[AntiVirus] Pourquoi certaines méthodes de détection devraient disparaître …

Capture

 

Vendredi tout est ... permis !!!!!

 

De nombreux Antivirus, ayant une belle renommée dans le monde continu à utiliser des méthodes archaïques ...

 

Pour n'en citer qu'une, qui sera  illustrée par cet article, afin de démontrer son inefficacité, j'ai envie de parler des fameuses signatures MD5 ...

 

La signature MD5

 

 

[EFFICACE]

Pour les personnes qui téléchargent sur internet des fichiers où sont précisés leurs  signatures MD5  ...
C'est très bien !
Ça vous permet de vous assurer que vous téléchargez le BON fichier ...

 

 

[PAS EFFICACE]

Pour les antivirus qui essaient de détecter des virus par leurs signatures MD5 ...
Sachez que pour un même virus, il est très facile de la modifier à la volée, donc par exemple de générer une nouvelle  signature lorsqu'un internaute télécharge un virus sur un site ...

 

 

Je vais par exemple prendre un binaire :

 

1

 

 

Dans cet exemple, je vais utiliser le binaire "ls" (qui permet sous linux de lister le contenu d'un dossier, les propriétés d'un fichiers, ...)

 

Pour éviter toute confusion, et nous mettre dans le contexte, j'ai pris la liberté de le renommer en "Malware"

 

Nous constatons que la signature actuelle est :

3f5ccf49ef81ad93d561656d486ab872

 

Aussi, je vais maintenant chercher une information contenue dans ce binaire ...
Une information qui est absolument inutile (pas utilisé au niveau fonctionnel) ...
Mais surtout une information, que je vais pouvoir changer ^^

 

2

 

Bon alors, je sais que mon binaire contient des liens vers des pages WEB
Je vais donc modifier juste 1 lettre dans le mot http

 

http => htpp

 

Au niveau fonctionnel, rien ne va changer, car ce changement ne va pas impacter le fonctionnement du binaire !

 

 

3

 

 

Après avoir fait le remplacement ...
On constate que le "ls" renommé en "Malware" fonctionne ...
Mais on remarque surtout que  sa signature md5 a changé !

 

Avant : 

3f5ccf49ef81ad93d561656d486ab872

 

Après :

ead204fdfd95c683a6dc6ff22b4bd89b

 

Résultat, un antivirus qui se base sur la signature des binaires, se fera biaiser très facilement ... tout ça juste à cause d'une lettre ;)

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *