http://news.zdnet.fr/story/0,,t118-s2125117,00.html(...)
"Yahoo n'en est pas à son coup d'essai dans l'utilisation des logiciels libres. Le portail compte parmi ses collaborateurs certains des "gourous" des technologies open source. C'est le cas de Peter Wemm - un des concepteurs du système d'exploitation FreeBSD-, de Sander van Zoest - qui a oeuvré au développement du serveur web Apache et de Jeremy Zawodny - qui a développé la base de données MySQL. Cerise sur le gâteau, Rasmus Lerdorf qui est à l'origine du langage PHP se compte aussi par les salariés de la firme de Sunnyvale."
http://www.betanews.com/article.php3?sid=1035914045(...)
"There were a number of reasons for removing support for Windows 9x. As a number of you have noted, Windows 98 and 98 SE are getting a bit old now. It also relates heavily to the push to improve security in our products. Windows 9x is inherently insecure. It also takes quite a bit of dev time to make our products work well on Windows 9x. We determined that it would be more effective to spend that time making our products work better on the more advanced platforms."
http://www.betanews.com/article.php3?sid=1035914045(...)
"There were a number of reasons for removing support for Windows 9x. As a number of you have noted, Windows 98 and 98 SE are getting a bit old now. It also relates heavily to the push to improve security in our products. Windows 9x is inherently insecure. It also takes quite a bit of dev time to make our products work well on Windows 9x. We determined that it would be more effective to spend that time making our products work better on the more advanced platforms."
il ya les bases de données de finales
toutes les finales de 5 pieces sont parfaitement connues ( on sait en regardant ses tables le resultat et le nombre de coup pour aller au mat si la position est gagnante)
elle etait devellope au debut par Thomson ( le papa d'unix )
les table des finales de 6 pieces les bases sont tres grosses
7Go pour la plus grosses 2 Cavaliers contre Tour et Fou ( une positon de cette base necessite 253 coup non pas pour mate mais pour gagne un cavalier et tombe dans une finale gagnante la resolution a necessite une connection machine )
le probleme est la taille des bases , la puissances necessaires et la memoire vive
512Mo pour generer les tables de finales de 5 pieces
on peut trouvers ses tables ftp://ftp.cis.uab.edu/pub/hyatt/TB(...)
celle deja faite pour les finales de 6 pieces prennent 43Go
kramnik a quand craqué un peu la
il a anbandonné dans la 6éme partie alors que la position était nulle ( c'était aussi arrive Kaparov dans son match cont Deep-Blue )
par contre pourquoi un ordinateur avec seulement deux processeurs
cette version peut foncionner avec un ordi a 16 processeur
le prochain match sera Kasparov-Deep-junior
il y a aussi le devellopement de brututs par chessbase quis emble interessant
il existe winux mais bon il faut le telecharge le le numero 6 de 29alab decompresser et ensuite j'ais pas trop compris si on ne devait pas avoir besoin de wine ou de vmware pour la premiere infection
29alab semble envoyer leur virus aux editeurs d'antivirus
le plus drole est que si menace il y a ce serait plutot pour windows car avec un encrypteur metamorphe on peut rendre de nouveaux indetectable par les antivirus tout virus windows
quand au virus metamorphe pour linux il semble qu'il ait besoin d'un compilateur ou d'un assembleur
personnellement j'ai deja teste pengaol et il marche tres bien sous linux
de plus un gentil mandrakien avait fait une version precompile simple a installe (elle ne marche plus depuis peu arghhhhhhhhhh)
sinon il y a de l'aide sur lea qui doit permetre
d'installer peng
ce qui est interessant est de voir qu'aol essaye de ne plus dependre de microsoft
par exemple mozilla ou netscape je ne sais plus est utilise pour compuserve
la suite sera peut etre que le navigateur par defaut d'aol sera autre que internet explorer
et permetra que moins de pages soit IE only
d'abord c'est ne pas une beta mais seulement le début et donc seulement la création du nouveau current
En effet je pense que la verification que le programmes sont compatible avec gcc3.2 va etre longue
donc pour l'instant il y a la base Xfree et kde compile avec gcc3.2
sinon pour gnome le probleme vient de freetype et
pango
