Le Hacking
Définition
Pour nos amis les newbies, une petite définition s'impose . Un hacker est un
pirate informatique qui Hacke par défit ou par passion et dans un but
non lucratif. Un hacker ne détériore jamais les informations
auxquelles il a accédé. Le hacking lui même à pour but de pirater un système et
d'accéder aux informations contenues sur celui-ci. On appelle aussi hacking un
regroupement de plusieurs "techniques" + ou - illégales. Vous pourrez les
trouver dans la suite de ce site. Merci de votre visite, bonne navigation et à
bientôt !
MoLo_ToF
ä
Pratique
1. Le Hack par ftp
2.
L'adresse IP
3. Le
nuke
4.
Les trojans
Le Hack par ftp
Le Hack par ftp (File Transfert Protocole) est un moyen de "pirater" un
site assez simplement si celui-ci n'est pas protéger.
1.
Démarrer/Exécuter et tapez : ftp -n (oubliez pas l'espace entre p et -n)
2.
Vous allez avoir un truc de ce style
( sous Dos évidemment ) :
ftp>_
3. Tapez maintenant, open url_du_site
Par exemple : open www.micro$oft.com
(C'est même pas la peine
d'essayer avec ce site... j'y reviendrais plus tard ;-)
4. Après, le Dos vous dit que vous êtes connecté
avec le site.
Tapez alors : quote user ftp
5.
Maintenant, il vous demande d'envoyer le password.
Tapez alors : cwd~root
6. Il vous demande le login et la Pass:
Tapez
alors : pass
ftp
7. Si il vous répond
230 Anonymous user logged
in. Vous êtes connecté au serveur
:-)
8. Si il y a marqué 530 User ftp cannot log in. Vous
pouvez retournez sous windobe car vous ne pourrez pas avoir le site de cette
manière. Vous pouvez avec cette méthode accéder à des sites non sécurisé.
Récapitulons:
ftp>
open
www.micro$oft.com
Connected to www.micro$oft.com
220 websrv 1 Microsoft FTP Service
(version 4.0) <- cette phrase peux
varier selon les version ; aune importance de toute façons.
ftp>quote user ftp
331 Anonymous acced allowed, send indentify as
password.
ftp>quote
cwd~root
530 Please
login with USER and PASS.
ftp>quote pass ftp
230 Anonymous user logged in. ou 530 user ftp cannot log in.
Après, faite ce que vous voulez avec les commandes qui suivent .....
:-)
open
....................................... .Ouvre une session sur l'ordinateur distant.
mput
....................................... Envoyer une liste de fichiers.
mget....................................... Prendre une liste de fichiers chez la
victime.
put ....................................... .......En voyer un fichier.
get ....................................... .......prendre un fichier chez
la victime.
delete ....................................supprimer un fichier.
rmdir ....................................... supprimer un répertoire.
mkdir .......................................crée un répertoire.
cd .. ....................................... ..répertoire précédant.
cd /
....................................... ..Revenir a la racine.
L'adresse IP
Chaque ordinateur connecté a Internet à une adresse IP. Elle sert à
recevoir des informations, des mails... Elle se présente sous forme de 4 groupes
de nombre(s) allant de 0 à 250 (c'est du 32 bits !) Ex: 123.25.198.7
Pour avoir son adresse IP, il suffit de taper dans le progz exécuter
(Démarrez/exécuter) :
winipcfg ( windobe IP configurator)
Pour avoir
celle d'un autre, c'est un tout petit peu + compliqué.
- Sous IRC, tapez /dns
alias_du_mec
- sous ICQ, allez dans ses infos.
- Si il n'est ni
sous IRC ni sous ICQ, il faut se débrouiller avec le mail.
On peut aussi avoir besoin d'une adresse IP pour
déconnecter un mec ou lui envoyer des mails anonymes et plein d'autres
techniques de lamer.
Le nuke
C'est la technique la plus utilisé par les lamers. Elle permet de déconnecter
qqn en ayant juste son adresse IP. C'est pas compliqué, il suffit juste d'avoir
le progz qu'il faut. Ex:
winnuke,
divint...
Divint et aussi un mail bomber et un envoyer d'anony mail
Les Trojans
Un Trojan, c'est un programme qui permet de se connecter à un serveur que
l'on a envoyer avant à la victime. En gros, c'est prendre la "possession " d'un
ordi à distance. Ne pas confondre avec un virus ! Un trojan seul ne fait rien a
l'ordi, c'est plutôt l'expéditeur du trojan qui fait des ravages. Le plus connu
: NETBUS
Que faire quant on à un trojan ?
Tapez sous Dos : netstat -a -n
Il y a un
message comme ca :
connections
actives
Proto...........................................Adresse
Locale.................................Adresse
Distante................................Etat
IP..................................................123.169.45.38:10...............................0.0.0.0.............................
.....................Listening
IP...................................................123.169.45.38.:21.............................35.12.124.36:21....................................Etablished
Si
il y a écrit etablished, vous y êtes profondément ! IL Y QQUN QUI JOUE AVEC
VOTRE DISQUE !
Le + simple, c'est de ce déconnecté ! si il est pas trop
tard L et puis, vous avez son
IP...
Le Phreaking En construction !
Le phreaking n'est pas encore très courant en
France. C'est une technique qui permet de pirater un système informatique mais
de contourner le réseau téléphonique pour ne pas payer les communications. En
gros, c'est téléphoner gratos. Pour l'utilisation de cette technique, les
principaux outils sont les BOXES. Ce sont des boites composées de multiples
composants électroniques. Voici quelque noms de boxes :
Blue-box
Aero-box
Beige-box
Black-box
Crop-box
Purple-box
Vous trouverez les schémas de montages sur le site mentionné dans Liens.
Le Carding
souriez ! Vous êtes filmé !
Le carding est la technique la plus simple à réaliser.
C'est aussi celle qui peut vous rapporter le plus d'argent et donc le plus
d'ennuis. Mais bon, pour le moment oublions les ennuis. Cela permet de s'acheter
tous ce que l'on veut via Internet avec l'argent d'un mec que l'on ne connaît
même pas, on sait juste dans quel pays il vit et à quelle banque il a un compte.
(vous voyez où sont les risques ? )
Quelques explications s'imposent. Par exemple, vous êtes
sur le site de Décachlon, vous voulez commander un super short vert (chacun ses
goûts mon gars). Après sélection de l'article, on vous demande les 16 chiffres
de votre carte de crédit et votre adresse (jusque là, ca me parait logique). La
technique est de mettre un faux n° de carte. Difficile non? A la limite, ca
pourrait mais il y a des progz qui génèrent des centaines de n° de carte
existant ou pas. Soit c'est un mec, soit c'est une banque. Ca on le sait pas
mais de toute façon, on s'en fout. Pour les logiciels, vous pourrez les trouver
dans la rubrique
Download . Pour l'adresse, il faut qu'elle soit assez éloignée de toute vie, qu'elle
est une grosse boite aux lettres (ca peux servir) et qu'il n'y ait aucun
habitant à celle-ci.
Un conseil : Achetez, barrez vous en courant (virtuellement bien sur) et n'y
revenez pas.
Maintenant, bonne chance et bon shopping !!!
Souvenez-vous,
cette technique n'est pas risqué si on ne donne aucuns de ses cordonnées !
Le Cracking
Le cracking est une technique qui permet de faire sauter
la protection d'un C.D. "Pour cela mettons nous en situation" Norbert va chez le
marchand de journaux et achète le dernier PC teamz avec son CD qui contient des
logiciels complets mais limités à 30 jours d'utilisation. Après les 2 mois
d'essai, Norbert a encore besoin du logiciel mais malheureusement c'est fini.
Comme ce mois-ci, Norbert n'a plus un rond pour acheter le logiciel à 350 balles
(soit 53,35 euros), il va donc à contre cœur, évidemment, cracker ce logiciel.
C'est à dire, faire en sorte qu'il n'y est plus de limite de temps. Pour cela,
il ira chercher sur le site de MoLo_ToF
ä les logiciels dont il
aura besoin. Par la même occasion, il découvrira qu'il y a 2 méthodes pour
cracker un CD.
1. Dead Listing
: Cette technique
consiste à désassembler un programme, ce qui traduit son programme qui est du
binaire (00111010100011010101010) en un langage plus accessible qui s'appelle
l'assembleur. Après c'est à toi de jouer avec l'éditeur .
2. Live Approch
: Cette technique
consiste à debuger un programme et à le suivre pas à pas. Après avoir vu où se
trouvait la sécurité, passe le programme dans un éditeur hexadécimal et modifie
les lignes.
Matos
: Pour Dead Listing, Norbert
aura besoin d'un désassembleur et d'un
un éditeur hexadécimal
Pour Live Approch, il auras besoin d'
un débugger et d'un éditeur hexadécimal .
On ne peux pas expliqué comme ca les 2 techniques, il n'y a qu'un seul moyen,
c'est de télecharger les progz et d'essayer. compter quand même plusieurs jours
avant d'y arriver. IL N'Y A Q'AVEC LA PRATIQUE QUE L'ON APPREND !
Les Virus
VIRUS INFORMATIONS - ANTIVIRUS
TABLE DES MATIERES
Introduction
Partie 1 : Les Virus Informatiques
Section 1 : Présentation et historique des virus
§1 : Historique des Virus
A.) Premières expériences
B.) Premiers Virus
C.) Récence du phénomène
§2 : Définition d'un Virus
§3 : L'objet des virus
Section 2 : Etude approfondie des virus (nature, types)
§1: Les différentes catégories de Virus
A.) Les Virus de Fichiers
B.) Les Virus Système
C.) Les Virus de Macro
§2 : La structure d'un Virus
A.) Fonction de recherche
B.) Fonction de reproduction
C.) Fonction de destruction
D.) Fonction de cryptage
Section 3 : Cycle de vie d’un virus
Partie 2 : Les Antivirus
Section 1 : Présentation des antivirus
§1 : Définition générale
§2 : Raison d'être des antivirus
Section 2 : Examination du fonctionnement des antivirus
§1: Principales techniques de découverte de virus
A.) Le scanning
B.) Utilisation d'un controlleur d'intégrité
C.) "Moniteur de comportement"
D.) "Démarche heuristique"
E.)Analyse du spectre
§2 : Principales méthodes d'élimination des virus
§3 : Performance des antivirus
Introduction
Chaque personne peut de part son expérience imaginer ce
qu'est un Virus. En effet, cette pathologie informatique a sur la machine des
conséquences semblables à celles que produit un Virus sur l'homme.
Notre étude dispensée dans le cadre des cours Informatiques
en MDA de Lille 2 par M. Hoang se veut informative, concise, et actuelle.
Afin de satisfaire notre soif de connaissance, nous vous
proposons d'étudier la question des Virus (Définition, Historique, Le Pourquoi
?) ; les types de Virus, pour enfin s'attacher au cycle de vie du Virus.
Par ailleurs, il ne sera pas judicieux de parler de Virus sans
aborder la question de leur éradication (Anti-Virus) ; c'est précisément ce
que nous étudierons dans une seconde partie.
Partie 1 : Les Virus Informatiques
Section 1 : Présentation et historique des virus
§1 : Historique des Virus
Le concept de virus est apparu avec les premiers calculateurs
électroniques. Dès 1949, John Von NEUMANN, pionnier de l'informatique à qui
l'on attribue la conception du programme mémorisé, présente les fondements
théoriques de l'auto-copie de logiciels dans un article intitulé Theory and
Organisation of Complicated Automata.
A.) Premières expériences
Core War
La première expérience d'infection informatique remonte aux
années 60 lorsque 3 jeunes programmeurs des laboratoires Bell de la compagnie
AT and T conçoivent un jeu baptisé Core War.
