Armadillo |
Willkommen, Gast ( Anmelden | Registrierung )
Armadillo |
Gast_Nautilus_* |
21.11.2003, 08:28
Beitrag
#1
|
Gäste |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
Gast_Nautilus_* |
14.12.2003, 22:38
Beitrag
#2
|
Gäste |
Ahh ... sehr gut. Das klingt schon viel konstruktiver. Ich hatte halt überlegt, dass Unpacking mit Breakpoints vielleicht für AT Scanner nicht sooo unakzeptabel ist, weil ja Trojaner (anders als Viren) nicht gleich den Computer zerstören. Das Ausführen eines Trojaners ist somit nicht gleich als Katastrophe anzusehen ... schliesslich gibt es sogar reine MemScanner wie BOClean. Man müsste halt irgendwie sicherstellen, dass der AT Scanner nicht beim normalen On Demand Scan als Malwareschleuder wirkt, sondern nur solche Files scannt die der User eh ausführen wollte (execution protection).
Gruss ntl |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.06.2024, 13:44 |