personnellement j'ais reussi a insttaller gnome2.0.1 sur une 8.1
</troll> il est beaucoup plus rapide que KDE3.0.1
<troll>
tu oublie http://gallica.bnf.fr(...) ou l'on peut consulter telcharger de livres libres de droit ( 70 an apres la mort de l'auteur )
d'accord c'est fait avec un scanner mais c'est déja ca
c'est justement ce que fait garnome il te manque un truc il va le chercher sur le site de gnome
et donc pas besoin de gestion de dépendance puisque c'est fait par le programme
il ne marche qu'avec 2.0.1 pour gnome ( j'ai pas teste les autres )
donc a tester
il semble plutôt que Dell veut faire pression sur microsoft pour baisser les prix des licences
De plus il proposeront leurs modéles au même prix avec ou sans os donc ca n'a aucun interet
"N-series PCs will cost the same as PCs that ship with Windows, a Dell representative said. "
le ministère de la culture a commencé la migration de ses serveurs sous linux (Red hat)début 2000 (les tests avait commencé en 1999)
depuis ils sont passé sous mandrake
oracle n'avait pas certifié mandrakepour l'utilisation de ses produits
réponse du ministére
soit mandrake est certifié soit on n'utilise plus oracle
je me suis trompe c'est elfecrypt ( un encrypteur de virus polymorphe fait par benny du groupe29A) qui contient les referenece aux differentes versions de la glibc
le groupe 29a lab est un groupe de hacker qui ecrivent des virus mais ne contamine personne , d'apres ce que j'ais lu
le virus aurait été envoyé au boite d'antivirus
de plus la version précédente ( qui n'infectait que windows ) est disponible sur le web
le premier virus multios ets WINUX du même 29A aussi disponible sur le web
autre détilas c'est un virus métaphormic donc le programme de recherche de virus poly ne marche pas en effet
ceux ci utilise un encrypteur décrypteur donc ont une zone fixe
alors que les virus métamorphic n'ont pas de d'encrypteur/décryteur il utilise de substitution
(il remplace des instruction en assembleur par d'autrez é quivalente)
le dnager du fait qu'il y a des compilo sous linux (source article hunting metamorphism )
d'ailleurs en regardant winux avec un éditeur hexadécimale il avait desd reference a la glibc m
( il ya avait toutes les differentes version des glibc de redhat)
faut que je trouve un desassembleur genre windasm mais pour linux
http://vx.netlux.org/cgi-bin/acc?a=1&p=29a/29a-6.zip(...)
voila l'adresse du numéro 6 du zine 29A
avec winux le premier virus multiplatforme
methaphorm l'ancêtre du virus actuel source et éxécutable ( en .EXE désolé ) compris
l'article hunting metapohism virus de symantec
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;; ---------------------- ;;
;; * Win32.MetaPHOR v1B * ;;
;; ---------------------- ;;
;; ;;
;; Metamorphic Permutating High-Obfuscating Reassembler ;;
;; ;;
;; Coded by The Mental Driller/29A ;;
;; ;;
;; ;;
;; I proudly present my very first metamorphic virus (in its version 1.1). ;;
;; ;;
;; This virus is only code. No tables, no indirect jumps, etc. etc. It ;;
;; doesn't uses the stack to construct strings, executable code or data: ;;
;; what I do is a reservation of 3'5 Mb of data (more or less) with ;;
;; VirtualAlloc and then use the decryptor to copy the decrypted virus there ;;
;; (or unencrypted, since it has a probability of 1/16 of being unencrypted, ;;
;; so the decryptor in that cases is in fact a copy routine). The reserved ;;
;; memory is organized in sections (as if it were a PE) where I do all the ;;
;; operations. VirtualAlloc will be retrieved by the decryptor if it's not ;;
;; imported by the host, and the host must import GetModuleHandleA/W and ;;
;; GetProcAddress to be infected. This functions will be used by the virus ;;
;; to get the needed APIs. ;;
;; ;;
;; The type of metamorphism followed is what I call the "accordion model": ;;
;; disassembly/depermutation -> shrinking -> permutation -> expansion -> ;;
;; -> reassembly, so the code can be bigger or smaller than the previous ;;
;; generation. ;;
;; ;;
;; The metamorphism in this virus is complete: even the result of the ;;
;; shrinking can't be used for detection, because is different in every ;;
;; generation. That's the point where I introduce a new concept: dimensions ;;
;; in recoding (I mean, code that only get shrinked on two or more ;;
;; generations, but not in the immediate following; this would be the ;;