Deux programmes chargés dans la mémoire vive d'un ordinateur
vont s'opposer. Chaque programme qui ignore la localisation de l'autre doit
repérer son adversaire et le détruire. Un programme est détruit si dans ses
emplacements son adversaire s'auto-copie.Pour se défendre chaque programme a à
sa disposition des armes telles que la duplication et l'auto-réparation. Ce jeu
met donc en œuvre les fonctions fondamentales des programmes auto-reproducteurs
(vers et virus): déplacement au sein de la mémoire, analyse de l'environnement
et destruction du programme adverse.
Darwin, Worm,etc .
Le jeu se développe rapidement dans différents laboratoires
sous les noms de DARWIN et WORM.
En 1984, la revue Scientific American publie un guide
permettant de créer ce type de programme. Les premiers virus restent confinés
dans la mémoire vive et peu à peu les programmes se développent et sont
capables de se reproduire dans la mémoire de masse pour ensuite se propager
d'une machine à une autre :ainsi est né le vers.
Docteur F.COHEN
Fin 1983, le docteur Frédérik COHEN publie un document
intitulé Computer Viruses: Theory and Experiments qui résume les différentes
expériences pratiquées sous systèmes d'exploitation UNIX et qui décrit les
prototypes de virus destinés à différents systèmes d'exploitation. Pour des
questions de sécurité ces prototypes ne seront pas testés. Par le biais de
ses expériences décritent dans son rapport, le docteur F.COHEN a montré que
le temps de conception d'un virus est très court (8 heures) et que l a
contamination est extrêmement rapide.
<Picture>
B.) Premiers Virus
Virus Brain
Jusqu'en 1988, le phénomène des virus ne concerne que les
grands réseaux. Pourtant dès 1986 deux pakistanais , les frères ALVI
fournissent à des touristes des copies de logiciels pirates porteuses du virus
BRAIN. A l'origine, il ne contamine que les disquettes copiées dont les
possesseurs sont invités par un message d'alerte dans les disquettes à prendre
contact avec les frères ALVI pour obtenir l'antivirus. Il a été conçu afin
de protéger les droits d'auteurs. Chronologiquement, c'est le premier virus
connu.
En 1987, l'épidémie du virus BRAIN a fait de nombreux
ravages dans des universités Américaines et Israéliennes.
Virus Mac Mag
Début 1988, un virus est introduit par erreur dans un
logiciel commercial destiné aux utilisateurs de Macintosh. Le virus, réalisé
pour cette expérience par Drew DAVIDSON, doit se déclencher le 2 mars 1988,
date anniversaire de la commercialisation du Mac II, et afficher un message de
paix universelle. Ce virus PEACE/MAC MAG s'étend rapidement au Canada, aux
Etats-Unis, puis en Europe.
Ver Internet
Le 2 novembre 1988 c'est autour du réseau Internet d'être
touché par un ver qui paralyse complètement le réseau. L'auteur de cette
contamination qui a duré plusieurs semaines et coûté environ 15 millions de
dollars est un étudiant en informatique Robert T. Morris qui a été arrêté
pour fraude informatique.
<Picture>
C.) Récence du phénomène
La France ne prend véritablement connaissance de l'existence
du phénomène des virus informatiques lors de l'alerte DATACRIME du Vendredi 13
octobre 1989 .
Les Pays-Bas qui sont à l'origine de cette alerte, créent
dès le début du mois d'octobre 1989 une plate-forme " anti-computer crime
" à l'initiative de la police. Cette plate-forme met en vente au prix
dérisoire de 5 florins (à peu près 15 francs ) un ensemble de programmes
capables de diagnostiquer la présence des trois virus qui composent l'alerte
DATACRIME et de les éliminer.
En France, on assiste à une sur-médiatisation de cette
alerte (presse générale et spécialisée, radio, télévision) qui frôle
parfois l'hystérie collective.
Disquette AIDS
Début 1990, la disquette sur le SIDA de PC CYBORG adressé en
très grande quantité en France et dans quelques pays européens provoque des
dégâts considérables car le disque dur des micros est rendu inutilisable.
Virus Frodo
En mai 1991 est diffusé le virus Frodo/4096 à partir d'une
disquette contaminée diffusée par la revue Soft and Micro. Ce virus est un
virus furtif difficile à déceler.Son mode de propagation se fait au moyen
d'une disquette qui contient 2 fichiers de procédures de type Bat et un fichier
COURS.ALO.Ce dernier, malgré une extension ALO qui semble le désigner comme un
fichier de données, est un programme de type EXE.
Le CLUSIF diffuse rapidement une procédure de détection et
de décontamination de ce virus sur un serveur qui enregistre au cours du même
mois plus de 8000 connexions.
Fin 1991, le virus FRODO/4096 est au premier rang de la
contamination virale en France.
En 1990, deux clubs informatiques le CLUSIF(Club de la
Sécurité Informatique Français) et le CIGREF(Club Informatique des Grandes
Entreprises Françaises) publient chacun un document qui résume les problèmes
posés par les virus et les moyens de sécurité à utiliser.
<Picture>
§2 : Définition d'un Virus
Le virus est un programme autoreproductible et destructeur qui
contamine le disque dur ainsi que toute autre disquette utilisée. Il existe
plusieurs types de virus dont les effets sont variés : destruction de la FAT,
destruction progressive des fichiers de données, destruction des fichiers du
système d'exploitation.
Il se transmet généralement par l'intermédiaire de
disquettes ou encore par téléchargement. La plupart des virus informatiques
ajoutent quelques lignes de commandes dans le fichier cible lorsqu'ils sont
chargés en mémoire. Ces commandes ont généralement pour conséquence de
ralentir ou d'empêcher l'exécution, voire de détruire certains fichiers. La
seule manière de s'en prémunir efficacement consiste à tester toute nouvelle
information insérée dans la machine au moyen d'un logiciel antivirus.
