 Identifikation von Packern, OPCode Filter, etc. |
Willkommen, Gast ( Anmelden | Registrierung )
| Gast_Nautilus_* |
 07.09.2003, 23:01
Beitrag
#1
|
|
Gäste  |
In der Regel benutzen die Unpacking Engines diverser AV Scanner offenbar statische Unpack-Routinen.
Gemeint ist Folgendes: Für jeden erkannten (!) Packer wird eine spezielle Dekompressionsroutine (und nicht etwa eine generische Emulation) verwendet. Ein Packer wird nur dann erkannt, wenn er durch eine Analyse des "decompression stub" (des Dekompressions-Abschnittes) eindeutig identifiziert werden kann. Die Identifikation erfolgt normalerweise durch einen Vergleich des zu scannenden Files mit verschiedenen decompression stub-Signaturen. Wird der decompression stub nur ein wenig verändert (etwa durch Hinzufügen von NOPs oder per OEP redirection), erkennt der AV Scanner den Packer nicht mehr, da die Signatur nicht mehr "passt". In Konsequenz wird die statische Dekompressionsroutine nicht verwendet, die zu scannende Datei wird nicht entpackt, der Trojaner/Wurm/Virus bleibt unerkannt. Die genaue Vorgehensweise betr. Hïnzufügen von NOPs bzw. OEP redirection ist inzwischen vielen VXern bekannt. Ich zoegere aber noch, dies auf unserer Webseite zu veröffentlichen, solange keine Abhilfe in Sicht ist. Daher die Frage, was man dagegen tun kann: @Gladi Du hast von OPCode Filtern gesprochen. Kannst Du das im Detail erklären? Wie funktioniert ein OPCode Filter genau? Welche Probleme existieren bei der Implementierung? @All Wie sieht es mit einer generischen Unpacking-Engine (Emulation) aus? Warum versagt bspw. die NOD32 Emulation bei Trojanern, die mit PKLite gepackt wurden und bei denen der OEP umgelenkt wurde? (Immerhin werden - zumindest einige - mit UPX gepackte Trojaner erkannt, bei denen NOPs hinzugefügt wurden .) Könnte man keine "intelligente" Unpack-Routine coden, die NOPs generell ignoriert und den Signaturvergleich (zum Erkennen des Packers) nicht nur direkt am OEP vornimmt, sondern zusätzlich prüft, ob kurz darauf (d.h. nach der Umleitung) ein "match" möglich ist? Gruss, Nautilus P.S.: Warum verfügen "normale" AV Scanner eigentlich nicht auch über einen Mem Scanner wie TDS oder TH? |
 |
 
|
 |
Antworten
|
08.09.2003, 17:15
Beitrag
#2
|
|
|
TH Entwickler  Gruppe: Virenexperten Beiträge: 75 Mitglied seit: 26.06.2003 Mitglieds-Nr.: 110 |
Nein, habe ich nicht. Beim letzten Rokop-test haben die ja aber in sache Packers nicht Gut abgesnitten: http://www.rokop-security.de/main/article.php?sid=473
|
|
|
|
Beiträge in diesem Thema
Nautilus Identifikation von Packern, OPCode Filter, etc. 07.09.2003, 23:01
Andreas Haak ZITAT@Gladi Du hast von OPCode Filtern gesprochen.... 08.09.2003, 07:14 Gladiator ZITAT(Andreas Haak @ 8. September 2003, 08:13... 08.09.2003, 09:20 blablabla was soll eigentlich ein opcode filter bringen? ich... 08.09.2003, 12:28 Gladiator Das war eigentlich jetzt sinnloses "blablabla... 08.09.2003, 12:34 blablabla immer diese geistreichen überaus intelligenten wor... 08.09.2003, 12:47 Andreas Haak ZITAT(blablabla @ 8. September 2003, 13:27)wa... 08.09.2003, 12:58 Gladiator Ist denn das wirklich so schwer zu verstehen ?
Pac... 08.09.2003, 13:01 blablabla ZITATIst denn das wirklich so schwer zu verstehen ... 08.09.2003, 13:12 SkeeveDCD Was ist eigentlich wenn man über den eigentlich Pa... 08.09.2003, 13:31 Gladiator Und wo fuehrt dann der Call oder der Jump in den F... 08.09.2003, 13:44 Gladiator ZITAT(blablabla @ 8. September 2003, 14:11)oh... 08.09.2003, 13:50 Andreas Haak ZITAT(Gladiator @ 8. September 2003, 14:43)Ab... 08.09.2003, 14:01 Magnus Packer-Erkennung ist kein Problem. TrojanHunter ma... 08.09.2003, 17:06 Andreas Haak Hast Du auch NOD32 mal untersucht, Magnus? 08.09.2003, 17:09 Gladiator ZITAT(Magnus @ 8. September 2003, 18:05)Packe... 08.09.2003, 17:14 Andreas Haak ZITAT(Gladiator @ 8. September 2003, 18:13)Sc... 08.09.2003, 17:27 Andreas Haak ZITAT(Magnus @ 8. September 2003, 18:14)Nein,... 08.09.2003, 17:31 Magnus Warum soll ich denn glauben das NOD Emu-Unpacking-... 08.09.2003, 17:32 Andreas Haak ZITAT(Magnus @ 8. September 2003, 18:31)Warum... 08.09.2003, 17:34 Magnus Also doch nicht Emulation sondern Statische Entpac... 08.09.2003, 17:36 Gladiator ZITAT(Andreas Haak @ 8. September 2003, 18:26... 08.09.2003, 17:38 Andreas Haak ZITAT(Gladiator @ 8. September 2003, 18:37)Ab... 08.09.2003, 17:49 Andreas Haak ZITAT(Magnus @ 8. September 2003, 18:35)Also ... 08.09.2003, 17:52 Catweazle ....das gibt noch ne heiße Diskusion heute Nacht ... 08.09.2003, 18:02 Andreas Haak ZITAT(Catweazle @ 8. September 2003, 19:01)..... 08.09.2003, 18:11 SkeeveDCD Also bei mir entpackt NOD32 2.0 mit /AH nur Standa... 08.09.2003, 18:43 Nautilus 1.
