jeudi 9 août 2007

Malware ou pas ?

Et vla un bel outil pour aider à déterminer si un binaire donné (enfin binaire .exe, ou dll, et tous les trucs dans ce style là hein) est un malware ou non. Je ne l'ai pas encore testé, je viens tout juste de rentrer chez moi, mais je compte bien le faire dans la soirée: j'ai quelques fichiers à tester, surtout un dont le reverse m'a donné pas mal de fil à retordre en mars dernier, voir ce que pense red-curtains de cet individu (oui, red curtains est le nom de cet outil qui a l'air pas trop mal, fabriqué par Lucifer en personne (ceux qui regardent les simpsons à cette heure-ci comprendront)
Sans transition, je viens également de découvrir (à l'issue de mon tour de feed rss du soir) un site avec des podcasts "for hackers, geeks, and the security paranoid". Là aussi je vais probablement en découvrir la teneur dans la soirée. Il y a quelque temps j'aurais pensé que l'équivalent en français aurait pu être intéressant, mais vu que le (petit) monde de l'IT security parle anglais (enfin, serait suicidaire celui qui ne comprend pas l'anglais dans ce domaine), je me dis que finalement ça serait un peu useless.

2 commentaires:

fropert a dit…

Je serais bien curieux de savoir ce que je dis red curtains pour un binaire VMProtectifié (http://www.rezalfr.org/francois.ropert/index.php/2007/08/09/22-vmprotect-un-peu-plus-qu-un-packer).

Un binaire obfuscé sous quelques formes que ce soit ne veut pas forcément dire que c'est un malware (cf: la cause de la création des packers à l'origine).

Merci!

MeiK a dit…

Ouais, en fait c'est plutôt un outil fait pouur les premières étapes de la "recherche de malwares", mais comme j'ai lu quelque part, il n'est pas "foolproof". Ca peut juste permettre, quand t'as un pool de binaires, de t'orienter vers certains en particuliers, plus suspects que d'autres :)