;; "third" dimension). This makes the disassembly to have always a different ;;
;; shape from generation to generation, but, when stabilized, never growing ;;
;; uncontrolablely. ;;
;; ;;
;; I have added a genetic algorithm in certain parts of the code to make it ;;
;; evolve to the best shape (the one that evades more detections, the action ;;
;; more stealthy, etc. etc.). It's a simple algorithm based on weights, so ;;
;; don't expect artificial intelligence :) (well, maybe in the future :P). ;;
;; ;;
;; I tried to comment the code as cleanly as possible, but well... :) ;;
;; ;;
;; If the code isn't optimized (in fact, it's NOT optimized), it's because: ;;
;; ;;
;; 1) It's more clear to see the code that the internal engine will deal ;;
;; with (for example, many times I use SUB ECX,1 instead of DEC ECX, ;;
;; although the disassembler can deal with both opcodes). ;;
;; 2) What's the point for optimizing the code when in next generation it ;;
;; will be completely unoptimized/garbled? :) ;;
;; 3) The obfuscation in next generations is bigger (MUCH bigger). ;;
;; ;;
;; ;;
;; General sheet of characteristics: ;;
;; ;;
;; Name of the virus.............: MetaPHOR v1.0 ;;
;; Author........................: The Mental Driller / 29A ;;
;; Size..........................: On 1st generation: 32828 bytes ;;
;; On next ones: variable, but not less ;;
;; than 64 Kb ;;
;; Targets.......................: Win32 PE EXEs, supporting three types ;;
;; of infection: mid-infection (when ;;
;; .reloc is present), at last section ;;
;; but using the padding space between ;;
;; sections to store the decrytor/mover, ;;
;; or all at last section. ;;
;; It infects EXEs with a 50% of prob. in ;;
;; current directory and going up the ;;
;; directory three by three levels. It ;;
;; also retrieves the drive strings on ;;
;; the system and makes the same if they ;;
;; are fixed or network drives. ;;
;; It uses EPO patching ExitProcess. ;;
;; Stealth action................: It doesn't enter in directories that ;;
;; begin with 'W' (avoiding the windows ;;
;; directory) and doesn't infect files ;;
;; with a 'V' in the name or beginning ;;
;; with the letters 'PA', 'F-', 'SC', ;;
;; 'DR' or 'NO'. ;;
;; Genetic algorithm in the selection of ;;
;; the infection methods, the creation of ;;
;; of the decryptor and some more things ;;
;; to make it more resistant or more ;;
;; difficult to detect due to "evolution".;;
;; Encrypted.....................: Sometimes not. ;;
;; Polymorphic...................: Yes ;;
;; Metamorphic...................: Yes ;;
;; Payloads......................: 1) A message box on 17h March, June, ;;
;; September and December with a ;;
;; metamorphic message :). ;;
;; 2) On 14h May and on hebrew systems it ;;
;; displays a messagebox with the text: ;;
;; "Free Palestine!" ;;
;; Anti-debugging................: Implicit ;;
;; Release history...............: ;;
;; v1.0: 11-02-2002 (I just finished commenting the source code ;;
;; and correcting the bugs I found doing that). ;;
;; v1.1: 14-02-2002 ;;
;; ;;
;; ;;
;; To do in next versions: ;;
;; ;;
;; 1) ELF infection: I only have to add APIs and call one or another ;;
;; depending on the operating system, and add the ELF infection algorithm. ;;
;; 2) Reassembly for different processors: IA64, Alpha, PowerPC, etc. I only ;;
;; have to code a new disassembler/reassembler, since for every internal ;;
;; operation I use a self-defined pseudo-assembler with its own opcodes. ;;
;; 3) Plug-in injector ;;
;; 4) More things (of course!! :). ;;
;; ;;
;; ;;
; ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
; ³ Win32/Linux.Winux ³
; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
; ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
; ³ by Benny/29A ³
; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
;
;
;
;Heya ppl,
;
;lemme introduce you my first multi-platform virus, the worlds first
;PE/ELF infector. The idea of first Win32/Linux virus came to my head
;when I was learning Linux viruses. I'm not Linux expert, I couldn't
;code for Linux in assembler - I am familiar with Intel syntax, AT&T
;is a bit chaotic for me. However, I decided to learn more about Linux
;coding and left my place of newbee. I was always fascinated of Linux
;scene and low-level programming under Linux but I never knew much
;about it.
