[Contribution]Hash MD5 viralRésolu/Fermé

Question

Hello ,

je code actuellement un anti-Malware qui a pour but de comparer les hash MD5 d'un malware a celui de la base de donné , si il trouve le hash du Malware dans la base de donné , il supprime ce dernier :p .

Du coup j'ai besoin de rassembler le maximum de hash que je peut , c'est pourquoi je vous adresse ma requête , merci de partager ici tout les hash que vous pouvez avoir .

Pour remercier ceux qui m'aideront , j'ajouterai leur pseudo dans mon anti-Malware 

Merci d'avance .

Configuration: Windows XP / Safari 535.7

Trying2 · Accepted Answer

Hi,



Qu'un tel outil puisse être OpenSource est dramatique. 

Je (ou on) ne dois pas avoir la même définition "d'open source".

En tous cas en terme d'avantage, je trouve au contraire que la démarche de placer un tool en open source, c'est le mettre à l'abri de failles qu'une entité unique ne pourrait/voudrait détecter.

Je le dis gentiment, mais quand même:
Vincent, même une veille de Noël, t'es relou :p
Même si t'as pas l'intention de changer, y'a des moments où tu pourrais essayer de nous le faire croire :)

@+

Utilisateur anonyme · Answer

bonjour,
y a t il un lien pour voir ton tool ?

Lyonnais92 · Answer

Bonsoir,

si il trouve le hash du Malware dans la base de donné , il supprime ce dernier

Devinette : combien d'ordis auront été totalement planté avant que tu te décides à retirer ton outil ?

Utilisateur anonyme · Answer

ok pour tes arguments, mais il faut que je vois ton tool et on en discute avec les autres helpers pour prendre une décision (je ne suis pas le seul ici :D)   

une fois que j'aurais les élements demandés, je les remonte chez " qui a le droit ", puis on te dit si oui ou non, ça peut se faire, ici comme ailleur.   

en attendant, j'attends de tes nouvelles  ;-)   

P.S :   

si tu ne veux pas mettre ton lien en public, tu me l'envoie en mp  :D   

@++   

O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø    

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

afideg · Answer

Salut ledit "relax"

Si ça te pose un problème de répondre aux souhaits de personnes disposées à t'aider, je ne vois pas comment tu pourras être aidé.
Tu récolteras ce que tu auras semé.

Et pour le moment, je ne vois pas d'issue qui te soit favorable.
À l'avenir, évite un tel langage avec les helpers, et surtout pas avec Lyonnais92.

Albert

Lyonnais92 · Answer

Re,

tu vas constituer une base de hash

tu vas supprimer les fichiers ayant un hash trouvé dans ta base

tu vas supprimer des fichiers système vitaux

donc tu vas planter des ordis.


Ca me suffit pour dire que, université ou pas, la logique de ton outil est totalement erronée et dangereuse.

Alors, si tu crois que ma question est HS, c'est que le noob, c'est toi.

Et pour anticiper une réponse, actuellement, tu demande le hash et pas le nom du fichier associé. Même si tu demandais ce nom, rien ne te garantis que c'est le "nom interne" du fichier.

Donc, avec te démarche, tu n'es pas prêt de savoir ce que ton outil va faire comme dégâts.

===

Quel est l'environnement qui encadre ton développement ?

Qui valide le protocole de test qui va être utilisé avant mise en production ?

relax. · Answer

Réflexion faite , je chercherai ailleurs ....

Lyonnais92 · Answer

Continue sur ce thème, tu commences à me plaire.


du coup si un virus infecte les fichiers système ça changera complètement le hash md5 , et du coup il ne sera pas détecté . 

Ah bon, il n'y a pas de modifications de fichier système qui soit déterministe ?

Si évidemment.

Si tu connaissais un minimum de choses en désinfection, tu saurais que des outils d'analyse sont tous à faits capables d'identifier comme malware (ou sain, ou inconnu) les hash de fichiers système.

===

"Quel est l'environnement qui encadre ton développement ? "
-N/A 

Pas rassurant, c'est le moins que l'on puisse dire.

===

Qui valide le protocole de test qui va être utilisé avant mise en production ?
-je vais "release" ce tool en tant que "code-source" , pour que les programmeurs vb.net puissent en apprendre ,

C'est à dire que tu t'apprêtes à mettre dans la nature un outil qui n'aura pas été testé, qui est susceptible de planter totalement des ordis et, pour ça, tu viens demander l'aide de ceux qui passent du temps à remettre sur pieds des ordis.

 ===

Un scanner on line très efficace

Vends le.

Lyonnais92 · Answer

Re,

MAIS BON DIEU ! , c'est juste un tout petit projet pour mon université ! 

tu es de plus en plus drôle.

je le mettrais en open source une fois le Project terminé 

===

j'ai pas codé le tool pour détecter les modification système , c'est un tool pour marquer le COUP 

un anti-Malware qui a pour but de comparer les hash MD5 d'un malware a celui de la base de donné , si il trouve le hash du Malware dans la base de donné 

c'est dans quelle phrase que tu dis n'importe quoi ?

