Armadillo Einstellungen

[Gast_Nautilus_*]

Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).

Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen.

In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten.

Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet?

ntl

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32

[fish25]

Hatte Gladiator nicht auch in Bezug auf Lamecrypt einen Entwicklungsstand von 70% gemeldet? *fg*

[Gast_Gladiator_*]

Hatte Gladiator nicht auch in Bezug auf Lamecrypt einen Entwicklungsstand von 70% gemeldet? *fg*

Schoen dass Du es notwendig hast Dich auch noch mit zig verschiedenen Namen in einem Forum anzumelden Andreas.

Wann erscheint uebrigens a² ?

[Gast_Gladiator_*]

@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft.
Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde.
Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird.

[Gast_IRON_*]

Schoen dass Du es notwendig hast Dich auch noch mit zig verschiedenen Namen in einem Forum anzumelden Andreas.

Magst du mal ein bissi begründen, wie du zu deinen leicht paranoiden Schlussfolgerungen kommst? *fg*
HINT: Ich heiße Ullrich, auch wenn ich gerade Buzzwords wie "bissi" und *fg* benutzte.

[Gast_Gladiator_*]

Ich begruende hier gar nichts - weil das Offtopic waere in diesem Thread.
Alleine aber Deine Reaktion und das Fish25 im selben Moment online ist wie Du das klaert die Sache auf. Weil Du hast definitiv nicht das Wissen was Fish25 auf Wilders an den Tag legt lieber Iron

Und das soll jetzt nicht heissen, dass ich es so verstanden haette als waerst _DU_ fish25. Ich kann mit meiner beminderten Analyse Gabe auch feststellen das dieser Satz im uebertragenden Sinne ironisch gemeint war.

[Gast_IRON_*]

Ich begruende hier gar nichts - weil das Offtopic waere in diesem Thread.

Ach nee! Aber du warst es doch, der den Verdacht aussprach und damit OFF TOPIC labertest. Feigling!

Alleine aber Deine Reaktion und das Fish25 im selben Moment online ist wie Du das klaert die Sache auf.

GRÖÖÖÖÖÖÖHL!!!!
Ist dir schon mal aufgefallen, dass ich in der Regel von 24 Stunden etwa 12-16 Stunden ununterbrochen online bin?
Was ist denn bitte damit bewiesen?

Weil Du hast definitiv nicht das Wissen was Fish25 auf Wilders an den Tag legt...

Mag sein. Ich weiß nicht, wer Fish25 ist und was er bei Wilders an den Tag legt. Ist auch völlig irrelevant.

Ich kann mit meiner beminderten Analyse Gabe auch feststellen das dieser Satz im uebertragenden Sinne ironisch gemeint war.

Fehlanzeige. Nichts war ironisch gemeint. Ich sprach eine Bitte aus, der du nicht nachkommen willst, weil du dich blamieren würdest.

[Gast_Andreas Haak_*]

Schoen dass Du es notwendig hast Dich auch noch mit zig verschiedenen Namen in einem Forum anzumelden Andreas.

Ganz ganz schlecht Michael. Es gibt noch mehr Leute denen deine Prozentangaben da schleierhaft waren .

Roman oder Bo können ja mal die IPs vergleichen .

Ansonsten zum Thema LameCrypt - dem Kenner (oder ASM kundigen) offenbart sich der Scherz:

QUELLTEXT

lamecryp:004A0000                 public start
lamecryp:004A0000 start           proc near
lamecryp:004A0000                 pusha
lamecryp:004A0001                 pushfw
lamecryp:004A0003                 mov     ebx, 62C00h
lamecryp:004A0008
lamecryp:004A0008 loc_4A0008:                            ; CODE XREF: start+13j
lamecryp:004A0008                 xor     ds:off_401000[ebx], 90h
lamecryp:004A000F                 dec     ebx
lamecryp:004A0010                 cmp     ebx, 0FFFFFFFFh
lamecryp:004A0013                 jnz     short loc_4A0008
lamecryp:004A0015                 popfw
lamecryp:004A0017                 popa
lamecryp:004A0018                 mov     eax, offset unk_463B28
lamecryp:004A001D                 jmp     eax
lamecryp:004A001D start           endp
lamecryp:004A001D
lamecryp:004A001D lamecryp        ends
lamecryp:004A001D
lamecryp:004A001D
lamecryp:004A001D                 end start

Der Beitrag wurde von Andreas Haak bearbeitet: 21.11.2003, 22:13

[Gast_Nautilus_*]

Hallo Gladi,

warum hast so schlechte Laune? Irgendwie hab ich den Eindruck, dass in letzter Zeit alle (nicht nur Du) immer miesmuffeliger, agressiver und/oder paranoider werden. Das finde ich schade.

Nun zu Deinen Statements:

"@Nautilus
Was Du mit Deinem Posting hier bezweckst ist mir raetzelhaft."

Ich wollte das Offensichtliche erreichen:

1.
Informieren (da die Info den RAT-Usern bekannt ist, kann IMHO kein Schaden mehr angerichtet werden, der nicht schon besteht)

2.
Lösungswege aufzeigen (= zusätzlichen Mem Scanner verwenden)

3.
Kompetente Leute nach weiteren Infos fragen (nämlich Dich, da Du Dir ja Armadillo offenbar schon mal aus der Nähe angeschaut hast -- ist es sooo schwer das Ding mit einer statischen Unpack-Routine in den Griff zu bekommen?)


"Wie waers wenn Du zum roten Telefon greifst und gleich mal in Moskau anrufst was der Sch.... soll dass noch nicht Armadillo integriert wurde."

Das habe ich schon mehrfach gemacht. Schon vor über einem Jahr. Samples wurden auch verschickt. Habe mich aber natürlich höflich ausgedrückt.

"Und ich sage Dir auch gleich das Eugene Dir sagen wird es steht zwar in der Taskliste - aber priority ZERO. Und sowas ist auch _NACHVOLLZIEHBAR_
Denn AV Firmen sind in erster Linie auch fuer Firmen verantwortlich, wo es darum geht das aktuelles ITW Zeugs sicher und zuverlaessig erkannt wird.
Und nicht dass eine Handvoll Backdoors zielsicher geflagt wird weil Armadillo entcrypted werden kann. Sowas kann man machen wenn der grosse sibirische Winter ausbricht und die Entwickler die Rechner und die Finger 24 h am Laufen lassen muessen damit es nicht kalt wird."

An Deinem Argument ist mit Sicherheit viel dran. Andererseits werben die AV Hersteller ja damit, dass sie nicht nur Viren-, sondern auch Trojanerschutz anbieten. Und dass Trojaner auch für Firmen von Relevanz sind, kann z.B. Valve bestätigen.

______

@Seltsam

1.
Kann Deine Emu Armadillo (derzeit schon) entpacken?

2.
Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)

3.
Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast? Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs verwenden möchte.


Gruss an alle,

Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 22:19

[Gast_Andreas Haak_*]

>Kann Deine Emu Armadillo packen?

Nö .

>Glaubst Du, dass eine Emu im Prinzip das Potential hat, auch schwierige kommerzielle
>Protectoren zu entpacken? (Bin insoweit auch auf die TDS-4 Emulation gespannt.)

Die letzten Gespräche die ich mit Wayne hatte (vor ein paar Wochen) hieß es noch sie werden mit Breakpoints entpacken - ähnlich wie GAV es z.B. bei ASPack gemacht hat. Ich bin jedenfalls gespannt auf die Emu. Ich erwarte aber eher nen Debugger der den Prozess im Single Step durch geht. Aber ich lass mich da überraschen .

>Könnte ich eventuell die Beast-Varianten haben, die Du Wayne geschickt hast?
>Wäre echt super, weil ich sie für eine besondere Sektion unseres neuen Testarchivs
>verwenden möchte.

Hab doch vorhin schon ne Mail geschickt mit den "Beast"ern . Ansonsten ... PM mit deiner Mail Addi an mich .

Der Beitrag wurde von Andreas Haak bearbeitet: 21.11.2003, 22:35

[Gast_Nautilus_*]

@Seltsam

1.
Danke für die Info. Scheint mir dann fast so zu sein, als hätte die Ära der Unpacking Engines ihr Ende erreicht. Neben Armadillo und Xtreme gibt es ja auch noch AC Protect, UltraProtect und SVK Protect (welche übrigens auch in unserem neuen Archiv vertreten sein werden -- siehe http://www.scheinsicherheit.netfirms.com/bewertungsbogen.htm ;-)

2.
Habe zwar eine freundliche Mail erhalten, die war aber von tataye ;-) Meine Mailadresse kommt daher noch mal per PM. Thanks!

ntl

[forge77]

Irgendwie hab ich den Eindruck, dass in letzter Zeit alle (nicht nur Du) immer miesmuffeliger, agressiver und/oder paranoider werden.