;
;I wanted to code virus for Linux and learn from it. But becoz there
;already exist some viruses and I knew I won't be able to bring any
;new technique, I decided to code something unique -> Win32/Linux
;compatible multi-platform infector. And here you can find the result
;of my trying. Now, after all, I've got some valuable experiencez and
;I'm glad for that. Coding/debugging in Linux was hard for me, but I
;had fun and I learned a lot. And that's the most important.
;
;
;ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
;³ Technical details ³
;ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
;
;The virus itself ain't much. It's not big, it's not complicated,
;it's not resident nor polymorphic.. I wanted to be the virus like
;this. Just to show something new, show that something never seen
;before is possible and how can it be coded.
;
;The virus is devided to two partz: Win32 part and Linux part. Every
;part is able to infect both of PE and ELF filez. This source is
;designed to be compiled by TASM under Win32, nevertheless it can
;infect Linux programz and so then it will be able to be executed
;in Linux environment (and there it is also able to infect
;Win32 part, which can be executed in Win32 environment etc etc etc...).
;
;Win32 part:
;ÄÄÄÄÄÄÄÄÄÄÄÄ
;
;Virus infects PE filez by overwritting .reloc section, so it does not
;enlarge host file size. Filez that don't have .reloc section, big
;enough for virus code, can't be infected (explorer.exe can be used to
;test infection capabilities). It can pass thru directory tree by well
;known "dotdot" method ("cd ..") and there infects all PE and ELF
;filez - virus does not check extensionz, it analyses victim's internal
;format and then decidez whata do.
;When all filez are passed and/or infected virus will execute host code.
;
;Linux part:
;ÄÄÄÄÄÄÄÄÄÄÄÄ
;
;Virus infects ELF filez by overwritting host code by viral code. The
;original host code is stored at the end of host file. It can infect
;all filez (both of PE and ELF) in current directory, also without
;checking file extensionz.
;When all filez are passed and/or infected virus will restore host code
;(overwrite itself by original host code) and execute it.
;
;
;Well, you are probably asking how it is possible that virus can infect Win32
;appz from Linux environment and Linux appz from Win32 environment. Yeah,
;many ppl already asked me. For instance, under some emulator. There exist
;some emulatorz (win4lin, wine etc..) which are often used to execute Win32
;appz under Linux. Also, I know many ppl that have partition specially
;reserved for CD burning, where they store both of Win32 and Linux programz.
;Virus executed from there has no problemz with infection, heh ;)
;
;
;Does this virus work? Heh, sure it does. I tested it on Win98, Win2000 and
;RedHat 7.0, and it worked without any problemz. However, if you will find
;any problemz, don't by shy and send me a bug report ;-P
;
on trouve se document dans le zine de 29A le numéro 6
le compilateur par défaut sera 2.95.3 et pas 3.1
car pour l'instanct le noyau n'est pas gcc-3 compliant (dixit le changelog )
par contre celui-ci sera disponible dans extra
a moins que cela ne change d'ici la ?
certes mais pourquoi ne pas parlé du trio emacs-auctex-xdvi
le texte est tapé avec emacs et pour voir le résultat
Ctrl-x Ctrl-s Ctrl-c Ctrl-f directement avec xdvi
le texte doit etre déja enregistré avec l'extension tex et
le dvi crée avec Ctrl-c Ctrl-f
ou encore de la coloration syntaxique de certains éditeurs de texte
je sais bien que c'est un article pour débutant mais je trouve cela
tellement pratique
# Re: L'avenir du futuroscope de Poitiers
Posté par modr12 . En réponse à la dépêche L'avenir du futuroscope de Poitiers. Évalué à 1.
naturoscope a du plomb dans l'aile
le rachat par amory a été un echec totale et donc obligé de racheté le futuroscope
# Re: Yahoo! adopte php et son créateur
Posté par modr12 . En réponse à la dépêche Yahoo! adopte php. Évalué à 1.
"Yahoo n'en est pas à son coup d'essai dans l'utilisation des logiciels libres. Le portail compte parmi ses collaborateurs certains des "gourous" des technologies open source. C'est le cas de Peter Wemm - un des concepteurs du système d'exploitation FreeBSD-, de Sander van Zoest - qui a oeuvré au développement du serveur web Apache et de Jeremy Zawodny - qui a développé la base de données MySQL. Cerise sur le gâteau, Rasmus Lerdorf qui est à l'origine du langage PHP se compte aussi par les salariés de la firme de Sunnyvale."
# présentation Eucd + opinion
Posté par modr12 . En réponse à la dépêche Annonce du projet de loi visant à transposer l'EUCD. Évalué à 1.