Néanmoins, de nouveaux virus apparaissant chaque jour, ce logiciel se doit
d'être le plus récent et le plus actualisé possible, sachant qu'il existe
toujours un délai entre l'apparition d'un nouveau virus et l'élaboration de la
parade. Actuellement, il existe de nombreux types de virus informatiques,
toujours plus sournois et moins visibles.
Le Virus a un cycle de vie divisé en trois étapes:
- L'éxécution:phase d'introduction du virus dans le système.
- La propagation:pendant laquelle le virus cherche à se
multiplier le plus possible.
- L'action: étape finale durant laquelle le virus met en
oeuvre des fonctions de dommages perturbantes et/ou destructices.
Durant les phases d'éxécution et de propagation,le virus
cherchera à se faire le plus discret possible. La surprise n'en sera que plus
grande lors de l'action destructrice finale.
A titre d'exemple, nous pouvons révéler qu' :
Un virus capable de se propager à travers des réseaux
informatiques est parfois appelé ver, en particulier lorsqu'il se compose de
plusieurs segments dispersés à travers le réseau. Un "cheval de Troie"
est un dangereux virus se présentant sous la forme d'un programme utile, par
référence au célèbre cheval de Troie de la mythologie grecque. En cours
d'exécution, ce type de virus met en œuvre des actions destructrices à
l'encontre du système, alors qu'il paraît accomplir une tâche totalement
anodine.
Un virus peut rester dans la mémoire de l'ordinateur,
constituant dans ce cas un programme terminate-and-stay-resident (TSR), on dit
alors qu'il s'agit d'un virus résident mémoire. Il peut en outre être
encrypté, rendant ainsi sa détection et sa résorption plus délicates. Enfin,
il peut être polymorphe, évitant d'être décelé grâce à un changement
interne de sa structure.
§3 : L'objet des virus
Avec l'apparition des premiers micro-ordinateurs,sont apparus
les premiers virus,et ce pour plusieurs raisons:
La création de virus peut avoir plusieurs buts :tout d'abord
la vengence.En effet,un employé ayant été licencié par son entreprise peut
vouloir se venger: il écrira pour cela un virus pour effacer toute les bases de
données de l'entreprise ou juste la modifier de façons à lui faire perdre de
l'argent. Il peut aussi ralentir le réseau de l'entreprise et bien d'autres
choses encore.
L'écriture d'un virus peut aussi avoir comme but la pure
malveillance d'un utilisateur ou son amusement. En effet, pour certaines
personnes, créer des virus est comme un jeu où il faut faire toujours mieux
que le voisin, et rivaliser d'ingéniosité pour créer "LE" Virus
complètement invisible aux antivirus.
La création de virus peut aussi avoir pour but la
pénétration de systèmes informatiques sécurisés, et ce pour avoir accès
aux informations secrètes contenues dans ces systèmes.Par exemple, un
utilisateur voulant avoir le mot de passe du compte UNIX d'un autre utilisateur
pour avoir accès à ses données et pouvoir les modifier par la suite, pourra
créer un virus qui mettra tout les mots tapés au clavier dans un fichier, y
compris les mots de passe. Il n'aura ensuite plus qu'à piocher dans ce fichier
pour repérer le mot de passe.
Section 2 : Etude approfondie des virus (nature, types)
§1.) Les différentes catégories de Virus
Les Virus peuvent se diviser en deux grandes familles :
• Les Virus de Fichiers.
• Les Virus Système.
A. Les Virus de Fichiers
Les virus à infection de fichiers se logent généralement au
sein des fichiers de type .COM, .EXE ou .SYS et sont par conséquent exécutés
à chaque fois qu'un fichier infecté est lancé. Il ne sont habituellement
actifs qu'au moment du premier chargement du premier fichier infecté et ne
posent guère de problèmes aux programmes antivirus standards.
Les virus à infection de fichiers se greffent à un fichier
afin de pouvoir être exécutés. Les virus parasitaires n'ont pas la
possibilité de s'exécuter ou de se reproduire d'eux-mêmes. Il doivent
modifier le contenu d'un fichier exécutable (.EXE, .COM) afin de pouvoir
exercer un contrôle sur son mode d'opération. L'ordre des opérations
habituellement exécutées est modifié de manière à ce que celles dictées
par le virus soient toujours exécutées en priorité. Le processus d'infection
est la plupart du temps invisible par l'utilisateur, car une fois le virus
exécuté, le programme lancé continue à fonctionner normalement. Certains
virus se greffent à la fin d'un fichier programme, d'autres au début et
d'autres au début et à la fin.
Voici un exemple de la manière dont un virus se greffe à un
fichier :
Tout d'abord, le virus repère l'octet final du fichier visé
(.EXE ou .COM)
Le virus modifie les octets du début du programme afin d'y
placer un jeu d'instructions lui permettant de contrôler l'exécution du
programme. Lorsque le fichier infecté se trouve exécuté, c'est le virus qui
prend les commandes. Une fois que le virus a terminé sa mise en place, il
repasse les commandes au programme lui-même.
Il en existe deux types: les virus résidents et les virus non
résidents. Chacun des deux types de virus a ses faibesses et ses points forts.
Les Virus non résidents
Ce sont les plus simples à créer mais aussi les plus faciles
à éliminer.
Parmi eux on trouve plusieurs sortes de virus que l'on peut
diviser en 3 catégories :
- Les Virus avec recouvrement: ils ne font que réécrire leur
code par dessus celui du programme infecté. La taille du fichier infecté reste
donc inchangée, mais le fichier ne fait plus maintenant que lancer le virus qui
infecte à son tour un ou plusieurs autres fichiers.
- Les Virus sans recouvrement (ou virus parasites) font la
même chose que les virus avec recouvrement. Cependant ce type de virus
n'écrase pas le code du programme qu'il infecte, il se recopie en fin du
fichier, avec une routine de saut placée en début du programme qui l'appelle
à chaque fois que le programme est exécuté. Ce type de virus est déjà un
peu plus difficile à repérer de part le fait que le programme infecté
continue de s'exécuter normalement.
