Identifikation von Packern, OPCode Filter, etc. |
Willkommen, Gast ( Anmelden | Registrierung )
Identifikation von Packern, OPCode Filter, etc. |
Gast_Nautilus_* |
07.09.2003, 23:01
Beitrag
#1
|
Gäste |
In der Regel benutzen die Unpacking Engines diverser AV Scanner offenbar statische Unpack-Routinen.
Gemeint ist Folgendes: Für jeden erkannten (!) Packer wird eine spezielle Dekompressionsroutine (und nicht etwa eine generische Emulation) verwendet. Ein Packer wird nur dann erkannt, wenn er durch eine Analyse des "decompression stub" (des Dekompressions-Abschnittes) eindeutig identifiziert werden kann. Die Identifikation erfolgt normalerweise durch einen Vergleich des zu scannenden Files mit verschiedenen decompression stub-Signaturen. Wird der decompression stub nur ein wenig verändert (etwa durch Hinzufügen von NOPs oder per OEP redirection), erkennt der AV Scanner den Packer nicht mehr, da die Signatur nicht mehr "passt". In Konsequenz wird die statische Dekompressionsroutine nicht verwendet, die zu scannende Datei wird nicht entpackt, der Trojaner/Wurm/Virus bleibt unerkannt. Die genaue Vorgehensweise betr. Hïnzufügen von NOPs bzw. OEP redirection ist inzwischen vielen VXern bekannt. Ich zoegere aber noch, dies auf unserer Webseite zu veröffentlichen, solange keine Abhilfe in Sicht ist. Daher die Frage, was man dagegen tun kann: @Gladi Du hast von OPCode Filtern gesprochen. Kannst Du das im Detail erklären? Wie funktioniert ein OPCode Filter genau? Welche Probleme existieren bei der Implementierung? @All Wie sieht es mit einer generischen Unpacking-Engine (Emulation) aus? Warum versagt bspw. die NOD32 Emulation bei Trojanern, die mit PKLite gepackt wurden und bei denen der OEP umgelenkt wurde? (Immerhin werden - zumindest einige - mit UPX gepackte Trojaner erkannt, bei denen NOPs hinzugefügt wurden .) Könnte man keine "intelligente" Unpack-Routine coden, die NOPs generell ignoriert und den Signaturvergleich (zum Erkennen des Packers) nicht nur direkt am OEP vornimmt, sondern zusätzlich prüft, ob kurz darauf (d.h. nach der Umleitung) ein "match" möglich ist? Gruss, Nautilus P.S.: Warum verfügen "normale" AV Scanner eigentlich nicht auch über einen Mem Scanner wie TDS oder TH? |
|
|
08.09.2003, 17:15
Beitrag
#2
|
|
TH Entwickler Gruppe: Virenexperten Beiträge: 75 Mitglied seit: 26.06.2003 Mitglieds-Nr.: 110 |
Nein, habe ich nicht. Beim letzten Rokop-test haben die ja aber in sache Packers nicht Gut abgesnitten: http://www.rokop-security.de/main/article.php?sid=473
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 16.06.2024, 14:09 |