===

Dans une infection par virut, pour s'assurer que l'infection a bien été éradiquée par le formatage, un scan par Dr Web est prioritaire sur l'analyse des ports.

Lyonnais92 · Answer

Re,

l'idée qu'un outil développé dans de telles conditions (avec visiblement des connaissances aussi faibles sur le fonctionnement, le mode d'action et les manifestations des malwares) est terrifiante.

Qu'un tel outil puisse être OpenSource est dramatique.

Le plus vite ce projet échouera, le mieux ce sera.

Bye

Lyonnais92 · Answer

Re,

Tryind2, tu peux garder pour toi tes commentaires désobligeants sous leur ton sirupeux.

Cet outil est, par sa conception, susceptible de faire sauter l'OS d'un ordi.

Le rendre accessible ne fait que multiplier les risques sans aucun bienfait.

L'intérêt de tous est que ce projet tombe dans de profondes oubliettes.

Lyonnais92 · Answer

Re,

tu parles de ça 

http://www.novirusthanks.org/service/multi-engine-antivirus-scanner/

Tu travailles pour eux :

https://www.novirusthanks.org/company/

===

-tu est toujours désagréable
r
Quand on me demande de contribuer à un outil qui, dans sa conception, risque de planter des ordis, je suis désagréable.

Quand, pour réponse à cette remarque je suis traité de noob, je deviens très désagréable.

Utilisateur anonyme · Answer

Bonsoir,

Juste pour dire que :

L'idée est bonne, mais...

-> L'explorer est patché, tu détectes le Md5 d'un fichier pourrie, tu le dégommes... Aïe.

-> C'est bien le Md5, mais comme algo y'a mieux, 128bits d'empreinte num c'est caffouillage... donc tu confondra très vite un fichier infecté avec un mauvais.

Ce sont les deux grosses raisons qui me font dire que, ce projet devra être très finement travailler pour le voir porter sur qlqc de viable..

J'dis ç pour aider, rien d'autre...

Bonne Fêtes à tous :-)

g3n-h@ckm@n · Answer

salut 

et je partage la source pour que les programmeur l'utilise et apprennent  

si tu codes comme tu ecris , ca va etre beau !! 

et de plus l'outil detectera atapi patché (je doute mais bon dans l'extreme  ) , le supprimera ( je doute mais bon dans l'extreme ) , et le pc ne redemarrera jamais....( ca j'en suis sûr par contre )
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

re,

pour en revenir à ce que j'ai demandé un peu plus haut (voir ton outil, même non presentable, en batch sûrement) et discuter sur tes recherches par rapport au hash des fichiers :

tu peux faire de recherches et comparaison sur les fichiers par le hash mdx, mais ces recherches et suppression peuvent être dangreuses pour le système.

tu peux avoir un hash légitime, mais le fichier soit infectieux, donc avec ton outil, tu le vires, le pc plante !

ou à l'inverse, tu peux avoir un hash non reconnu par l'outil, puis le virer en mode automatique, puis vu qu'il s'agit d'un fichier vital, le pc plante aussi !

on en a discuté avec pas mal de devloppeurs d'outils, il y a environ 1 an, on est arrivé à cette conclusion que je viens de t'expliquer.

pour en revenir au plantage, il y a des outils qui le font et/ou qu'ils l'ont fait, donc c'est un risque, tout le monde le sait.


ce que je cherche à savoir sur ton outil, c'est la manière de procèder (la suppression automatique n'est pas un très bonne solution, ceci est sûrement à revoir).

toujours dans la même idée, tu pourras trouver les informations sur le hash sur le site de virus total, mais encore une fois de plus, ceci ne te certifie pas que le fichier soit sain ou infecté avec le même hash !


je ne sais pas si je suis arrivé à bien te l'expliquer, mais ceci s'avere périlleux pour un pc.

si ton but est de faire un bon outil, il faut miser sur une autre manière de recherche, voir la comparaison.

Have Fun  ;-)

juju666 · Answer

Hello et en plus y'a des malwares qui renvoient un "fake md5" (un vrai en fait) pour ne pas que les outils le détecte (voir avec TDSS et des rapports TDSSKiller)

Utilisateur anonyme · Answer

okix , quel manière de recherche tu propose ?

@ relax :


pour savoir comment chercher, il faut faire des testes en VM !

ce qu'on pratique ici ou ailleur, donc, non seulement il faut télécharger les infections pour le teste, de plus, il faut voir l'outil en action sur tout type d'OS !

à toi de voir comment veux tu t'y prendre, mais encore une fois, cette manière de comparaison et suppression automatique n'est pas la bonne !


on t'ai déjà ce que tu dois savoir, à toi de voir comment lancer les recherches et coder ton outil.

il y a, sur ce poste, des dévloppeurs d'outils qui sont déjà intervenus, je pense que si tu leur demandes, tu auras une réponse.

mais ceci suppose de voir ce que tu as déjà dévloppé avant de sa mise en ligne.

[Contribution]Hash MD5 viral

17 réponses

Discussions similaires

Newsletters