- Les Virus compagnons ne modifient pas le fichier infecté.
Ils tirent seulement parti du fait que sous DOS, il existe une priorité, lors
de l'exécution d'un fichier(si l'utilisateur tape edit à la ligne de commande
le système va d'abord rechercher edit.com et sinon edit.exe. Si aucun des deux
n'est présent, il affichera un message d'erreur). Ainsi dès que le virus
trouve un fichier EXE, il va créer un fichier COM du même nom que le programme
infecté, qui y recopiera son code, et, qui, de part sa priorité s'exécutera
à la place du vrai programme, lancera le virus, et à la fin, redonnera le
contrôle au vrai programme.
Les Virus résidents
Ils sont plus compliqués à écrire que les Virus non
résidents mais offrent l'avantage de rester toujours endormis en mémoire,
attendant tranquillement leur activation. Cette activation peut se passer de
plusieurs manières: une certaine séquence entrée au clavier, une certaine
heure, un autre programme essayant d'ouvrir un fichier ou même un simple DIR
peuvent suffire à activer le VIRUS et lui permettre d'infecter d'autres fichier.
Pour mieux comprendre ce qu'est un programme résident, il faut d'abord
expliquer le principe des interruptions. Les interruptions peuvent être
logicielles ou hardware. Une interruption est en fait un tableau contenant des
pointeurs vers des programmes stockés en mémoire. Chaque périphérique comme
le clavier, la carte son, le timer…a un numéro d'interruption. Dès que par
exemple une touche est pressée , le clavier envoie une requête (c'est
l'interruption) au processeur qui lui dit " une touche a été pressée
"; l'ordinateur va donc lire l'adresse dans la table d'interruption dont le
numéro est celui correspondant au clavier et exécuter le programme contenu à
cette adresse qui traitera la touche. C'est donc grâce aux interruptions que
les virus peuvent être résidents: il leur suffit pour cela de lire le vecteur
d'interruption du clavier, du timer ou du disque dur et de remplacer l'adresse
qu'ils ont lu par l'adresse de leur programme. A chaque fois qu'une touche sera
pressée ou qu'on accédera au disque dur, c'est le virus qui s'exécutera
d'abord puis qui repassera le contrôle au vrai programme.
B. Les Virus Système
A la mise sous tension le PC éxécute tout d'abord le
programme contenu dans la ROM (Mémoire morte de l'ordinateur), l'EPROM ou la
Flash EPROM qui teste les différentes unités physiques à la recherche d'un
disque dur.
Une fois localisé, le système charge en RAM le premier
secteur du disque dur afin de l'exécuter. Ce secteur d'amorce est appelé le
MBR( Master Boot Record)
Ce secteur est donc executé en tout premier après la ROM;
c'est pour cela que les virus systèmes cherchent à recopier leur code dans
cette partie du disque dur ou de la disquette.
Il est théoriquement possible de modifier le contenu d'une
flash EPROM, pour que le virus se charge encore avant le secteur de partition.
Cependant, dans la pratique, cela se révèle impossible du fait des nombreuses
incompatibilités entre les différentes ROMs.
Le principe de fonctionnement est le suivant :
• Le virus est présent dans le secteur de BOOT d'une
disquette,
• Il contamine le PC lors d'un BOOT sur cette disquette,
• Il déplace ou écrase le code original du BOOT ou du MBR
• Il remplace ce code par le sien
• Il sauvegarde le code excédent(du virus) dans des
secteurs libres ou occupés du disque dur.
• A partir de ce moment là, à chaque démarrage de
l'ordinateur, le virus est chargé en mémoire, et peut infecter de nouvelles
disquettes.
C.) Les Virus de Macro
Les Macro-Virus cherchent à infecter les documents créés
par les logiciels de bureautique les plus courants.
Ces documents, que l'on considérait il y a quelques années
comme de simple fichiers textes, sont maintenant capables de contenir
accessoirement des listes d'instructions qui peuvent prendre un caractère
malveillant.
On trouve des macro-virus principalement sous Microsoft WORD,
EXCEL. Etant donné que ces logiciels existent sous Windows NT/3.11/95, OS/2 et
Macintosh, ces virus sont dits multi-plateformes.
Le principe de fonctionnement des virus de macros est le
suivant :
• Le virus contamine l'environnement de travail par le biais
de macros automatiques.
• Il infecte les documents par le biais d'instructions
standart redéfinies:
-détournement de macros standards
-remplacement de menus
-redéfinition de boutons ou de touches de fonction
On trouve principalement les Virus Futifs et les Virus
Polymorphes
Les Virus Furtifs
Les virus furtifs, autrement nommés " intercepteurs
d'interruptions ", prennent le contrôle des interruptions principales du
DOS pour faire croire au DOS et à un grand nombre de programmes antivirus que
l'ensemble des fichiers sont sains. Cette prise de contrôle de la table
d'interruptions s'effectue au tout début de la zone mémoire. Lorsqu'une
application émet une requête d'interruption, celle-ci est habituellement
redirigée vers la table d'interruptions qui oriente les commandes et permet au
programme de fonctionner normalement. Dans le cas où un virus furtif intercepte
ces requêtes, il a alors la possibilité de les rediriger où bon lui semble et
par conséquent d'effectuer toutes les opérations à sa guise.
Cette capacité qu'ont les virus furtifs de contrôler la
table d'interruptions leur permet de se cacher de manière extrêmement efficace.
Leur détection est très difficile.
Les Virus Polymorphes
Les virus polymorphes cryptent ou modifient le code qui les
compose à chaque fois qu'ils se reproduisent : aucune copie d'un de ces virus
ne ressemble aux autres. La plupart des systèmes de détection de virus sont
mis en échec par ce genre de virus, car ils se réfèrent à une base de
signatures de virus connus.
