GAV 4 Beta Einstellungen

[Gast_Florian_*]

GAV4 Beta Berichte
      

Ich habe im Moment das vergügen, GAV4 zu testen, ich denke da könnt ihr euch auf was wirklich Nettes freuen.
Bisher testen konnte ich:
-das neue Interface (mit Soundeffekten *g*)
-das Scanning:
Erkennungsraten sind mittlerweile wirklich enorm
Entpackt wird rasend schnell
An großen dateien wie Filmen bleibt der Scanner NICHT hängen, die werden nur angescannt
-prozessviewer:
Die Systemprozesse werden "verified" was einem natürlich zusätzlich "sicherheit" verschafft dass nichts injiziert wurde etc.

Wenn alles weitere auch so gut läuft freue ich mich schon auf die Endversion!
Sobald es etwas neues zu berichten gibt, halte ich euch auf dem laufenden.

[Gast_Gladiator_*]

Und Gladi hat gleich nochmal zugeschlagen - neue Engine 3.3.0 - 57 neue Runtime Unpacker

Siehe dazu http://forum.gladiator-antivirus.com/index...iew=getlastpost

Die GAV 4 beta Tester brauchen dazu das neuste Interface was da waere:
http://www.gladiator-antivirus.com/23.exe

Have fun

[JoJo]

* the blue virusnames are forum related one is moderator the other is a troll

günni is auch drin

[Gast_Gladiator_*]

So... ich habe mal angefangen paar neue info / research pages der GAV Engine zu erstellen.
GERADE ANGEFANGEN - sprich dort gibt es noch nicht viel zu sehen, die Seite wird aber (je nachdem wie meine Zeit es zulaesst) taeglich aktualisiert.

In wenigen Minuten gibts uebrigens das naechste Engine Update - ich habe nochmal 13 Runtime Unpacker hinzugefuegt - damit liegen wir heute bei sage und schreibe 70 Stueck mehr als Gestern

(Sarkasmus on)
Ich schaetze zum Ende des naechsten Monats wird in Moskau selbst der Kreml beben
(Sarkasmus off)

So und hier ist die (wiegesagt noch in den Kinderschuhen steckende) Informationstafel:
http://www.gladiator-antivirus.com/support/packer.html

Dort wird es in kuerze die umfassendste Referenz an Packern/Cryptern geben - selbst EXETools wird dort grosse Augen machen

[raman]

Sobald da Hackstop in allen Varianten steht, bekommen Ralph und Vadim ne Email!:)

[Gast_Gladiator_*]

Du wirst lachen das kommt heute abend als Update ROFL
Fuer Version 1.18 gehe ich mir jetzt erst mal Bier holen

[JoJo]

sag mal wie wäre hier es mit einer Resepektkelle oder sowas..alle achtung

[Gast_Gladiator_*]

So wieder da
Da du mir immer (oder fast immer) einen guten Morgen wuenschst Ralf werde ich ja erfahren ob es bei deinem ganzen alten DOS Sch.... irgendwelche Haenger beim Entpacken gab

So, Bier einschenken und weiter gehts

[Gast_Gladiator_*]

http://www.gladiator-antivirus.com/24.exe

Neues Interface fuer die grade eben geupdatete Engine 3.3.1 mit Hackstop 1.18 Unpack
Sonst was neues ? Ja: Ein neuer Dos Runtime Packer LzEXE 1.90 beta wird unterstuetzt

Lasst Friede und Freude einziehen

[Rokop]

Alle Achtung, kaum bin ich mal ein paar Stunden weg von zu Haus, verändert sich die halbe Welt .... Werde es nachher gleich mal übers Testset rennen lassen!

[Gast_Gladiator_*]

Alle Achtung, kaum bin ich mal ein paar Stunden weg von zu Haus, verändert sich die halbe Welt .... Werde es nachher gleich mal übers Testset rennen lassen!

Du wirst Dich schon noch gedulden muessen bis ich die entpackten viren eingepflegt habe
Aber testen kannst Du ja schon mal "im Groben"

[Gast_Gladiator_*]

So es gibt wieder mal ein Engine Update:

http://forum.gladiator-antivirus.com/index...=ST&f=56&t=3591

die betatester hier brauchen dazu noch das neue Interface

http://www.gladiator-antivirus.com/25.exe

Startet also GAV 3 - macht ein Online Update um die neue Engine zu bekommen, dann GAV beenden
und 25.exe starten. Ich weiss das ist Sackgang - wird sich aber bald aendern wenn in GAV 4 die Autoupdatefunktion integriert ist.

