Identifikation von Packern, OPCode Filter, etc. |
Willkommen, Gast ( Anmelden | Registrierung )
Identifikation von Packern, OPCode Filter, etc. |
Gast_Nautilus_* |
09.09.2003, 17:59
Beitrag
#61
|
Threadersteller Gäste |
Bitte hier ( http://www.rokop-security.de/board/index.p...p?showtopic=698 ) weiterflamen ...
|
|
|
Gast_Andreas Haak_* |
09.09.2003, 18:06
Beitrag
#62
|
Gäste |
>Nicht von dir auf andere schliessen. Du bist schliesslich hier der TippEx-Schnueffler.
Ich mag Dich ja nur ungern dran erinnern (und wahrscheinlich wirst Du es auch gleich wieder vergessen): ZITAT Also, welche Droge nimmst du? Muss gutes Zeug sein, ich will auch was davon. >Der Kandidat hat Null Punkte. Ich hatte zuerst an Stefan Kurtzhals gedacht, die "Schreibe" könnte passen. Letztlich gibts nur noch die: >Eric Chien (Symantec) Ich glaub kaum, das der was posten wird hier. Zumal Roman sich ja permanent über den schlechten Kontakt zu Symantec aufregt. >Toralv Dirro (Network Associates) Maybe ... >Howard Fuhs (Fuhs Security Consultants) Hat nie ne Emu gemacht. >Raimund Genes (Trend Micro Deutschland) Auszuschließen. >Stefan Kurtzhals (F/WIN) 92 würde passen (Suspicious) und schreibe auch. Wäre mein nächster Tipp. >Rainer Link (Security Area) Nie ne Emu gemacht. >Felix Mannewitz Ebenfalls. >Andreas Marx (GEGA S&M, AV-Test) War da noch etwas zu jung. TSCAN kam imho erst 94. >Stefan Meisel Kenn ich nicht. >Lukas-Fabian Moser Zu jung. >Martin Rösler Kein Coder. >Ralph Roth (ROSE SWE) Ralph hätte genug Anstand auf Spielchen zu verzichten. >Thomas Tietz (Trojaner-Info.de) Kein Coder. >Thorsten Weber Kenn ich nicht. >Frank Ziemann (Hoax-Info Service) Kein Coder. >Vorhin klang das aber noch anders. Da war Unpacking noch voellig unwichtig. Ja >was denn nun? Unpacking in Bezug auf Viren ist es das auch meiner Ansicht nach. >Erst unmotiviert Leute beschimpfen und sich dann wundern wenn das nicht gut >ankommt. Wann hab ich geschimpft? >Man merkt's, unmotiviert Leute beschimpfen. Ich dachte eher daran für Abwechslung zu sorgen - aber wie Du meinst. |
|
|
09.09.2003, 19:11
Beitrag
#63
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 546 Mitglied seit: 28.04.2003 Mitglieds-Nr.: 62 |
[off-topic]sach mal woher kennst du die denn alle ? Warst du mal mit den Saufen ? [/off-topic]
|
|
|
Gast_Andreas Haak_* |
09.09.2003, 19:17
Beitrag
#64
|
Gäste |
ZITAT(JoJo @ 9. September 2003, 20:10) [off-topic]sach mal woher kennst du die denn alle ? Warst du mal mit den Saufen ? [/off-topic] *rofl* ... ne ... mit einigen mal bissi zusammen gearbeitet, mit anderen bissi gestritten ... man kennt sich halt .... |
|
|
Gast_Nautilus_* |
11.09.2003, 16:26
Beitrag
#65
|
Threadersteller Gäste |
Hab jetzt (auf Seite 2 des Threads) auch noch die Scanresultate von Dr.Web 4.30a hinzugefügt. Doh! Und TDS-3. Oh!
Der Beitrag wurde von Nautilus bearbeitet: 11.09.2003, 16:48 |
|
|
11.09.2003, 17:24
Beitrag
#66
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 546 Mitglied seit: 28.04.2003 Mitglieds-Nr.: 62 |
@Nautilus:
Hast du mal andere Komprimierungsstufen ausprobiert..da strauchelt TDS auch schon und vorallem "Positive identification <Adv>: Possible WebDownloader" vielleicht veröffentliche ich mal ein paper nach was TDS sucht um etwas als possible Zeugs anzuzeigen . Das einzige was mich nervt und eine scheibenkleister Sucherei ist, ist halt den passenden String zu finden um eine malware undetect für tds zu machen |
|
|
Gast_Nautilus_* |
11.09.2003, 17:33
Beitrag
#67
|
Threadersteller Gäste |
@JoJo Ich hatte kürzlich mit Gavin eine aufschlussreiche Unterhaltung und weiss jetzt ganz schlimme Dinge über TDS ;-) Aber die werden ich (und Forge) nicht sagen.
Bei der gegenwärtigen Testreihe geht es nur um OEP Modifikationen und da sind Scanner ohne Unpacking Engine offenbar nicht besonders anfällig. Meines Erachtens ist daraus ausnahmsweise mal der Schluss zu ziehen: Viel hilft viel. Der Einsatz mehrerer unterschiedlicher Scanner macht es VXern erheblich schwerer. Denn dann müssen sie sich nicht nur mit Unpacking Engines, den harten Sigs von KAV&Konsorten, sondern auch mit heuristischen Erkennungsmethoden wie denen von TDS (die für sich allein genommen selbstverständlich leicht überwunden werden können -- es gibt aber zusätzlich noch den Mem Scanner!) auseinandersetzen. ntl Der Beitrag wurde von Nautilus bearbeitet: 11.09.2003, 17:34 |
|
|
11.09.2003, 17:36
Beitrag
#68
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
@JoJo
ZITAT vielleicht veröffentliche ich mal ein paper nach was TDS sucht um etwas als possible Zeugs anzuzeigen Ich denke, ich weiß was du meinst... -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Gast_Nautilus_* |
11.09.2003, 17:51
Beitrag
#69
|
Threadersteller Gäste |
Ach ja... und RAV 8 erkennt übrigens 0 von 11 Samples (siehe Seite 2 ;-).
ntl P.S.: @Forge Ist unsere neue OEP Subsection des Testsets nicht geil ? ;-) |
|
|
11.09.2003, 20:54
Beitrag
#70
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Ich frag' mich, was für einen Sinn es überhaupt wirklich macht so einen Aufwand zu betreiben. Ich schätze mal das 98% aller Homeuser folgende "Schutzmaßnahmen" haben:
a) keinen Virenscanner b) einen Uraltvirenscanner ("der lässt sich seit 2 Jahren auch nicht mehr updaten...") c) NAV oder AntiVirPE (beides bisher ja ohne unpacker, was sich aber in Zukunft ändern soll) Das sind doch die potentiellen Opfer. Ich denke ein User, der eine Kombination aus KAV/TDS-3 (letzteres bitte nur als mögliche Beispielkonfiguration zu verstehen) einsetzt, hat doch sicherlich auch eine erhöhtes "Sicherheitsbewusstsein". Der klickt garantiert nicht mehr so einfach auf irgentwelche *.exe Dateien. wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 04:52 |