Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Armadillo
Gast_Nautilus_*
Beitrag 21.11.2003, 08:28
Beitrag #1






Gäste
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).

Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.

In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.

Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?

ntl

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Gast_Nautilus_*
Beitrag 22.11.2003, 10:46
Beitrag #2






Gäste
@Skeeve

" Was willst du jetzt mit deiner Aussage beweisen? Das es Crypter gibt die von den AV-Programmen nicht gehandelt werden? Warum sollte man sich die Mühe machen einen statischen Armoredillo Unpacker zu schreiben wenn das Teil kaum eingesetzt wird? Und selbst wenn Unpacker dafür vorhanden wären, ein Malware-Programmierer der auch was drauf hat und nicht nur in fremden Code rumpatched um die Erkennung zu vermeiden, ein solcher Programmierer schafft es auch seinen eigenen Crypter zu schreiben."

Diesmal scheint die Sache aber anders zu sein:

Normalerweise war es relativ schwierig, einen "unbekannten Crypter/Packer" zu finden, den kein AV Programm durchleuchten kann. Und wenn man einen gefunden hatte, musste man ihn geheim halten, weil Kaspersky etc. sonst Dekompressionssupport in ihre Unpacking Engine einbauen.

Armadillo gibt es schon lange. Das Teil wird in zig Ratboards promoted und sogar als gecrackte Version zum Download angeboten. Benutzt wird es logischerweise auch. Trotzdem gibt es keinen Dekompressionssupport.

Dass Malwareprogrammierer Software undetected machen können, ist selbstverständlich. Dass aber jedes Script Kiddy dies nunmehr auf simpelste Weise mit fast jedem Trojaner tun kann, ist relativ neu. (In den letzten Jahren war es jedenfalls schwieriger.)