[^] # a part que microsoft avoue encore avoir vendues des produits peu securise
Posté par modr12 . En réponse à la dépêche Microsoft voudrait lier un peu plus Office et Windows. Évalué à 1.
"There were a number of reasons for removing support for Windows 9x. As a number of you have noted, Windows 98 and 98 SE are getting a bit old now. It also relates heavily to the push to improve security in our products. Windows 9x is inherently insecure. It also takes quite a bit of dev time to make our products work well on Windows 9x. We determined that it would be more effective to spend that time making our products work better on the more advanced platforms."
[^] # microsoft confirme que win98 n'est pas facilement securisable
Posté par modr12 . En réponse à la dépêche Microsoft voudrait lier un peu plus Office et Windows. Évalué à 1.
"There were a number of reasons for removing support for Windows 9x. As a number of you have noted, Windows 98 and 98 SE are getting a bit old now. It also relates heavily to the push to improve security in our products. Windows 9x is inherently insecure. It also takes quite a bit of dev time to make our products work well on Windows 9x. We determined that it would be more effective to spend that time making our products work better on the more advanced platforms."
# cd de free
Posté par modr12 . En réponse à la dépêche Les logiciels grand public pour Windows: tour d'horizon. Évalué à 1.
[^] # Re: Le Googlisme
Posté par modr12 . En réponse à la dépêche Le Googlisme. Évalué à 1.
[^] # erreur
Posté par modr12 . En réponse à la dépêche Deep Fritz et Vladimir Kramnik ex-aequo. Évalué à 1.
[^] # Re: Fort... très fortS...
Posté par modr12 . En réponse à la dépêche Deep Fritz et Vladimir Kramnik ex-aequo. Évalué à 1.
toutes les finales de 5 pieces sont parfaitement connues ( on sait en regardant ses tables le resultat et le nombre de coup pour aller au mat si la position est gagnante)
elle etait devellope au debut par Thomson ( le papa d'unix )
les table des finales de 6 pieces les bases sont tres grosses
7Go pour la plus grosses 2 Cavaliers contre Tour et Fou ( une positon de cette base necessite 253 coup non pas pour mate mais pour gagne un cavalier et tombe dans une finale gagnante la resolution a necessite une connection machine )
le probleme est la taille des bases , la puissances necessaires et la memoire vive
512Mo pour generer les tables de finales de 5 pieces
on peut trouvers ses tables
ftp://ftp.cis.uab.edu/pub/hyatt/TB(...)
celle deja faite pour les finales de 6 pieces prennent 43Go
[^] # Re: Fort... très fortS...
Posté par modr12 . En réponse à la dépêche Deep Fritz et Vladimir Kramnik ex-aequo. Évalué à 1.
il a anbandonné dans la 6éme partie alors que la position était nulle ( c'était aussi arrive Kaparov dans son match cont Deep-Blue )
par contre pourquoi un ordinateur avec seulement deux processeurs
cette version peut foncionner avec un ordi a 16 processeur
le prochain match sera Kasparov-Deep-junior
il y a aussi le devellopement de brututs par chessbase quis emble interessant
[^] # Re: A propos d'Hotmail
Posté par modr12 . En réponse à la dépêche Microsoft va proposer Passport sur les serveurs Linux. Évalué à 1.
on m'a raconte qu'on pouvait facilement piquer le compte hotmail de quelqu'un changer le mot de passe
[^] # Re: Le nombre de scripts virus et chevaux de troye ne veux rien dire...
Posté par modr12 . En réponse à la dépêche 170 virus et chevaux de Troie pour Linux. Évalué à 2.
29alab semble envoyer leur virus aux editeurs d'antivirus
le plus drole est que si menace il y a ce serait plutot pour windows car avec un encrypteur metamorphe on peut rendre de nouveaux indetectable par les antivirus tout virus windows
quand au virus metamorphe pour linux il semble qu'il ait besoin d'un compilateur ou d'un assembleur
# boff
Posté par modr12 . En réponse à la dépêche Le premier PC AOL sans Windows. Évalué à 10.
de plus un gentil mandrakien avait fait une version precompile simple a installe (elle ne marche plus depuis peu arghhhhhhhhhh)
sinon il y a de l'aide sur lea qui doit permetre
d'installer peng
ce qui est interessant est de voir qu'aol essaye de ne plus dependre de microsoft
par exemple mozilla ou netscape je ne sais plus est utilise pour compuserve
la suite sera peut etre que le navigateur par defaut d'aol sera autre que internet explorer
et permetra que moins de pages soit IE only
# precisions
Posté par modr12 . En réponse à la dépêche slackware 9.0 beta. Évalué à 0.
