Tout d'abord,
Qu est ce une signature ???

Une signature est un petit bout de code en Hexadecimal propre a un trojan, qui est détecté par las antivirus.

A koi peut servir de connaitre ces signatures ?

Si vous savez ou se trouve les signatures , vous pouvez les modifier en Héxadécimal afin de rendre votre trojan indetectable par les AV.

---------------
---------------

Vous aurez besoin de :

-AVPOFFSET ( ici : http://sennaspy.trojan.ch/avpoffset.zip )
-Kaspersky ( installer sur votre ordinateur )
-Hexworkshop (www.telecharger.com), ou un autre logiciel du même genre...
-Un server de trojan qui n'a pa été modifié (c'est à dire : non Packer, crypté, bindé, etc...)

---------------
---------------
Pour commencer, désactivez votre A-V. Ensuite allez dans le repertoire ou il y a les fichiers ".AVC" (exemple : " c:/program files/fichiers commums/KAV Shares Files/Bases/ ").
Si c'est différent chez vous faite tout simplement une recherche sur votre dique dur, de fichiers avec une extension : " .AVC " vous aurez ainsi le repertoire .
Dans ce repertoire vous mettez le programme AVPOFFSET.EXE et le SERVER.EXE.
Ensuite ouvrez une fenetre MS DOS (démarrer puis exécuter et command) .Allez dans le repertoire ou vous avez mis AVPOFFSET et tapé ceci :

" AVPOFFSET SERVER.EXE "

Ensuite patientez (cela peut etre assez long, environ 10 minutes)

Puis vous obtiendrez ceci:


SERVER.EXE infected: backdoor xxxxxx

Signature 1 found :
Offset : CF6eh)
Length : 7 ( 7h)
checksum: (2FCC5587h)


Signature 2 found:
Offset : DF3FH)
Length : 255 ( FFH)
Checksum: ( 5574DDD9H)


Ce qui est écrit ci-dessus est fondamental pour la suite.

Ouvrer ensuite "SERVER.EXE" avec HEXWORKSHOP.

Puis faites " EDIT" puis "GOTO..."A coté d'"offset" tapez "511854" et coché la case "DEC" ("511854" est l'offset de la 1 ère signature en Decimal)

Une autre solutions : vous pouviez taper aussi " 7CF6e " et coché la case "hexadécimal" Cela revient au même sauf que cette fois ci l'offset est écrit en Héxadécimal.

Ensuite vous devez obtenir ceci :

756EFFFFFFFF (hexadecimal)
RunServices....... (Ascii)

Cette signature est facile a modifier puisqu'elle détecte seulement par du texte.
Dans cet exemple elle détecte le Texte " RunServices "

Pour vous débarasser de cette signature, il suffit de modifier un peu le texte en ajoutant par exemple des majuscule ou des minuscules ... voila qq exemple :

exemple: RunServices ==> runservices ==> RuNServices

Il y a evidemment plein de possibilités de modifications, mais la chose a ne surtout pa faire c'est d'enlever ou d'ajouter un caractère, ce qui aurait pour conséquense que le server ne fonctionne pas.

Ce genre de signature est utilisé par Norton Antivirus, c'est donc très facile de s'en débarrasser.

---------------
---------------

Etudions maintenant la deuxième signature...
Retourner dans " EDIT" puis " GOTO ",tappez l'offset de la 2 ème signature (515903 en décimal)

Vous obtnenez ensuite ceci :

8D45F8

Ceci n'est plus une signature aussi simple que la précédente :

Ecrite en hexadécimal,ele est en fait un " LEA EAX,Dword ptr [ebp-08] en assembleur.
Cela signifie que c'est une inscription dans le registre.
Il faut alors trouver une instruction équivalente à celle ci.(avec le même alogorythme)

Bon la y a pa 36 solutions fo avoir qq bases en assembleur , j vous donner l ékivalent :

exemple: LEA EAX,Dword ptr [ebp-08] ==> Mov EaX,Dword Ptd ds:[Ebp-08] (un ékivalent de cette signature)


Normallement, votre server est ensuite plus détecté, ce qui est bien util , si vous êtes un adepte des trojans célèbres comme subseven, optix pro, etc...;)

++@++

Ecrit par CrazyMan8 -:- www.tenka.fr.st
Transmis par Silver -:- Team SH member

<< Note de Shad0w : Vous pourrez expérimenter ça sur le server.exe de JackTrojan qui est maintenant détecté par les AV ;) >>