![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_Nautilus_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
![]() |
Gast_Nautilus_* |
![]()
Beitrag
#2
|
Gäste ![]() |
@Skeeve
" Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben." Diesmal scheint die Sache aber anders zu sein: Normalerweise war es relativ schwierig, einen "unbekannten Crypter/Packer" zu finden, den kein AV Programm durchleuchten kann. Und wenn man einen gefunden hatte, musste man ihn geheim halten, weil Kaspersky etc. sonst Dekompressionssupport in ihre Unpacking Engine einbauen. Armadillo gibt es schon lange. Das Teil wird in zig Ratboards promoted und sogar als gecrackte Version zum Download angeboten. Benutzt wird es logischerweise auch. Trotzdem gibt es keinen Dekompressionssupport. Dass Malwareprogrammierer Software undetected machen können, ist selbstverständlich. Dass aber jedes Script Kiddy dies nunmehr auf simpelste Weise mit fast jedem Trojaner tun kann, ist relativ neu. (In den letzten Jahren war es jedenfalls schwieriger.) Der Beitrag wurde von Nautilus bearbeitet: 22.11.2003, 10:47 |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 18.06.2024, 17:01 |