Modification hexadécimale de fichier (édition hexadécimalienne)

  • Description : L’édition hexadécimale consiste à modifier directement le contenu binaire brut (le code hexadécimal) d’un fichier à l’aide d’un outil d’édition hexadécimal (comme HxD, ImHex, 010 Editor).

  • Mécanisme: Les passants peuvent utiliser l’édition hexadécimale sur des exécutables de triche () ou des bibliothèques () pour :.exe .dll

    • Modifier des chaînes ou identifiants spécifiques dans le fichier pour éviter des détections simples basées sur des chaînes dans les scanners mémoire ou les outils SS.

    • Tentez de modifier légèrement la structure du code pour modifier la valeur de hachage du fichier, en contournant potentiellement les listes de blocage basées sur les hachages (même si cela contourne rarement une détection robuste de signature).

    • Corrigez les vérifications anti-partage d’écran (par exemple, le code détectant AnyDesk et sort) ou modifiez les configurations embarquées.

  • Pourquoi les tricheurs l’utilisent : Principalement pour éviter la détection en modifiant la signature de contenu (hachage) du fichier ou en supprimant des chaînes facilement identifiables, ou parfois pour désactiver des mécanismes intégrés d’anti-triche/anti-partage d’écran dans la triche elle-même.

  • Détection:

    • Incompatibilité de hachage/vérification de signature : Toute modification du contenu binaire modifiera inévitablement le hachage cryptographique du fichier (MD5, SHA1, SHA256). Comparer le hachage du fichier suspect avec le hachage connu de la version légitime/originale (si disponible) révélera une falsification. Les outils de validation de signature de fichiers (comme le script de BACA ou ) rapportent un statut pour les fichiers légitimement signés qui ont été modifiés en hexadécimal après la signature. Les fichiers non signés qui ont été modifiés en hexadécimal resteront non signés, mais leur hachage différera de toute référence connue.Get-AuthenticodeSignature HashMismatch

    • Revue USN () : La modification directe du contenu du fichier génère généralement des événements comme , , ou potentiellement dans le journal USN, associés au fichier modifié en hexadécime. Trouver ces entrées coïncidant avec des échecs de vérification de signature ou d’autres indicateurs suspects renforce l’argument en faveur de l’édition hexadécimale.$UsnJrnlDATA_OVERWRITE | CLOSE DATA_EXTEND | CLOSE STREAM_CHANGE | CLOSE

    • Analyse manuelle (avancée) : Comparer le dump hexadécimal du fichier suspect à une version propre connue peut révéler les modifications exactes apportées.

PrécédentManipulation de l’horodatage (Timetomping)SuivantManipulation des attributs (lecture seule)

Mis à jour