En effet je pense que la verification que le programmes sont compatible avec gcc3.2 va etre longue
donc pour l'instant il y a la base Xfree et kde compile avec gcc3.2
sinon pour gnome le probleme vient de freetype et
pango
personnellement j'ais reussi a insttaller gnome2.0.1 sur une 8.1
</troll> il est beaucoup plus rapide que KDE3.0.1
<troll>
[^] # Re: classique
Posté par modr12 . En réponse à la dépêche Annuaires de livres ouverts en ligne. Évalué à 10.
d'accord c'est fait avec un scanner mais c'est déja ca
[^] # Garnome
Posté par modr12 . En réponse à la dépêche APT vs. RPM: Aucun des deux. Évalué à 1.
et donc pas besoin de gestion de dépendance puisque c'est fait par le programme
il ne marche qu'avec 2.0.1 pour gnome ( j'ai pas teste les autres )
donc a tester
# Oui ,mais
Posté par modr12 . En réponse à la dépêche Dell va proposer des PC sans Windows. Évalué à 10.
De plus il proposeront leurs modéles au même prix avec ou sans os donc ca n'a aucun interet
"N-series PCs will cost the same as PCs that ship with Windows, a Dell representative said. "
[^] # Re: Participation aux forums
Posté par modr12 . En réponse à la dépêche Libre et administration. Évalué à 10.
[^] # errare humanum est....
Posté par modr12 . En réponse à la dépêche Virus multiplate-formes Linux et Windows. Évalué à 0.
[^] # Re: Les editeurs d'antivirus on l'air impatients...
Posté par modr12 . En réponse à la dépêche Virus multiplate-formes Linux et Windows. Évalué à 2.
le virus aurait été envoyé au boite d'antivirus
de plus la version précédente ( qui n'infectait que windows ) est disponible sur le web
le premier virus multios ets WINUX du même 29A aussi disponible sur le web
autre détilas c'est un virus métaphormic donc le programme de recherche de virus poly ne marche pas en effet
ceux ci utilise un encrypteur décrypteur donc ont une zone fixe
alors que les virus métamorphic n'ont pas de d'encrypteur/décryteur il utilise de substitution
(il remplace des instruction en assembleur par d'autrez é quivalente)
le dnager du fait qu'il y a des compilo sous linux (source article hunting metamorphism )
d'ailleurs en regardant winux avec un éditeur hexadécimale il avait desd reference a la glibc m
( il ya avait toutes les differentes version des glibc de redhat)
faut que je trouve un desassembleur genre windasm mais pour linux
[^] # Re: maintenant la personne ayant ecrit ce virus (a lire le todo
Posté par modr12 . En réponse à la dépêche Virus multiplate-formes Linux et Windows. Évalué à 2.
voila l'adresse du numéro 6 du zine 29A
avec winux le premier virus multiplatforme
methaphorm l'ancêtre du virus actuel source et éxécutable ( en .EXE désolé ) compris
l'article hunting metapohism virus de symantec
[^] # maintenant la personne ayant ecrit ce virus (a lire le todo
Posté par modr12 . En réponse à la dépêche Virus multiplate-formes Linux et Windows. Évalué à 3.
;; ---------------------- ;;
;; * Win32.MetaPHOR v1B * ;;
;; ---------------------- ;;
;; ;;
;; Metamorphic Permutating High-Obfuscating Reassembler ;;
;; ;;
;; Coded by The Mental Driller/29A ;;
;; ;;
;; ;;
;; I proudly present my very first metamorphic virus (in its version 1.1). ;;
;; ;;
;; This virus is only code. No tables, no indirect jumps, etc. etc. It ;;
;; doesn't uses the stack to construct strings, executable code or data: ;;
;; what I do is a reservation of 3'5 Mb of data (more or less) with ;;
;; VirtualAlloc and then use the decryptor to copy the decrypted virus there ;;
;; (or unencrypted, since it has a probability of 1/16 of being unencrypted, ;;
;; so the decryptor in that cases is in fact a copy routine). The reserved ;;
;; memory is organized in sections (as if it were a PE) where I do all the ;;
;; operations. VirtualAlloc will be retrieved by the decryptor if it's not ;;
;; imported by the host, and the host must import GetModuleHandleA/W and ;;
;; GetProcAddress to be infected. This functions will be used by the virus ;;
;; to get the needed APIs. ;;
;; ;;
;; The type of metamorphism followed is what I call the "accordion model": ;;
;; disassembly/depermutation -> shrinking -> permutation -> expansion -> ;;
;; -> reassembly, so the code can be bigger or smaller than the previous ;;
;; generation. ;;
;; ;;
;; The metamorphism in this virus is complete: even the result of the ;;
;; shrinking can't be used for detection, because is different in every ;;
;; generation. That's the point where I introduce a new concept: dimensions ;;
;; in recoding (I mean, code that only get shrinked on two or more ;;
;; generations, but not in the immediate following; this would be the ;;
;; "third" dimension). This makes the disassembly to have always a different ;;
;; shape from generation to generation, but, when stabilized, never growing ;;
;; uncontrolablely. ;;
;; ;;
;; I have added a genetic algorithm in certain parts of the code to make it ;;
;; evolve to the best shape (the one that evades more detections, the action ;;
;; more stealthy, etc. etc.). It's a simple algorithm based on weights, so ;;
;; don't expect artificial intelligence :) (well, maybe in the future :P). ;;
;; ;;
;; I tried to comment the code as cleanly as possible, but well... :) ;;
;; ;;
;; If the code isn't optimized (in fact, it's NOT optimized), it's because: ;;
;; ;;
;; 1) It's more clear to see the code that the internal engine will deal ;;
;; with (for example, many times I use SUB ECX,1 instead of DEC ECX, ;;
;; although the disassembler can deal with both opcodes). ;;
;; 2) What's the point for optimizing the code when in next generation it ;;
;; will be completely unoptimized/garbled? :) ;;
;; 3) The obfuscation in next generations is bigger (MUCH bigger). ;;
;; ;;
;; ;;
;; General sheet of characteristics: ;;
;; ;;
;; Name of the virus.............: MetaPHOR v1.0 ;;
;; Author........................: The Mental Driller / 29A ;;
;; Size..........................: On 1st generation: 32828 bytes ;;
;; On next ones: variable, but not less ;;
;; than 64 Kb ;;
;; Targets.......................: Win32 PE EXEs, supporting three types ;;
;; of infection: mid-infection (when ;;
;; .reloc is present), at last section ;;
;; but using the padding space between ;;
;; sections to store the decrytor/mover, ;;
;; or all at last section. ;;
;; It infects EXEs with a 50% of prob. in ;;
;; current directory and going up the ;;
;; directory three by three levels. It ;;
;; also retrieves the drive strings on ;;
;; the system and makes the same if they ;;
;; are fixed or network drives. ;;
;; It uses EPO patching ExitProcess. ;;
;; Stealth action................: It doesn't enter in directories that ;;
;; begin with 'W' (avoiding the windows ;;
;; directory) and doesn't infect files ;;
;; with a 'V' in the name or beginning ;;
;; with the letters 'PA', 'F-', 'SC', ;;
;; 'DR' or 'NO'. ;;
;; Genetic algorithm in the selection of ;;
;; the infection methods, the creation of ;;
;; of the decryptor and some more things ;;
;; to make it more resistant or more ;;
;; difficult to detect due to "evolution".;;
;; Encrypted.....................: Sometimes not. ;;
;; Polymorphic...................: Yes ;;
;; Metamorphic...................: Yes ;;
;; Payloads......................: 1) A message box on 17h March, June, ;;
;; September and December with a ;;
;; metamorphic message :). ;;
;; 2) On 14h May and on hebrew systems it ;;
;; displays a messagebox with the text: ;;
;; "Free Palestine!" ;;
;; Anti-debugging................: Implicit ;;
;; Release history...............: ;;
;; v1.0: 11-02-2002 (I just finished commenting the source code ;;
;; and correcting the bugs I found doing that). ;;
;; v1.1: 14-02-2002 ;;
;; ;;
;; ;;
;; To do in next versions: ;;
;; ;;
;; 1) ELF infection: I only have to add APIs and call one or another ;;
;; depending on the operating system, and add the ELF infection algorithm. ;;
;; 2) Reassembly for different processors: IA64, Alpha, PowerPC, etc. I only ;;
;; have to code a new disassembler/reassembler, since for every internal ;;
;; operation I use a self-defined pseudo-assembler with its own opcodes. ;;
;; 3) Plug-in injector ;;
;; 4) More things (of course!! :). ;;
;; ;;
;; ;;
# du même groupe 29A
Posté par modr12 . En réponse à la dépêche Virus multiplate-formes Linux et Windows. Évalué à 2.