Muss am Wetter liegen...

Man müsste dort quasi den kompletten Kernel Mode emulieren - zu aufwendig für einen Packer. Und das würde auch eher in den Bereich Sandbox Scanning gehen. Kannst ja mal bei Norman anfragen .

Wo zieht man die Grenze zwischen Emulation und Sandbox?
Laut Norman basiert ihre Sandbox ja auf Emulation... was hat also eine 'richtge' Sandbox zusätzlich zur Emulation?

Ist die AH von Nod32 2 "nur" Emulator oder "schon" Sandbox...? Oder ist es ganz anders...?

Der Beitrag wurde von forge77 bearbeitet: 21.11.2003, 22:43

[Gast_Gladiator_*]

Man müsste dort quasi den kompletten Kernel Mode emulieren - zu aufwendig für einen Packer. Und das würde auch eher in den Bereich Sandbox Scanning gehen.

Bloedsinn. Mann muss nur Win32 Api's und 3 IRQ's emulieren

[Gast_Andreas Haak_*]

Wo zieht man die Grenze zwischen Emulation und Sandbox?
Laut Norman basiert ihre Sandbox ja auf Emulation... was hat also eine richtge Sandbox "mehr" als eine einfache Emulation?

Die Übergänge sind fließend, keine Frage, und egal was ich sage da werden jetzt garantiert mehrere widersprechen. Allerdings ist auch die von Norman keine wirkliche Sandbox in meinen Augen. Allerdings bezeichnet Norman sie ja als solche, daher lasse ich den Begriff einfach mal .

Der Unterschied ist imho aber folgender:
Eine Sandbox legt ja letztlich nur einen Protection Layer um das Programm herum und filtert Zugriffe auf die APIs bzw. die Service Handler. Die eigentlichen Aktionen werden aber von realer Hardware und Software ausgeführt. Die Sandbox reicht sie ja einfach nach Prüfung an das Betriebssystem weiter. Daher ist eine Sandbox letztlich plattformabhängig .

Bei einer Emulation ist dies nicht der Fall. Zugriffe auf APIs und auch auf die Hardware werden vom Emulator simuliert und nicht einfach nur gefiltert weitergereicht. Damit ist ein Emulator grundsätzlich Plattformunabhängig. Bedeutet:
Windows Dateien können problemlos in Linux emuliert werden und umgekehrt.

PS:
NOD32 v2 ist nur Emu .

Der Beitrag wurde von Andreas Haak bearbeitet: 21.11.2003, 22:55

[Gast_Andreas Haak_*]

Man müsste dort quasi den kompletten Kernel Mode emulieren - zu aufwendig für einen Packer. Und das würde auch eher in den Bereich Sandbox Scanning gehen.

Bloedsinn. Mann muss nur Win32 Api's und 3 IRQ's emulieren

Im Falle von Armadillo oder XtremeProtector?

[Gast_Gladiator_*]

Anmerkung: Eine Sandbox fungiert als eine Art "Proxy" der API's

[Gast_Nautilus_*]

Norman unterscheidet ja zwischen einer sicheren Emulation (die nur emuliert/simuliert/keinen echten Zugriff auf Hardware-Resourcen erlaubt) und einer unsicheren Virtual Machine (wie z.B. VMWare). Siehe http://www.norman.com/documents/nvc5_sandbox_technology.pdf .

Sanbox ist vermutlich der Oberbegriff.


EDITED: Ok, ok...es waren wieder alle schneller als ich ;-)

Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 22:56

[Gast_Gladiator_*]

EDITED: Ok, ok...es waren wieder alle schneller als ich ;-)

Weil wir fuer gewoehnlich nicht zwischendurch noch einkaufen gehen

[Gast_Nautilus_*]

Nautilus hat gerade von Seltsam ganz viele Biester bekommen und freut sich entsprechend ...

[Gast_Gladiator_*]

Nautilus hat gerade von Seltsam ganz viele Biester bekommen und freut sich entsprechend ...

Sind wir hier bei Wuensch Dir was ?
Geht ja zu wie in einem AOL Chatroom.