Bonjour à tous,

Il me semble qu'il y a un problème sur le formulaire de la troisième partie : l'attribut "action" est vide et verif_3.php renvoie un 404...
Ai-je raté quelque chose ?

Merci.

si les hash étaient stockés dans la base de données du site, les modifier et remplacer les crackmes par des malwares ce serait deux attaques sans rapport, non ?

Tout dépend du type de compromission qui a permis à l'attaquant de modifier un fichier du serveur, ça pourrait effectivement être sans rapport. Mais à partir du moment où les crackmes ont pu être modifiés, il faut tout de suite envisager que le type a la main complète sur le serveur. D'ailleurs, d'une manière générale, lorsqu'une compromission a eu lieu, on ne devrait plus faire confiance du tout à la machine, dans son intégralité.

Effectivement. Merci pour l'explication.

il y a de plus en plus d'heuristiques qui semblent considérer qu'un exécutable packé est probablement malveillant.

Je dirai que c'est une question plus commerciale que technique 

(note au passage : qu'est-ce qu'ils font de Skype ? Il est en liste blanche ?)

Excellente question

Quel serait l'intérêt ?

Je peux garantir que les crackmes d'origine ne sont pas malveillants. Si ceux présents sur le site le sont réellement, cela signifie que quelqu'un a compromis le site. On peut toujours rajouter des empreintes, si le méchant a réussit à modifier les crackmes, il changera les empreintes également.
Sauf à imaginer que le site lui-même ait été victime d'un virus, hmmm... Ben, j'y crois pas beaucoup.

J'avoue que j'ai très peu de connaissances en programmation web donc je vais peut-être (voire probablement) dire une énorme bêtise : si les hash étaient stockés dans la base de données du site, les modifier et remplacer les crackmes par des malwares ce serait deux attaques sans rapport, non ?
Autrement dit, il est évident que ce n'est pas une sécurité sans faille, mais cela compliquerai la tâche du "méchant".

Sur ces histoires d'antivirus, je ne peux que rappeler ce que j'ai déjà dit dans la FAQ : il faut faire marcher sa tête. Notamment, il ne sert à rien de poster dans le forum que le fichier est infecté. Ce qui est intéressant, c'est le diagnostic de l'antivirus. Depuis que j'ai installé la dernière version démo de IDA, par exemple, j'ai un Symantec qui me casse les pieds avec un fichier infecté par Suspicious.MH690. Je suis allé regarder ce qu'en disait Symantec : "Suspicious.MH690 is a detection technology designed to detect entirely new malware threats without traditional signatures. This technology is aimed at detecting malicious software that has been intentionally mutated or morphed by attackers. ". Je me suis vite fait mon avis à ce sujet.

Attention, je ne dis pas de ne tenir aucun compte de ce qu'annonce l'AV. Je dis juste qu'un AV, ça se trompe (particulièrement quand ça commence à utiliser des heuristiques débiles), et que c'est une bonne chose de ne pas lui faire une confiance aveugle. Maintenant, si vous ne savez pas, ne faites pas. Ou utilisez une sandbox.

Tout est dit.
J'ajoute néanmoins que ce genre d'heuristiques "débiles" est la seule solution que les AV ont à proposer pour contrer les virus métamorphiques, donc le genre de message que tu cites va devenir récurrent...
Dernière précision : si le virus métamorphique n'est pas trop compliqué, la détection par signature reste possible en passant par une émulation, ce qui prend très longtemps (par comparaison avec ce qu'un utilisateur lambda trouve acceptable) et ne sera donc jamais utilisé par les AV dans les versions client (d'où le sandbox pour le faire "à la main").

Bonjour à tous.

Tout d'abord, cette idée a peut-être déjà évoquée, auquel cas mon post est inutile et je m'en excuse...

Cette idée concerne donc les hurlements des AV lorsque l'on télécharge certains fichiers (eg les crackmes) : serait-il possible d'ajouter sur la page un hash pour chaque fichier original ?

Qu'en pensez-vous ?

PS : ne sortez pas du MD5 par contre ^^

Salut à tous,

Voila, j'ai décidé hier de me relever les manches et de jeter un coup d'oeil à l'unpacking (en commençant par UPX).

Les différents tutoriaux parlent d'utiliser LordPE et ImpREC. Or, au téléchargement, mon AV hurle.
J'ai pu remplacer LordPE par le plugin OllyDump, mais je n'ai pas trouvé pour ImpREC...

Quelqu'un aurait-il une suggestion ?

Je précise que :
  - je ne peux malheureusement pas télécharger le cracker kit, car je suis en résidence avec connexion internet partagée, et l'admin s'est fait plaisir en bloquant l'accès à de nombreux sites, dont rapidshare
  - j'ai télécharger ImpREC sur Woodman Collaborative (qui m'a été signalé comme étant un site potentiellement plus sur que d'autres), puis sur plusieurs autres sites
  - j'ai testé également ChImpREC, même résultat

Merci d'avance