; ³ Win32/Linux.Winux ³
; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
; ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
; ³ by Benny/29A ³
; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
;
;
;
;Heya ppl,
;
;lemme introduce you my first multi-platform virus, the worlds first
;PE/ELF infector. The idea of first Win32/Linux virus came to my head
;when I was learning Linux viruses. I'm not Linux expert, I couldn't
;code for Linux in assembler - I am familiar with Intel syntax, AT&T
;is a bit chaotic for me. However, I decided to learn more about Linux
;coding and left my place of newbee. I was always fascinated of Linux
;scene and low-level programming under Linux but I never knew much
;about it.
;
;I wanted to code virus for Linux and learn from it. But becoz there
;already exist some viruses and I knew I won't be able to bring any
;new technique, I decided to code something unique -> Win32/Linux
;compatible multi-platform infector. And here you can find the result
;of my trying. Now, after all, I've got some valuable experiencez and
;I'm glad for that. Coding/debugging in Linux was hard for me, but I
;had fun and I learned a lot. And that's the most important.
;
;
;ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
;³ Technical details ³
;ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
;
;The virus itself ain't much. It's not big, it's not complicated,
;it's not resident nor polymorphic.. I wanted to be the virus like
;this. Just to show something new, show that something never seen
;before is possible and how can it be coded.
;
;The virus is devided to two partz: Win32 part and Linux part. Every
;part is able to infect both of PE and ELF filez. This source is
;designed to be compiled by TASM under Win32, nevertheless it can
;infect Linux programz and so then it will be able to be executed
;in Linux environment (and there it is also able to infect
;Win32 part, which can be executed in Win32 environment etc etc etc...).
;
;Win32 part:
;ÄÄÄÄÄÄÄÄÄÄÄÄ
;
;Virus infects PE filez by overwritting .reloc section, so it does not
;enlarge host file size. Filez that don't have .reloc section, big
;enough for virus code, can't be infected (explorer.exe can be used to
;test infection capabilities). It can pass thru directory tree by well
;known "dotdot" method ("cd ..") and there infects all PE and ELF
;filez - virus does not check extensionz, it analyses victim's internal
;format and then decidez whata do.
;When all filez are passed and/or infected virus will execute host code.
;
;Linux part:
;ÄÄÄÄÄÄÄÄÄÄÄÄ
;
;Virus infects ELF filez by overwritting host code by viral code. The
;original host code is stored at the end of host file. It can infect
;all filez (both of PE and ELF) in current directory, also without
;checking file extensionz.
;When all filez are passed and/or infected virus will restore host code
;(overwrite itself by original host code) and execute it.
;
;
;Well, you are probably asking how it is possible that virus can infect Win32
;appz from Linux environment and Linux appz from Win32 environment. Yeah,
;many ppl already asked me. For instance, under some emulator. There exist
;some emulatorz (win4lin, wine etc..) which are often used to execute Win32
;appz under Linux. Also, I know many ppl that have partition specially
;reserved for CD burning, where they store both of Win32 and Linux programz.
;Virus executed from there has no problemz with infection, heh ;)
;
;
;Does this virus work? Heh, sure it does. I tested it on Win98, Win2000 and
;RedHat 7.0, and it worked without any problemz. However, if you will find
;any problemz, don't by shy and send me a bug report ;-P
;
on trouve se document dans le zine de 29A le numéro 6
# GCC2.95.3 et non 3.1
Posté par modr12 . En réponse à la dépêche RC1 de la Slackware 8.1.... Évalué à 2.
car pour l'instanct le noyau n'est pas gcc-3 compliant (dixit le changelog )
par contre celui-ci sera disponible dans extra
a moins que cela ne change d'ici la ?
[^] # Re: Latex
Posté par modr12 . En réponse à la dépêche GNU/Linuxmag. Évalué à 0.
le texte est tapé avec emacs et pour voir le résultat
Ctrl-x Ctrl-s Ctrl-c Ctrl-f directement avec xdvi
le texte doit etre déja enregistré avec l'extension tex et
le dvi crée avec Ctrl-c Ctrl-f
ou encore de la coloration syntaxique de certains éditeurs de texte
je sais bien que c'est un article pour débutant mais je trouve cela
tellement pratique