Win32 Viruses


******************************************************************************
{{{{{{{{{{{{{{{{{{{{{{{{  Intro aux virus win32  }}}}}}}}}}}}}}}}}}}}}}}}}}}}}
******************************************************************************

Pour coder des virus win32 il est nécéssaire que vous connaissiez les virus 16 bits au moins les infecteurs de *.com. Si ce n'est pas le cas, rabbattez vous sur Hccc#4, que je me casse pas le cul pour rien quoi ;). Bon bref si vous lisez ça, théoriquement vous savez coder en assembleur (c'est la moindre des choses) et vous vous intéressez aux virus. Un virus win32 est un virus qui utilise les APIs de windows pour fonctionner. Jusque là rien de compliqué. Pour ceux qui savent pas ce que sont les APIs, regardez un peu votre windows, par exemple les petites boites de messages sont appelées par l'API MessageBoxA qui appartient à User32.dll.

Le problème c'est d'appeler ces APIs dans notre virus. En effet lors d'une infection le code copié dans l'hote ne sait pas comment appeler ces APis car il ne sait pas où elles se situent. La solution est dans les APis GetModuleHandle et GetProcAdress.

Là se trouve un problème bizarre, on cherche à utiliser les APIs et la solution est d'utiliser des APIs. aie. C'est donc là que ça se complique. Il faudra donc tout d'abord trouver l'adresse de Kernel32 en mémoire, cette adresse variant d'un OS à un autre. Ensuite seulement on pourra commencer à chercher nos APis à l'aide de l'export table etc... Vous pourrez voir tout ceci en mattant les tutoriaux qui suivent. Voila donc pour la petite intro.

Ah aussi il reste encore quelque chose. Cette fois ci ce sont des éxécutables win32 qu'on infectera et nous pas de vulgaires fichiers com. Une bonne maitrise du PE Header est donc nécéssaire, Allez regarder le tut sur le PE Header par Christal dans le dernier Hccc, il est très bien foutu.

Allez, bon coding et bienvenue dans le monde des vxers ;) ps: Venez donc rejoindre les rangs de VDS avec nous, si vous avez des questions vous me trouvez sur #virus et #vxers par undernet pour parler de tout ça. Si vous cherchez de la bonne documentation je vous conseille de vous procurer la VDAT (8 MO) et quelques zines, cependant faudra bosser votre anglais. Sinon y a Androgyne qui fait quelques traductions bien sympas. Et surtout regardez les tuts de Lord Julus et ceux de Billy Belceb£.

TiPiaX/VDS