CRC-Inspector Einstellungen

[Rokop]

Also pjan was soll der CRC Inspector wirklich können ?

Ich bin zwar nicht pjan aber sagen wir es mal so:

Zum gegenwärtigen Zeitpunkt kannst Du z.B. die Prüfsummen bestimmter Dateien eines Laufwerks in eine Datenbank eintragen lassen und zu einem beliebigen Zeitpunkt prüfen ob sich irgendwelche Dateien verändert haben. Wenn dem so ist, wäre eine der Möglichkeiten eine Virusinfektion.

[Gast_pjan_*]

Obwohl du schon eine gewisse Luecke so in deinem Schutz hast, wenn du nicht kontrollierst, was geloescht und oder was neu hinzugekommen ist.
Vieleicht koenntest du ja ueberlegen das zu integrieren.

Soeben wurde eine neue Version hochgeladen, worin auch neue und gelöschte Dateien angezeigt werden.
Download und aktualisierte Screenshots auf http://home.arcor.de/lightsky/

[Gast_pjan_*]

Interessant wäre auch eine weitergehende Analyse der neu gefundenen Dateien, ob es nur normal installierte Programme oder Viren/Trojaner sind.

Woran würde man ein Virus/Trojaner erkennen (Kennzeichen im Dateiinhalt)?
Hatte eigentlich nicht vor eine Unpackengine und/oder Signaturprüfung zu coden

EDIT:
Eine erste Möglichkeit wäre doch, wenn ich in den ersten n Bytes der neuen Dateien nach Kennungen
wie UPX, ASPack usw. suche, oder?

Der Beitrag wurde von pjan bearbeitet: 01.07.2003, 18:03

[Rokop]

Eine Heuristik wäre nicht schlecht. Sprech doch mal mit Michael

Eine erste Möglichkeit wäre doch, wenn ich in den ersten n Bytes der neuen Dateien nach Kennungen
wie UPX, ASPack usw. suche, oder?

Klar, das wäre sicher machbar und ein Anfang allemal

[Gast_pjan_*]

Mittlerweile hab ich eine erste Suchroutine fertig.
Problem ist aber z. B. PELock. Dort kann man wählen, ob ein zufälliger Packer in die Datei geschrieben werden soll. Die Datei ist demnach mit PELock gepackt, es steht aber UPX, ASPack... drin.
CRCI würde in diesem Fall UPX, ASPack... melden, was natürlich nicht stimmt.
Man kann aber auch von PELock eine zufällige Zeichenfolge eintragen lassen; da wird dann gar nichts
angezeigt.

Mal sehen, ob Michael mir was dazu sagen kann.

[Gast_pjan_*]

Neue Version hier: http://home.arcor.de/lightsky/files/CRCI.exe

Die Datei heißt nun CRCI.exe und die Datenbank CRCI.dat !

[Gast_pjan_*]

Neue Version: http://home.arcor.de/lightsky/files/CRCI.exe

Bartosz, der Entwickler von PELock, hat mir ein paar Hinweise zum Erkennen von Packern&Co gegeben.
In modifizierten und neuen Dateien, sofern diese mit "MZ" beginnen, wird nun nach festen Strings
(UPX, aspack...) und einigen "verdächtigen" Stellen im Header gesucht.
Die Erkennung hat Werte von 1-7. Je höher der Wert, desto wahrscheinlicher wurde die Datei
komprimiert/verschlüsselt.
Bei Falschmeldungen bitte ich um kurze Info und um die genannte Datei.

Desweiteren wurde ein Bug beim Auswerten der max. Dateigröße behoben.

Der Beitrag wurde von pjan bearbeitet: 05.07.2003, 21:18

[Gast_pjan_*]

Neue Version mit externer Prüfung.

