre 2015 à 07:07:10 »
Ouais je vois, c'est tellement évident que j'aurais du y pensais penser. Je suppose qu'il faut couper l'accès au réseaux des vm.
Si tu ne veux pas que la VM envois des échantillon derrière ton dos oui.

Hors ligne pierro

  • Membre Junior
  • *
  • Messages: 22
  • +0/-0
Re : Virus total
« Réponse #10 le: 07 septembre 2015 à 11:00:46 »
Pour détecter un RAT fud sur mon pc, la commande dos "netstat -ano" est-elle suffisante ?

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3794
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Virus total
« Réponse #11 le: 07 septembre 2015 à 18:35:21 »
Non, perso je surveillerai avec Wireshark pour commencer et en lançant les application en sandbox.

Hors ligne admin

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 1711
  • +74/-3
    • Communauté FR de Kali-linux
Re : Re : Virus total
« Réponse #12 le: 07 septembre 2015 à 22:00:58 »
Pour détecter un RAT fud sur mon pc, la commande dos "netstat -ano" est-elle suffisante ?

Un "Remote Admin Tool" en "Full UnDetected" signifie simplement que ça signature est inconnue de l'ensemble des éditeurs anti-viraux du marché. Pour qu'il soit invisible des commandes permettant d'auditer la configuration d'une machine, il faut que ce soit un rootkit. Un rootkit va modifier le système infecté afin que l'on ne puisse pas le détecter. Un exemple d'application de rootkit est de modifier la commande netstat afin qu'elle n'affiche plus par exemple le port en écoute par le virus.

A noter que la plupart des virus/rootkit récent (moins de 7 ans...) ne se mettent plus en écoute sur un port réseau (cela est inefficace car inaccessible derrière un routeur en mode NAT ( toutes les BOX FR le sont par défaut)), il privilégie une remote bind (reverse shell) et initie une connexion vers un serveur de contrôle (appelé C&C (Command And Control)).

Les adresses des C&C peuvent être cachées par l'utilisation de DGA, voire encore plus compliqué à remonter/contrer en s'appuyant sur le réseau TOR (ou autres réseaux anonymisant équivalents).

Hors ligne pierro

  • Membre Junior
  • *
  • Messages: 22
  • +0/-0
Re : Virus total
« Réponse #13 le: 09 septembre 2015 à 09:29:36 »
Les "fichiers" générés avec darkcomet, ce sont des rootkits ou des rats ? (Ou les deux...?)