[Gast_Gladiator_*]

http://www.gladiator-antivirus.com/26.exe - neues GAV 4 Interface - wird benoetigt um die neuen Unpacker der 3.3.4'er Engine zu unterstuetzen. Also bitte wieder GAV 3.x starten, updaten (um die neusten Virendefs und Engine zu bekommen) dann 26.exe ins verzeichnis einspielen und anstelle von Gladiator.exe 26.exe starten. (Das 3'er GAV muss logischerweise vorher beendet werden).

DAS IST WICHTIG WEIL die 3.x Version diese Packer nicht unterstuetzt und ich nicht erst anfange gepackte Signaturen fuer die popligen DOS Runtime Packer einzupflegen wenn GAV 4 das kann
Ansonsten kann es naemlich sein dass GAV "paar" alte Dosviren nicht findet obwohl die eingepflegt sind.

[JoJo]

mhh wie sieht denn das mit dem Skinsupport aus ?

[Rokop]

Ich schätze mal, das steht bei Michael ganz hinten auf der Liste...

[Gast_Gladiator_*]

Allerdings. Weil hoechste Prioritaet hat jetzt erstmal dass das LiveUpdate mit GAV 4 funzt, so dass der Sackgang mit GAV 3 starten, updaten, GAV 3 beenden dann die neuste GAV 4 runterladen wegen dem Interface mal aufhoert. Weil das kotzt mich selber an.
Mir ist da auch schon was schlaues eingefallen... Solange wie ich GAV 4 noch nicht generell als Update zur Verfuegung stelle integriere ich eine neue Update Funktion die von einer anderen Location vom GAV Server updatet. Somit ist sichergestellt das keine "vermischten" Funktionen rauskommen. Weil das Problem ist folgendes:

Ich integriere Packer/Crypter und andere Sachen in die neue Engine (das wurde alles schon langfristig vorbereitet, so dass ich das Zeugs jetzt nur noch durch ne Erkennungsroutine jagen muss und dann die Packer einfach nur freischalte). Wenn ich jetzt bsw. einen DOS Packer wie EXEPACK integriert habe in GAV 4 dann liefert die GAV 4 Engine einen anderer Wert zurueck als (wie bisher in GAV 3) beispielsweise 0.

Zur Erklaerung fuer die Leute die von AV nicht so den Einblick haben:

Bevor man was scannt muss man erst mal zwingend wissen was man denn scannt. Sprich File ist nicht gleich File. Deswegen laeuft bevor der eigentliche Scanvorgang stattfindet noch eine Reihe (relativ komplexer und umfangreicher) Tests ab.

GAV-Beispiel.... Es soll eine Datei C:\\Windows\\WasWeissIch.EXE gescannt werden. (Wird bsw. waehrend eines Systemscans "gefunden")
Als erstes ruft das Interface dort die GAV Engine mit dem Pfad + Dateinamen namen auf und zwar beispielsweise so:

Filetyp = GAV_GetFileType( Path ); ---> in Path steht der Filename+Pfad wuerde also im Klartext so aussehen:
Filetyp = GAV_GetFileType( "C:\\Windows\\WasWeissIch.EXE" );
Man kann logischerweise das nicht im Klartext reinschreiben, weil man ja nicht weiss welche Dateien wer alles hat, also muss man das in einer Variable zwischenspeichern.

So.... Dann weiss die GAV Engine aha, ich muss jetzt nachgucken was es ist. Als erstes wird grob unterschieden welches System es ist. Hier wird nach Win32 PE (Windows Files) DOS 16 Bit (alte Dosprogramme) OfficeDokumente (weil die muessen wegen eingebetteter Macros und OLE2 gesondert gescannt werden) Packer, Crypter und Archive.

Wenn die Datei WasWeissIch.EXE nicht gepackt ist, dann liefert die Filetype Engine bsw. den Wert 66 zurueck - 66 steht hierbei fuer ein Win32 PE Executable. Das heisst bei einem Wert 66 weiss ich dann aha, das ist eine Windows EXE und kann dann speziell auf eine Windows EXE hin zugeschnittene Heuristische Sachen testen. Liefert die Engine bsw. 0 Zurueck dann ist es ein sogenanntes RAW File (sprich kein bekannter Typ) das trifft bsw. fuer BATCH Dateien, HTML, TEMP Files, sonstige unbekannte Files zu.
Dort wird dann ohne Packererkennung einfach ein Scan mit allen Signaturen gemacht - bums fertig.

ASPack gepackte Dateien liefern bsw. 97 bis 133 zurueck, abhaenging von der ASPack Versionsnummer.
Dort weiss ich dann dass ich es auspacken muss bevor ich scanne.

Insbesondere schwierig stellt sich dabei die ganze DOS Packer/Crypter Geschichte dar, weil es keinen definierten DOS 16 Bit Header gibt auf den man sich verlassen kann wie bsw. beim WIN32 PE Format.

Ein Win32 PE hat *immer* als erste 2 bytes "MZ" in der exe/dll.
Bei Dos koennen die ersten bytes abhaengig vom Packer/Crypter *immer* anders sein. Das heisst um Dos Programme mit Unpack zu unterstuetzen muss man verdammt tief ins System rein und wirklich umfangreiche Tests durchfuehren. Man muss sogar fuer eine spezielle Sachen 16 Bit Dos Code durch einen Bytecode Emulator jagen, ansonsten findet man einige DOS Crypter naemlich gar nicht.

Das bremst natuerlich unheimlich aus, und Kaspersky unterstuetzt auch nur einen Bruchteil von dem was wirklich notwendig gewesen *waere* (damals).

Ich habe hier mitlerweile einen recht flotten Algorythmus der mir den ganzen Kram in Win32 Assembler ermittelt und das geht *rasend* schnell

Das dumme ist das man sogenannte "Masken" braucht, weil einige Bytes immer unterschiedlich sein koennen, so dass man keinen bsw. 128 byte "Komplett Vergleich" machen kann um einen Packer zu finden.

bsw. kann das so aussehen:

0xBE, 0xCF, 0x40, 0x??, 0xFF, 0xE0, 0x??, 0x12,0x80 usw...

das 0x?? sind sogenannte dynamisch variable bytes. Das heisst auch wenn die nicht stimmen ist es trotzdem der Packer. Sprich man muss hier Byte fuer Byte einzeln abtesten und kann das nicht
mit einem einzigen Befehl "im Block Modus" abtesten.

Und zwar wie folgt:

Erstes Byte schnappen -> ist das richtig ? wenn ja dann weiter -> wenn nein dann naechsten Packer testen.

kommt er jetzt an ein Byte das nicht mehr stimmt, dann muss nachgeguckt werden ob es das sogenannte "Maskierungs-Byte" sprich Transparent Byte ist. fuer 0x?? nimmt man dort bsw. einen Wert der sonst nicht noch einmal in den Bytes vorkommt, zum Beispiel 0xCC.
Also guckt man dort nach ob es grade an der Stelle ist wo 0xCC steht. Wenn ja, und es unterschiedlich dann wird TROTZDEM WEITERGEMACHT weil das ist ja eine der Stellen die immer unterschiedlich sein kann.

Kommt der Profiler/Analyser am Ende an (sprich erreicht die Anzahl aller hexcodes) dann wurde dieser Packer gefunden. Dann liefert die Engine einen speziellen Rueckgabecode fuer diesen Packer/Crypter und dessen Version.

So, jetzt koennt ihr Euch vorstellen was in der Engine abgeht wenn bei jedem File was gescannt wird mehrere hundert Packer/Crypter abgefragt werden muessen.

Und zur Info: Das war das Beispiel eines sehr leicht zu findenden Packers weil wenn ich die Crypter nehme zum erklaeren dann versteht das kein Mensch mehr weil dort ist die Sache mindestens 50 mal komplexer.

Michael

[JoJo]

wow..das wollte ich schon immer wissen..alle schreien nach ´ner unpacking engine aber wie kompliziert sowas sein kann sieht man erst jetzt (ich zumindest). Wie macht es denn biespielsweise KAV oder Mcafee die glaube ich auch über eine unpacking engine verfügen ?