Les virus polymorphes ont vu leur popularité augmenter suite
au développement d'un " moteur de mutation ". Le Moteur de Mutation a
été mis au point par une personne ou un groupe se faisant appeler " Dark
Avenger " (le vengeur noir). Il a été diffusé sur plusieurs serveurs BBS
et son code de programmation a été rendu public. Il est livré avec un jeu
complet d'instructions permettant de transformer n'importe quel virus normal en
virus polymorphe.
§2.) La structure d'un Virus
Tout Virus informatique voulant survivre et se propager doit
contenir au moins deux routines :Une routine de recherche des fichiers à
infecter ,et une routine de contamination .Ces deux routines sont essentielles
,en effet un virus ayant une routine de recherche inefficace et mal pensée
n'infectera pas assez de fichiers (provoquant ainsi la disparition du virus) ou
au contraire en infectera trop(provoquant la découverte du virus par
l'utilisateur).La présence de ces 2 routines suffit à la propagation d'un
virus, même si celui-ci ne fait rien d'autre que se propager. Une fois ces deux
routines créées, il peut y avoir des routines ayant pour but d'ennuyer
l'utilisateur de l'ordinateur infecté, le Virus peut aussi y avoir des routines
destinées à crypter son code et ainsi se rendre invisible aux antivirus (virus
polymorphes) .
A.) Fonction de recherche
C'est la première action d'un Virus. Elle a pour rôle de
décider quels types de fichiers doivent être infectés (.com .exe .doc .bat
…) et à quelle vitesse ils doivent l'être. En effet, c'est cette vitesse qui
conditionne la vitesse de reproduction du virus. Un Virus qui se reproduit trop
rapidement aura de grandes chances de se faire repérer par l'utilisateur du
fait de l'activité incessante du disque dur. Au contraire un virus qui se
reproduit lentement, ne sera peut être pas découvert mais ne sera pas très
efficace.
B.) Fonction de reproduction
C'est elle qui rajoute le code du virus aux fichiers choisis
par la fonction de recherche. Cette fonction est très importante, son rôle est
crucial car elle définit le type du virus: Virus avec ou sans recouvrement,
crypté ou non, virus de fichier ou virus système… De plus lorsque le virus
écrit son code, il doit tenir compte de la structure de l'exécutable infecté
(surtout de l'en-tête), il doit tester si c'est un exécutable Windows ou dos,
et modifier l'en-tête correspondant. Il doit aussi sauvegarder la date du
fichier modifié. Si cette routine est mal programmée le fichier ne
s'exécutera plus normalement et l'utilisateur aura des soupçons quant à la
présence d'un hôte éventuel.
C.) Fonction de destruction
Les routines de destruction peuvent être très variées mais
se décomposent généralement en deux routines: la " Bombe " en elle
même et une routine d'activation. C'est cette dernière routine qui décidera
ou non l'activation de la bombe, et cela par plusieurs moyens: Le virus peut
s'activer à partir d'un certain nombre de copies, à partir d'une date, à
partir d'une combinaison de touches au clavier, un certain nombre d'accès au
disque dur, ou encore la présence d'un certain antivirus… Il existe des
dizaines et des dizaines de possibilités d'activation. Elles sont laissées au
choix et à l'imagination du concepteur du virus. Vient ensuite la " bombe
logique " en elle même. Elle peut ralentir l'ordinateur au moyen de
boucles (FOR …. DO NOTHING), elle peut juste afficher un simple message "
c'est mon anniversaire " à l'écran, ou encore écrire aléatoirement des
données sur le disque, ou l'inverse: dès que l'utilisateur essaie de lire le
disque, elle lui renvoie de temps en temps des données fausses provoquant le
plantage du programme à plus ou moins long terme. Elle peut aussi bêtement
reformater le disque dur. Elle peut aussi modifier les programmes antivirus
présents sur le disque pour qu'ils deviennent eux aussi très agressifs… Là
aussi le nombre de possibilités est énorme. Le virus peut aussi avoir un
objectif précis(effacement d'un certain fichier appartenant à un certain
utilisateur).
D. Fonction de cryptage
Malgré leur petite taille les virus sont vite repérés et
ajoutés à la base de donnée des antivirus(voir à la partie détection des
virus). Donc une fois détecté, le virus n'est plus d'aucune utilité pour son
programmeur. Ce dernier a donc été obligé au fil du temps de trouver des
moyens pour cacher le virus des yeux de l'utilisateur averti. En effet ce
dernier aura tôt fait de remarquer une augmentation de la taille des fichiers.
De plus avec l'amélioration constante des logiciels antivirus, le programmeur
ne pouvait pas rester les bras croisés. Pour cela il a découvert plusieurs
techniques pour " cacher " son virus: la première de ces techniques
est le cryptage (polymorphisme): il suffit de rajouter aux virus une routine de
cryptage plus ou moins élaborée dont l'algorithme est plus ou moins poussé
suivant le niveau du programmeur. Le problème avec cette méthode est que la
routine de décryptage apparaît en clair dans le virus. D'ingénieux
concepteurs de virus ont eu l'idée d'intégrer dans la séquence de décryptage
des instructions aléatoire n'ayant aucun effet. Chaque variante du virus
devient donc vraiment unique et indétéctable par les antivirus. On appelle ces
virus des virus polymorphes.
Une autre technique de furtivité des virus est de faire
croire au système d'exploitation que des secteurs du disque dur sont
défectueux, il suffit alors au virus de s'y camoufler et d'y passer des jours
heureux en attendant son activation. Cette méthode est cependant détectable
par l'utilisateur lorsque celui ci constate une multiplication anormale du
nombre de secteurs défectueux. La dernière méthode pour le virus est de se
cacher sur le secteur de BOOT. En effet dans tout ordinateur PC, après que le
système ait démarré ,il exécute invariablement un certain secteur du disque
,qui lui même à son tour lance le système d'exploitation. Il suffit donc au
virus de sauvegarder ce secteur à un autre endroit du disque et de s'y copier.