Hmm...falls eine Emu zu langsam fuer den ... 08.09.2003, 20:39 forge77 ZITATIMHO grenzt das "Verstecken" der Ad... 08.09.2003, 23:46 Rokop Ich habe bereits an zwei Stellen angeregt, einen d... 08.09.2003, 23:54 Andreas Haak ZITATIMHO grenzt das "Verstecken" der Ad... 09.09.2003, 07:03 Andreas Haak ZITAT(Rokop @ 9. September 2003, 00:53)Ich ha... 09.09.2003, 07:09 SkeeveDCD Nach den Testergebnissen kann man ja wohl kaum noc... 09.09.2003, 08:12 Andreas Haak ZITATdie haben einfach einen etwas flexibleren UPX... 09.09.2003, 09:23 SkeeveDCD Ja, 30% sind Schwachsinn, du hast Recht... 09.09.2003, 10:36 Gladiator ganz zu schweigen von polymorphen Viren......
ACG... 09.09.2003, 10:51 Andreas Haak ZITAT(Gladiator @ 9. September 2003, 11:50)Ko... 09.09.2003, 11:27 Andreas Haak ZITAT(SkeeveDCD @ 9. September 2003, 11:35)Ja... 09.09.2003, 11:29 Gladiator ZITAT(Andreas Haak @ 9. September 2003, 12:26... 09.09.2003, 11:50 SkeeveDCD ZITATImmerhin 30% mehr als einige andere Programme... 09.09.2003, 11:54 Andreas Haak ZITAT(Gladiator @ 9. September 2003, 12:49)ZI... 09.09.2003, 11:54 Andreas Haak >Du meinst es sind 30% von dem was KAV, RAV ode... 09.09.2003, 12:07 Nautilus Auch wenn es natürlich Spass macht, Seltsam zu ärg... 09.09.2003, 13:32 Andreas Haak >Auch wenn es natürlich Spass macht, Seltsam zu... 09.09.2003, 13:40 forge77 ZITATBitDefender und Co. benutzen String Signature... 09.09.2003, 14:23 SkeeveDCD ZITAT... finde ich, dass die AH von NOD32 einen de... 09.09.2003, 14:24 Andreas Haak >Wie wir anhand der kurzen Tests bereits festst... 09.09.2003, 14:43 forge77 ZITATUnd warum sollte ein Generic Unpacking fuer V... 09.09.2003, 14:47 Andreas Haak ZITAT(forge77 @ 9. September 2003, 15:46)Das ... 09.09.2003, 14:50 forge77 Och menno... 09.09.2003, 14:51 SkeeveDCD
Schoen, und wie will AH das Decompilieren anstel... 09.09.2003, 15:14 Andreas Haak >Abgesehen davon, wer Malware mit Delphi oder V... 09.09.2003, 15:27 SkeeveDCD ZITATASPack verdient keinerlei Beachtung ... ist D... 09.09.2003, 15:47 Andreas Haak >Nochmal: was nuetzt da einen der Decompiler fu... 09.09.2003, 16:05 Nautilus Ich hab die obigen Testergebnisse noch um F-Secure... 09.09.2003, 16:19 Andreas Haak ZITAT(Nautilus @ 9. September 2003, 17:18)(Au... 09.09.2003, 16:21 SkeeveDCD ZITATAhja - daher auch der Vorschlag Generic Unpac... 09.09.2003, 16:52 Andreas Haak >Da hat einer das Prinzip der Code Emulation ni... 09.09.2003, 17:08 SkeeveDCD ZITATBTW:
Bei der VHM akzeptieren sie Drogensüchtl... 09.09.2003, 17:54 Nautilus Bitte hier ( http://www.rokop-security.de/board/in... 09.09.2003, 17:59 Andreas Haak >Nicht von dir auf andere schliessen. Du bist s... 09.09.2003, 18:06 JoJo sach mal woher kennst du die denn alle ? Warst du ... 09.09.2003, 19:11 Andreas Haak ZITAT(JoJo @ 9. September 2003, 20:10)sach ma... 09.09.2003, 19:17 Nautilus Hab jetzt (auf Seite 2 des Threads) auch noch die ... 11.09.2003, 16:26 JoJo @Nautilus:
Hast du mal andere Komprimierungsstufen... 11.09.2003, 17:24 Nautilus @JoJo Ich hatte kürzlich mit Gavin eine aufschluss... 11.09.2003, 17:33 forge77 @JoJo
ZITATvielleicht veröffentliche ich mal ein p... 11.09.2003, 17:36 Nautilus Ach ja... und RAV 8 erkennt übrigens 0 von 11 Samp... 11.09.2003, 17:51
wizard Ich frag' mich, was für einen Sinn es überhaup... 11.09.2003, 20:54 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 16.06.2024, 14:09 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment