Qu'est-ce qu'un crypter Scantime ou Runtime

Qu’est-ce qu’un crypter Scantime ou Runtime ?

Le sujet d’aujourd’hui sera porté sur l’encryption des Applications , cette méthode permets aux « pirates » de passer au travers des Anti-Virus et de permettre le lancement de leurs executable(s) malicieux sans interactions de la part des anti-virus.

Vous devez sûrement connaître ou avez déjà abordé la cryptographie sur votre ordinateur , voici le lien détaillant ce qu’est la cryptographie grâce à notre ami Wikipédia !

https://fr.wikipedia.org/wiki/Cryptographie

Pourquoi intégrer un article qui n’a rien pratiquement rien à voir avec nos applications ?

Tout simplement parce que le systèmes des « Crypters » fonctionne de la même façon , l’utilisateur malveillant va donc « encrypté » son application sans bien sûr la corrompre pour permettre la bonne execution de celle-ci silencieusement.

Voici l’exemple d’un crypter (Payant) :

Crypter Runtime Scantime FUD
Crypter Runtime Scantime FUD

Pourquoi les anti-virus ne détecte rien ?

Tout simplement le procédé utilisé est assez spécial , il y plusieurs types d’encryptions pour vos applications , les voici :

Scantime : L’application va être encryptée afin de ne pas être détectée par le simple scan des anti-virus.

Runtime : L’application va être encryptée et injectée dans un processus , par exemple le plus souvent « vbc.exe » ou « svchost.exe » à partir de ces processus Windows , l’application malveillante sera lancée silencieusement à condition que le code RunPE (Code permettant l’injection) ne soit pas détecté par les anti-virus.

En utilisant ces méthodes de contournement il ne faut pas oublier que tout cela sera crypté grâce à un algorithme de cryptographie , par exemple le Triple DES

Un lien concernant le Triple DES sur Wikipedia :

https://fr.wikipedia.org/wiki/Triple_DES

Ce n’est pas tout !

Afin de rendre indétectable le plus longtemps possible leurs applications , les crypters sont équipés de fonctionnalités supplémentaires :

USG (Unique Stub Generator) : Cette méthode permets de rendre un executable très différent par rapport aux autres créer précédemment. (Par exemple chaque fichier sera à 98% différent).

Junk Code : Permets d’ajouter du code aléatoirement afin de rendre la détection encore plus compliquée , par exemple ajout de faux modules , fonctions et de commentaires dans l’application.

Malheureusement les crypters sont à la portée de tous sur internet ce tutoriel aura pour but de vous apprendre à de ne pas vous faire piéger , par exemple lorsque que vous téléchargez une application peu utilisée et peu fiable , la meilleure des choses est d’envoyer votre executable sur le site VirusTotal , qui scannera pour vous le fichier avec plus de 45 anti-virus !

https://www.virustotal.com

Cela embêtera fortement les créateurs de ces crypters , puisque les executables seront envoyés aux compagnies d’anti-virus qui par la suite analyseront cette application et sera beaucoup plus détectée !

J’espère que vous appréciez ce tutoriel , un petit partage nous pourrait nous soutenir. 😀

 

 

 

 

2 commentaires

Laisser un commentaire