Ainsi à chaque démarrage de l'ordinateur, le virus sera automatiquement
exécuté, et de plus sera indétéctable.
Section 3 : Cycle de vie d’un virus
Les virus, en informatique, ont un cycle de vie bien
particulier :
La première phase est celle de Création. C'est la période
que va passer un programmeur à développer un virus aussi féroce que possible.
La programmation se fait en code assembleur.
La deuxième phase est celle de Gestation. Il s'agit du
procédé par lequel le virus est copié en un endroit stratégique afin que sa
diffusion soit la plus rapide possible. En général, la méthode consiste à
infecter un programme très populaire puis à le distribuer par l'intermédiaire
d'un serveur BBS, du courrier électronique, de l'Internet ou au sein d'une
entreprise, d'une école, etc.
La troisième phase est celle d' Infection (encore appelée
reproduction). Les virus, de par leur nature, cherchent à se reproduire. Un
virus correctement conçu se reproduira un nombre de fois important avant de
s'activer. C'est là le meilleur moyen de s'assurer de la pérennité d'un
virus.
La quatrième phase est celle d'Activation. Les virus
possédant une routine de destruction ne s'activent que lorsque certaines
conditions sont réunies. Certains s'activent à certaines dates, d'autres
possèdent un système de compte à rebours interne. Même les virus ne
possédant pas de telles routines et ne nécessitant pas de procédure
d'activation spécifique peuvent causer des dommages à votre système en
s'appropriant petit à petit l'ensemble de vos ressources.
La cinquième phase est celle de Découverte. Cette phase de
l'existence d'un virus n'est pas forcément consécutive à son activation, mais
c'est généralement à ce moment là qu'elle a lieu. La découverte d'un virus
est le moment où quelqu'un se rend compte de sa présence et parvient à
l'isoler. Une fois cette opération réalisée, le nouveau virus est
généralement transmis au NCSA (National Computer Security Association) à
Washington DC où il est documenté puis distribué aux développeurs de
logiciels antivirus. La découverte a lieu la plupart du temps au moins un an
avant qu'un virus ne devienne une véritable menace pour la communauté
informatique.
La sixième phase est celle d' Assimilation. Une fois la
découverte faite, les développeurs de logiciels modifient leurs programmes
pour qu'ils puissent détecter la présence du virus. Cette phase dure entre un
jour et six mois, selon la compétence du développeur d'anti- virus.
La septième et dernière phase est celle d' Elimination. Si
un nombre suffisant de développeurs d'antivirus sont capables de faire face au
virus et si suffisamment de personnes se procurent l'antivirus adéquat, il est
possible d'annihiler un virus. Dans les faits, aucun virus n'a réellement
disparu, mais un grand nombre d'entre eux ont cessé de constituer une menace
réelle.
Partie 2 : Les Antivirus
Section 1 : Présentation des antivirus
§1.)Définition générale
Un antivirus est, de par son nom déstiné à combattre les
virus. C'est le seul moyen existant de détécter et de détruire les virus.
Les Virus étant de plus en plus sophistiqués, les antivirus
ont dû, au fil du temps s'adapter et devenir de plus en plus performants sous
peine de devenir obsolètes. En effet, avec l'accroissement constant du nombre
de virus, les développeurs d'anti-virus doivent sans cesse actualiser leur base
de données.
§2.) Raison d'être des antivirus
Pour Sécuriser les ordinateurs et préserver l'intégrité
des données d'un ordinateur, qui peuvent être d'une importance énorme (par
exemple, la base de données d'une banque ne doit sous aucun prétexte être
modifiée par un virus...).
Section 2 : Examination du fonctionnement des antivirus
Les antivirus rivalisent souvent d'ingéniosité pour
combattre les virus. Cependant ces derniers trouvent souvent la parade. Nous
allons parler ici des différentes techniques utilisées par les antivirus pour
combattre leur raison de vivre.
§1.) Principales techniques de découverte de virus
Nous présenterons quatre techniques majoritairement
utilisées par les antivirus pour localiser les virus. Il s'agit du scanning,du
moniteur de comportement, du controlleur d'intégrité et de la recherche
heuristique. Briévement présenté,le scanneur recherche dans tous les fichiers
ou en RAM un code spécifique qui est censé indiquer la présence d'un virus.
Le moniteur de comportement surveille les actions habituellement menées par les
virus, les controlleurs d'intégrité signalent les changement intervenus dans
les fichier et enfin la recherche heuristique recherche des instructions
généralement utilisées par les virus.
A.) Le scanning
C'est la méthode la plus ancienne et la plus utilisée, Son
avantage est qu'elle permet de détécter les virus avant leur éxécution en
mémoire. Son principe est de rechercher sur le disque dur toute chaine de
caractères identifiée comme appartenant à un virus.
Cependant comme chaque virus a sa propre signature, il faut,
pour le détécter avec un scanneur que le concepteur de l'antivirus ait déjà
été confronté au virus en question et l'ait intégré à une base de données.
Un scanneur n'est donc pas en mesure de détécter les nouveaux virus ou les
virus polymorphes (car ceci changent de signature à chaque réplication.)
Cette méthode est à la fois la plus simple à programmer
mais aussi la plus longue à mettre en oeuvre car elle n'est utile que si elle
recense tous les virus éxistant. Cela représente une somme de travail
considérable et est quasiment impossible à réaliser.
C'est pour ça que les concepteurs d'antivirus proposent des
mises à jour de la base de donnée tous les mois sur leur site WEB, c'est le
seul moyen pour le scanneur de détécter les nouveaux virus.
