Armadillo |
Willkommen, Gast ( Anmelden | Registrierung )
Armadillo |
Gast_Nautilus_* |
21.11.2003, 08:28
Beitrag
#1
|
Gäste |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
Gast_Andreas Haak_* |
21.11.2003, 21:53
Beitrag
#2
|
Gäste |
ZITAT(Gladiator @ 21. November 2003, 19:29) Schoen dass Du es notwendig hast Dich auch noch mit zig verschiedenen Namen in einem Forum anzumelden Andreas. Ganz ganz schlecht Michael. Es gibt noch mehr Leute denen deine Prozentangaben da schleierhaft waren . Roman oder Bo können ja mal die IPs vergleichen . Ansonsten zum Thema LameCrypt - dem Kenner (oder ASM kundigen) offenbart sich der Scherz: QUELLTEXT lamecryp:004A0000 public start
lamecryp:004A0000 start proc near lamecryp:004A0000 pusha lamecryp:004A0001 pushfw lamecryp:004A0003 mov ebx, 62C00h lamecryp:004A0008 lamecryp:004A0008 loc_4A0008: ; CODE XREF: start+13j lamecryp:004A0008 xor ds:off_401000[ebx], 90h lamecryp:004A000F dec ebx lamecryp:004A0010 cmp ebx, 0FFFFFFFFh lamecryp:004A0013 jnz short loc_4A0008 lamecryp:004A0015 popfw lamecryp:004A0017 popa lamecryp:004A0018 mov eax, offset unk_463B28 lamecryp:004A001D jmp eax lamecryp:004A001D start endp lamecryp:004A001D lamecryp:004A001D lamecryp ends lamecryp:004A001D lamecryp:004A001D lamecryp:004A001D end start Der Beitrag wurde von Andreas Haak bearbeitet: 21.11.2003, 22:13 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.09.2024, 02:14 |