Die Liste der zu prüfenden Dateien, wird dem externen Programm als Dateiliste übergeben.
Dies setzt voraus, daß dieses Programm solche Listen abarbeiten kann (McAfee tut dies über
den Parameter /checklist).

http://home.arcor.de/lightsky/

[Gast_BossMan [WWF]_*]

Packer werden grundsaetzlich am OPCode bestimmt und nicht nach den Section Names.
Section Names sind viel zu unsicher weil

1. kann die jeder nachtraeglich mit einem Hexeditor aendern
2. Erzeugen viele komerzielle Packer "zufaellige" Section Names Beispiel:
ASPack (die Vollversion) dort kannst Du selber eintragen wie die Section Names heissen sollen

Und Crypter findet man so mit Section Names zum grossen Teil ueberhaupt nicht.

PE Header auslesen, OEP (original entry point) ausrechnen, dann einen OpCode Filter drueber laufen lassen.
Der Filter ist deshalb wichtig, um manuell eingefuegte "NOP's" (NO OPERATION BYTES) oder "AntiDebugging" Jumps
rausfiltern zu koennen. Ausserdem haben die dann im RB keinen Chance mehr solche Packer "zu verstecken"
Optimal eigenet sich fuer sowas eine sogenannte "Halbemulation" die gewisse Dinge wie bsw. MOV, JMP, CALL, XOR etc beherrscht.
Dort sammelt man dann die sogenannten Eigenschaftswerte (Flags) und kann dann sogar mit fast 100%iger Sicherheit auch total
entstellte PackerStubs richtig erkennen. ( Dort hat auch KAV noch einiges zu tun )
Weil scannt man hier nach festen Bytefolgen sind die relativ leicht zu umgehen (siehe neustes KAV) benutzt man aber eine Art "Heuristic" fuer die Packersuche, wo man von vornerein bestimmte festgelegte Eigenschaftsmerkmale (die unabhaenging vom tatsaechlichen Code sind) dann ist man nahezu nicht austricksbar
Genauer werde ich hier natuerlich an der Stelle nicht - das sollte auch klar sein

Wie schon vorher geschrieben, CRC32 ist zwar schneller zu berechnen, aber ist auch die unsicherste Methode.
Meines Wissens nach gibt es sogar ein paar hundert Viren die sich genau das zum Nutzen machen.
Kein grosses Kunststueck CRC32 zu ueberlisten wenn man weiss wie.
Wesentlich sicherer ist hier Ein Crypto 128 Bit MD5. Dauert zwar laenger, aber mann kann sich ja die Algo's noch selber mit reinem Assembler optimieren und muss nicht die allgemeinen (schweine langsamen) C Sourcen nehmen die man im Internet findet.

Mahlzeit

[Gast_pjan_*]

Testversion v0.22 vom 25.07.03 verfügbar.

[Gast_pjan_*]

v0.23.1

[*] Design: Standard-Cursor, groessere Form
[-] Datenbank: Schaltflaeche 'Loeschen' waehrend Pruefung aktiv
[+] Datenbank: Datenbank-Backup
[-] Heuristik: Fehler bei Dateiverarbeitung

Download auf meiner Seite.

[Gast_pjan_*]

0.24
[*] Oberfläche: Tabulatorreihenfolge korrigiert
[+] Datenbank: Datenbank-Backup löschen
[+] Oberfläche: Möglichkeit Programm zu minimieren
[*] Oberfläche: Splash-Screen entfernt
[-] Oberfläche: Falsche Bezeichnung für Option "Datenbank-Backup"
[*] Allgemein: Neue Verzeichnisstruktur
[+] Profile: Dateierweiterungen und ausgeschlossene Elemente in Profilen speichern
[-] Datenbank: Kommentar nur in registrierter Version eingelesen
[*] Externe Prüfung: Logdateien werden nicht mehr überschrieben
[+] Externe Prüfung: Profile mit vorgegebenen Einstellungen
[+] Allgemein: Ermitteln der aktuellen Programmversion (über Online-Verbindung)