Télécharger le zip
quel intéret ?en plus tu renplaces un mov par un push, mov, pop.... doc ?!!??Pourquoi pas simplement un push edx pop ecx ???
L'intéret...Enfin dumoins celui que je lui voit c'est de pouvoir faire morpher ton code pour que ton programme soit capable de changer constemment de signature numérique genre virus intelligents ou autres morpheurs.Dite-moi si je me trompe.
son code n'est en effet pas dénué d'intérêt snyps (bien que push edx, pop ecx, morphes aussi bien en plus court ;-) ), pour la raison (qui paraissait évidente d'ailleurs...) qu'il cite...par contre eRoZion (pk pas "3R0Zi0n" tant qu'on y est, t'aimes pas ? dsl j'aime po les pseudos cowboys...), ton rêve ne peux que s'arreter là, morpher n'importe quel programme est quasiment infaisable parce que il y a du code qui a des références, exemple tu as comme code :saut:mov ecx, edxjump sautavec ton truc t'obtiens :push esimov esi, edxpush esipop ecxsaut:pop esijump sautbon evidemment tu me réponds "ba quand y'a des jumps il suffit de réjuster leur valeur", je te rétorque alors "oui mais maintenant suppose que le saut se fasse non pas avec une constante mais avec un registre, etc...y'a un million de cas a gérer, et y'en a quelques uns qui ne sont pas faisables"on peut morpher un code, oui, mais pas n'importe lequel, en tous k surement
eRoZion --> tu as tout bon !Ninkosen --> le fait que le saut se fasse avec un registre est non pas avec une constante ne pose AUCUN problème, car TOUS les registres SONT PRESERVES après le morphage. Regarde bien mon exemple, les valeurs de esi et de edx sont préservés. Donc s'il y avait un jmp esi juste après, AUCUNS problèmes, il suffit de réajuster la taille du saut. Ce qui ne pose aucun problème car nous connaissons la taille des instructions ;-p)A tous --> je suis OK pour dire que push edx/pop ecx soit plus court, mais n'oubliez pas que ce n'est qu'un exemple et que l'on ne cherche pas spécialement à faire court, mais à dissimuler. En fait le morphage se fait de manière aléatoires, en utilisant une base de règles. On ne peut donc pas prévoir la tête qu'aura un mov, rol, shl, ... après être passé par le morpheur (du moins en principe).
Y à aussi :Trident Polymorphique Engine (TPE)Visible Mutation Engine (VME)Dark Slayer Mutation Engine (DSME)Darck Slayer Confusion Engine (DSCE)Premiere question : t'es bulgare ?Deuxieme question : Et Black Baron ca te plait pas comme pseudo ?
Tu as oublié de dire que le VME ainsi que le DGME (Darwinian Genetic Mutation Engine) ont été écrit par Mark Ludwig et quele premier de tous les moteurs de mutation est le DAME (Dark Avenger Mutation Engine (attention, c pas moi ;-p)). Non, je ne suis pas bulgare, et Black Baron (SMEG) me plait bien, mais c'était le pseudo d'unanglais qui a finit en prison alors, ...
DAME = Dark Angel's Multiple Encryptor ????Oui , c'est tres interressant comme systeme (je travail actuellement sur un moteur de mutation http://low-level.da.ru).Comme jai pas trop le temps , ca n'avance pas très vite , mais ca promet :o)A+
Citation:Ninkosen --> le fait que le saut se fasse avec un registre est non pas avec une constante ne pose AUCUN problème, car TOUS les registres SONT PRESERVES après le morphage. Regarde bien mon exemple, les valeurs de esi et de edx sont préservés. Donc s'il y avait un jmp esi juste après, AUCUNS problèmes, il suffit de réajuster la taille du saut. Ce qui ne pose aucun problème car nous connaissons la taille des instructions ;-p)Ninkosen est tout à fait dans le vrai.Exemple:jmp label; Ceci pourra être réajuster.mov eax, labeljmp eax; Ceci ne pourra pas être réajuster.
Se souvenir du profil
Mot de passe oublié ? / Activation de compteCréer un compte
1 619 757 membres 52 nouveaux aujourd'hui 15 498 membres club