Der Beitrag wurde von Nautilus bearbeitet: 22.11.2003, 10:47
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Nautilus   Armadillo   21.11.2003, 08:28
- - fish25   Hatte Gladiator nicht auch in Bezug auf Lamecrypt ...   21.11.2003, 15:01
- - Gladiator   ZITAT(fish25 @ 21. November 2003, 15:00)Hatte...   21.11.2003, 19:30
- - Gladiator   @Nautilus Was Du mit Deinem Posting hier bezweckst...   21.11.2003, 19:53
- - IRON   ZITAT(Gladiator @ 21. November 2003, 19:29)Sc...   21.11.2003, 21:18
- - Gladiator   Ich begruende hier gar nichts - weil das Offtopic ...   21.11.2003, 21:23
- - IRON   ZITATIch begruende hier gar nichts - weil das Offt...   21.11.2003, 21:43
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 19:29)Sc...   21.11.2003, 21:53
- - Nautilus   Hallo Gladi, warum hast so schlechte Laune? Irgen...   21.11.2003, 22:13
- - Andreas Haak   >Kann Deine Emu Armadillo packen? Nö . >G...   21.11.2003, 22:21
- - Nautilus   @Seltsam 1. Danke für die Info. Scheint mir dan...   21.11.2003, 22:35
- - forge77   ZITATIrgendwie hab ich den Eindruck, dass in letzt...   21.11.2003, 22:42
- - Gladiator   ZITAT(forge77 @ 21. November 2003, 22:41)ZITA...   21.11.2003, 22:49
- - Andreas Haak   ZITAT(forge77 @ 21. November 2003, 22:41)Wo z...   21.11.2003, 22:51
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 22:48)ZI...   21.11.2003, 22:52
- - Gladiator   Anmerkung: Eine Sandbox fungiert als eine Art ...   21.11.2003, 22:53
- - Nautilus   Norman unterscheidet ja zwischen einer sicheren Em...   21.11.2003, 22:54
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 22:53)EDI...   21.11.2003, 22:57
- - Nautilus   Nautilus hat gerade von Seltsam ganz viele Biester...   21.11.2003, 23:05
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 23:04)Nau...   21.11.2003, 23:09
- - Andreas Haak   ZITAT(Gladiator @ 21. November 2003, 23:08)Si...   21.11.2003, 23:11
- - Nautilus   Bist ja nur neidisch, weil Du keine Samples empfan...   21.11.2003, 23:12
- - Andreas Haak   Wieso mit Stefan? Hatten nicht mal Gladi und IRON ...   21.11.2003, 23:16
- - Gladiator   ZITAT(Nautilus @ 21. November 2003, 23:11)Bis...   21.11.2003, 23:37
- - IRON   baba Gladi, träum was Süßes von mir   21.11.2003, 23:48
- - SkeeveDCD   Hmm, und ich dachte das einzige was Haak emuliert ...   22.11.2003, 09:45
- - Andreas Haak   ZITAT(SkeeveDCD @ 22. November 2003, 09:44)Hm...   22.11.2003, 10:27
- - Nautilus   @Skeeve " Was willst du jetzt mit deiner Aus...   22.11.2003, 10:46
- - SkeeveDCD   ZITATBenutzt wird es logischerweise auch. Trotzdem...   22.11.2003, 10:50
- - Nautilus   @Skeeve Ich glaube, wir reden ein wenig aneinande...   22.11.2003, 10:58
- - JoJo   Ehm ich bin ja auch auf ein paar Seiten die sich h...   22.11.2003, 14:15
- - Gladiator   ZITAT(Nautilus @ 22. November 2003, 10:57)Ich...   22.11.2003, 14:21
- - Andreas Haak   ZITAT(Gladiator @ 22. November 2003, 14:20)We...   22.11.2003, 14:40
- - Nautilus   @Gladi "Und WAS BITTESCHOEN erhoffst Du Dir ...   22.11.2003, 14:58
- - Gladiator   ZITAT(Andreas Haak @ 22. November 2003, 14:39...   22.11.2003, 15:12
- - SkeeveDCD   ZITATKann es sein, dass Du nur sauer bist, weil Du...   22.11.2003, 15:18
- - Andreas Haak   ZITAT(Gladiator @ 22. November 2003, 15:11)ZI...   22.11.2003, 15:20
- - SkeeveDCD   ZITATWann gibts a² ? 15.11 oder so... Aber er hat...   22.11.2003, 15:21
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:20)15...   22.11.2003, 15:24
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:17)Er...   22.11.2003, 15:42
- - SkeeveDCD   Na ich weiss nicht, wenn du Kaffee machst kann man...   22.11.2003, 15:51
- - Gladiator   ZITAT(SkeeveDCD @ 22. November 2003, 15:50)Na...   22.11.2003, 15:56
- - Nautilus   @JoJo "Also nur weil ein paar reverse engene...   22.11.2003, 17:30
- - Gladiator   ZITAT(Nautilus @ 22. November 2003, 17:29)Fra...   22.11.2003, 17:34
- - Nautilus   Und wo wir schon dabei sind, JoJo zu ärgern: Bei D...   22.11.2003, 17:39
- - Nautilus   Hmm...wenn Gladi darf, darf ich dann auch? hxxp:/...   30.11.2003, 00:21
- - Rokop   In Anbetracht der Tatsache, daß diese Tuts von den...   30.11.2003, 00:31
- - Nautilus   Ich bekomme in letzter Zeit öfters Emails in Bezug...   14.12.2003, 21:28
- - Catweazle   Was willst du damit bezwecken ? Eine diskrte E-ma...   14.12.2003, 21:35
- - Nautilus   Gegenfrage: Was willst mit "99 Kriegsminister...   14.12.2003, 21:45
- - Gladiator   Ich nehme an es handelt sich hierbei um mehrere hu...   14.12.2003, 21:52
- - Nautilus   @Gladi Gerade von Dir hätte ich etwas mehr Humor (...   14.12.2003, 22:01
- - Gladiator   Es geht hier weder um mich, noch um AntiVir sonder...   14.12.2003, 22:12
- - Nautilus   @Gladi Dass mit dem wilders topic missverstehst D...   14.12.2003, 22:23
- - Gladiator   ZITAT(Nautilus @ 14. December 2003, 22:22)@Gl...   14.12.2003, 22:32
- - Andreas Haak   Läuft aber dann ins Leere sobald Verschlüsselung b...   14.12.2003, 22:34
- - Nautilus   Ahh ... sehr gut. Das klingt schon viel konstrukti...   14.12.2003, 22:38
- - Nautilus   @Seltsam Wenn Du die Armadillo-Signatur anschaust,...   14.12.2003, 22:39
- - Gladiator   Was ist eigentlich mit EWIDO weil du die auf Wilde...   14.12.2003, 22:40
- - Nautilus   @Gladi Ich glaube, dass ewido eine richtige Emulat...   14.12.2003, 22:44
- - tobias   ZITATIch glaube, dass ewido eine richtige Emulatio...   14.12.2003, 23:03
- - Nautilus   So hab ich es ja auch bei Wilders geschrieben ;-)   14.12.2003, 23:05
- - Andreas Haak   ZITAT(Nautilus @ 14. December 2003, 22:38)@Se...   14.12.2003, 23:16
- - fish25   ZITATIch hatte halt überlegt, dass Unpacking mit B...   14.12.2003, 23:21
- - Nautilus   Im Prinzip stimme ich Dir ja zu, Seltsam. Aber wen...   14.12.2003, 23:22
- - Andreas Haak   Dann kannst die Datei aber auch in einer Sandbox s...   14.12.2003, 23:40
- - Nautilus   Dann nehme ich halt ACProtect ... *fg*   14.12.2003, 23:47
- - JoJo   Ich versteh nicht warum man gleich mit nem wandlun...   14.12.2003, 23:55
- - SkeeveDCD   ZITATDas Problem ist das Du eine Verschlüsselung n...   15.12.2003, 07:54
- - Andreas Haak   RE: Armadillo   15.12.2003, 10:11
- - vampire   ZITAT(Andreas Haak @ 14. December 2003, 23:39...   15.12.2003, 17:39
- - IBK   In den neuen DAILYDATS von McAfee wurde gerade der...   25.06.2004, 22:12
- - Nautilus   Und was bedeutet das jetzt? Das der Packer (sinnlo...   25.06.2004, 22:25
- - IBK   Habs nicht ausprobiert. Versuchs einfach mal und s...   25.06.2004, 22:33
- - Nautilus   Scanning D:\Desktop\McAfeeEngine\TE...   25.06.2004, 22:38
- - IBK   Danke für die schnelle Antwort. Welche Parameter h...   25.06.2004, 23:05
- - Nautilus   D:\Desktop\McAfeeEngine\Scan.exe te...   25.06.2004, 23:07
- - IBK   Versuch bitte mal mit folgender Befehlszeile (aus ...   25.06.2004, 23:12
- - Nautilus   Options: TESTDIR\*.* /RPTALL /!SERVER /MA...   25.06.2004, 23:23
- - IBK   ja...   25.06.2004, 23:26
- - Joerg   Was bewirkt der genau?   26.06.2004, 08:01
- - Nautilus   @Joerg Ich habe hier mal einige Tests mit dem Par...   30.06.2004, 07:04

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 18.06.2024, 17:01
Powered By IP.Board © 2024  IPS, Inc.
Licensed to: Rokop Security
Impressum