[Gast_Gladiator_*]

So, heute abend gibts wieder was zum spielen
Ich habe die Polyengine komplett nach Win32 Assembler portiert und damit ca. 300% Schneller bekommen
Wir fangen jetzt mal ganz vorsichtig an die schwierigsten polymorphen Viren zu 100% zu finden.
Und zwar solche wo selbst die angeblich besten Virenscanner wie NOD32 die Waffen strecken muessen
Dazu gehoert zum Beispiel die hochpolymorphe Vulcano Serie

Zuerst gibts natuerlich heute abend wieder mal ein ITW Update mit duemmeren ITW polymorphen Viren wie Elkern.C und Redlof.A

Ich goenne mir jetzt erst mal paar bier, weil die detections und die emu's sind fertig und beim uploaden kann nich viel passieren wenn man ein bier zu viel intus hat

Achja, die neue Engine unterstuetzt auch einen kompletten 16 Bit Dos Emulator sprich fuer so haessliche Viren wie OneHalf

Gladi

[Gast_Gladiator_*]

und hierzu jetzt die neustens infos:

http://forum.gladiator-antivirus.com/index...st=0#entry18505

(Dort beschreibe ich auch mal kurz was die einzelnen Polymorph Level bedeuten)

[Gast_Gladiator_*]

So es ist wieder mal soweit - Neue MainDatabase + Neue Engine (3.3.9)

Diesmal musste der DIET Packer herhalten:

1. DIET 1.20a DOS EXE Runtime Packer Unknown DIETPack v1.20a
2. DIET 1.43 DOS EXE Runtime Packer Unknown DIETPack v1.43
3. DIET 1.44 DOS EXE Runtime Packer Unknown DIETPack v1.44
4. DIET 1.44c DOS COM Runtime Packer Unknown DIETPack v1.44c
5. DIET 1.45c DOS COM Runtime Packer Unknown DIETPack v1.45c
6. DIET 1.45f DOS EXE Runtime Packer Unknown DIETPack v1.45f

vom letzten Update war bereits unterstuetzt:

7. DIET 1.00 DOS EXE Runtime Packer Unknown DIETPack v1.00e
8. DIET 1.10 DOS COM Runtime Packer Unknown DIETPack v1.x
9. DIET 1.10a DOS EXE Runtime Packer Unknown DIETPack v1.10a
10. DIET 1.20 DOS COM Runtime Packer Unknown DIETPack v1.x

Ein haesslicher Fehler der manchmal auftauchte mit der Initialisierung der Polymorph Engine (Wenn der Turbo Booster hoeher als 3 eingestellt war) wurde auch komplett gefixt.

So, und ein neues Interface gibts natuerlich auch:
http://www.gladiator-antivirus.com/30.exe

Folgende Aenderungen:
RTP/RTC Infos werden jetzt nicht mehr in Rot gelistet wie vorher (weil Rokop hier sich gewundert hat)
sondern in ganz dezentem Grau so dass sie auf einem schwarzen Hintegrund als dezente Info rueberkommen. Warnungen wurden jetzt gelb gemacht, alles was infiziert ist wird rot gelistet.

Sprich Grau Unpack Infos, Gruen System File Infos (wenn GAV bsw. einen regulaeren Systemdialer findet), Gelb Warnungen, Rot Gefahr - so einfach ist das

Gladi

[Gast_Gladiator_*]

Nicht viel Zeit - deshalb gleich aus dem englischen Copy + Paste:

Engine 3.4.0 Update and new Interface....

Engine via GAV 3 Update and then download this:

http://www.gladiator-antivirus.com/31.exe

News:

Added Unpack for:

CRYPTCOM 1.1 DOS COM Runtime Crypter unknown CryptCom v1.1
PKLITE 1.00 DOS COM Runtime Packer PKWARE Inc. PKLite v1.00
PKLITE 1.12 DOS COM Runtime Packer PKWARE Inc. PKLite v1.12
PKLITE 1.15 DOS COM Runtime Packer PKWARE Inc. PKLite v1.15
PKLITE 1.20 DOS COM Runtime Packer PKWARE Inc. PKLite v1.20

Hehe Fun

And i did improve the malware heuristic - please report false positives.