Frederic R., le 11/24/2005 02:33 PM, écrivait :
je ne sais pas te dire, ce sont des worm pour windaube que je me choppe
mais bon j'aurais bien voulu savoir si il est difficile de voir le
fonctionnement du virus?
La mode actuel que je recois assez souvent est: worm.mytob.jv
Bonne journee
Frederic
La première chose à faire est d'ouvrir le virus avec un éditeur texte
(ou hexadécimal) pour savoir si c'est du binaire ou un script...
(évidemment, si le fichier à une extension .exe, on peut quasiment être
sur que c'est du binaire, mais c'est toujours intéressant de voir les
éventuelles chaines de texte)
Si c'est un script, pas de problèmes pour comprendre (a condition de
connaitre un minimum le langage)
Si c'est du binaire, un logiciel de "débugage" et une très bonne
connaissance de l'assembleur est nécessaire.
Sous Windows, W89Dasm est pas mal du tout...
Sous GNU/Linux, tu as très probablement "ndisasm" d'installé.
Un petit "ndisasm virus.exe > sourceassembler.txt"
ou pour du code 32 bits "ndisasm -u virus.exe > sourceassembler.txt"
Mais bon, je ne trouve pas cela très lisible avec les exe windows. C'est
du désassemblage brut. Ndisasm ne tient pas compte des entêtes,
relocations etc...
Je tente :
Electron aka Déc0mp1l4t0r ;-)
--
- Bien à vous,
- Electron.
--
--
New CyberCafe address: http://cybercafe.exmachina.tv
Cette liste vous est offerte par Emakina <http://www.emakina.com/>
Emakina: technologie et creativite au service de vos projets Web.
Desabonnement par email : <mailto:[EMAIL PROTECTED]>