<Picture>
B.) Utilisation d'un controlleur d'intégrité
Schématiquement, un contrôleur d'intégrité va construire
un fichier contenant les noms de tous les fichiers présents sur le disque dur
auxquels sont associés quelques caractéristiques. Ces dernières peuvent
prendre en compte la taille, la date et l'heure de la dernière modification ou
encore un checksum(somme de contrôle).Un CRC (code de redondance cyclique), ou
un algorithme de checksum avec un système de chiffrement propriétaire pourra
détécter toute modification ou altération des fichiers en recalculant le
checksum à chaque démarrage de l'ordinateur(si l'antivirus n'est pas résident),
ou dès qu'un fichier éxecutable est ouvert par un programme (si l'antivirus
est résident); en effet si le checksum d'un programme avant et après son
éxecution est différent, c'est qu'un virus a modifié le fichier en question,
l'utilisateur en est donc informé.
D'autre part l'antivirus peut aussi stocker la date et la
taille de chaque fichier exécutable dans une base de données, et tester les
modifications éventuelles au cours du temps. Il est en effet rare de modifier
la taille ou la date d'un fichier exécutable. La parade pour les virus est de
sauvegarder la date du fichier avant la modification et de la rétablir après.
C.) "Moniteur de comportement"
Les moniteurs de comportement ont pour rôle d'observer
l'ordinateur à la recherche de toute activité de type virale, et dans ce cas
de prévenir l'utilisateur.Typiquement, un moniteur de comportement est un
programme résident que l'utilisateur charge à partir du fichier AUTOEXEC.BAT
et qui reste actif en arrière plan, surveillant tout comportement inhabituel.
Les différentes manifestations d'un virus pouvant être détéctées sont: Les
tentatives d'ouverture en lecture/écriture des fichiers éxécutables ; les
tentatives d'écriture sur les secteurs de partitions et de démarrage ; les
tentatives pour devenir résident.
Pour répèrer ces tentatives les antivirus détournent les
principales interruptions de l'ordinateur et les remplacent par l'adresse de
leur code. Les interruptions détournées son l'int 13H (disque dur), l'int 21H
(DOS).Ainsi dès qu'un virus tente d'écrire sur le secteur de Boot, c'est
l'antivirus qui est d'abord appelé, et qui peut ainsi prévenir l'utilisateur
qu'un virus tente de modifier le secteur de Boot. L'antivirus peut alors
éliminer le virus de la mémoire,enregistrer une partie de son code dans la
base de donnée et lancer un scanning pour repérér la/les souche(s) sur le
disque disque dur et les détruire.
D.) "Démarche heuristique"
Fondamentalement, l'analyse heuristique concerne la recherche
de code correspondant à des fonctions virales. Elle est différente dans son
principe,d'un moniteur de comportement qui surveille des programmes ayant une
action de type virale.L'analyse heuristique est comme le scanning, passive. Elle
considère le code comme une simple donnée, et n'autorise jamais son jamais son
éxécution. Un analyseur heuristique va donc rechercher du code dont l'action
est suspecte s'il vient à être éxécuté. L'analyse heuristique permet par
exemple, pour les virus Polymorphes de chercher une routine de déchiffrement.en
effet une routine de déchiffrement consiste à parcourir le code pour ensuite
la modifier. Ainsi lors de l'analyse heuristique, l'antivirus essaie de
rechercher non pas des sequences fixes d'instructions spécifiques au virus mais
un type d'instruction présent sous quelque forme que ce soit. Pour en revenir
à notre exemple de virus polymorphes, l'antivirus cherche une suite
d'instructions de lecture suivie d'une suite d'instruction d'écriture.
Cette méthode est donc un peu plus intelligente que les
autres: car elle vise à analyser les fonctions et instructions les plus souvent
présentes et que l'on retrouve dans la majorité des virus. Cette méthode
permet ainsi, contrairement au scanning, de détécter des nouveaux virus dont
la signature n'a pas été ajoutée à la base de données .
E.)Analyse du spectre
Tout code généré automatiquement est supposé contenir des
signes révelateurs du compilateur utilisé. De même, au contraire, Il est
impossible de retrouver dans un vrai programme exécutable compilé certaines
séquences de code.C'est grâce à ce principe qu'entre en jeu l'analyse
spectrale. Cette analyse vise à repérer les virus polymorphes qui sont
indétéctables autrement (leur signature changeant à chaque réplication). En
effet,lorsqu'un virus polymorphe crypte son code, la séquence en résultant
contient certaines associations d'instructions que l'on ne trouve pas en temps
normal; c'est ce que détécte l'analyse spectrale.
Par exemple, si dans un programme éxécutable, l'antivirus
trouve une instruction de lecture d'un octet au delà de la taille limite de la
mémoire, on sera probablement en présence de code crypté, donc d'un virus
polymorphe.
§2) Principales méthodes d'élimination des virus
Une fois un virus détécté,que ce soit en mémoire ou sur le
disque dur, il reste à le supprimer. Une fonction primordiale des antivirus est
donc la suppression des virus. Leur but est de débarrasser l'utilisateur de ce
programme malveillant. Mais il n'est pas si simple que l'on croit de les
éradiquer et de récupérer le programme original. En effet cela est impossible
dans le cas de virus avec recouvrement : ils détruisent une partie du programme
sain lors de sa duplication. La seule solution est la destruction des fichiers
infectés ou carrément le formatage du disque dur. Pour les autres, même si ce
n'est pas irréalisable, la tache est cependant très ardue : il faut savoir
très précisément où est localisé, dans le fichier, le virus en question
sachant qu'il peut être composé de plusieurs parties, ensuite il faut le
supprimer, et enfin aller chercher la partie du programme dont le virus avait
pris la place et la restaurer. Toutes ces manipulations nécessitent une
connaissance parfaite du virus et de son mode d'action. Cette éradication se
faisant par une recherche (du virus, de la partie déplacée), toutes les
caractéristiques des différents virus doivent être répertoriées dans une
base de donnée mise à jour pratiquement quotidiennement.
§3.) Performance des antivirus
Pour les vieux virus les antivirus sont généralement
efficaces à 100%.C'est dans la détection de virus nouveaux que l'on peut voir
les capacités des différents antivirus.
Les légendes du Hacking
