CRC-Inspector |
Willkommen, Gast ( Anmelden | Registrierung )
CRC-Inspector |
29.06.2003, 23:00
Beitrag
#21
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
ZITAT Also pjan was soll der CRC Inspector wirklich können ? Ich bin zwar nicht pjan aber sagen wir es mal so: Zum gegenwärtigen Zeitpunkt kannst Du z.B. die Prüfsummen bestimmter Dateien eines Laufwerks in eine Datenbank eintragen lassen und zu einem beliebigen Zeitpunkt prüfen ob sich irgendwelche Dateien verändert haben. Wenn dem so ist, wäre eine der Möglichkeiten eine Virusinfektion. -------------------- (-- Roman --)
|
|
|
Gast_pjan_* |
30.06.2003, 19:35
Beitrag
#22
|
Threadersteller Gäste |
ZITAT(raman @ 29. June 2003, 20:31) Obwohl du schon eine gewisse Luecke so in deinem Schutz hast, wenn du nicht kontrollierst, was geloescht und oder was neu hinzugekommen ist. Vieleicht koenntest du ja ueberlegen das zu integrieren. Soeben wurde eine neue Version hochgeladen, worin auch neue und gelöschte Dateien angezeigt werden. Download und aktualisierte Screenshots auf http://home.arcor.de/lightsky/ |
|
|
Gast_pjan_* |
01.07.2003, 17:38
Beitrag
#23
|
Threadersteller Gäste |
ZITAT(SkeeveDCD @ 29. June 2003, 20:35) Interessant wäre auch eine weitergehende Analyse der neu gefundenen Dateien, ob es nur normal installierte Programme oder Viren/Trojaner sind. Woran würde man ein Virus/Trojaner erkennen (Kennzeichen im Dateiinhalt)? Hatte eigentlich nicht vor eine Unpackengine und/oder Signaturprüfung zu coden EDIT: Eine erste Möglichkeit wäre doch, wenn ich in den ersten n Bytes der neuen Dateien nach Kennungen wie UPX, ASPack usw. suche, oder? Der Beitrag wurde von pjan bearbeitet: 01.07.2003, 18:03 |
|
|
01.07.2003, 22:52
Beitrag
#24
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Eine Heuristik wäre nicht schlecht. Sprech doch mal mit Michael
ZITAT Eine erste Möglichkeit wäre doch, wenn ich in den ersten n Bytes der neuen Dateien nach Kennungen wie UPX, ASPack usw. suche, oder? Klar, das wäre sicher machbar und ein Anfang allemal -------------------- (-- Roman --)
|
|
|
Gast_pjan_* |
02.07.2003, 15:34
Beitrag
#25
|
Threadersteller Gäste |
Mittlerweile hab ich eine erste Suchroutine fertig.
Problem ist aber z. B. PELock. Dort kann man wählen, ob ein zufälliger Packer in die Datei geschrieben werden soll. Die Datei ist demnach mit PELock gepackt, es steht aber UPX, ASPack... drin. CRCI würde in diesem Fall UPX, ASPack... melden, was natürlich nicht stimmt. Man kann aber auch von PELock eine zufällige Zeichenfolge eintragen lassen; da wird dann gar nichts angezeigt. Mal sehen, ob Michael mir was dazu sagen kann. |
|
|
Gast_pjan_* |
02.07.2003, 20:16
Beitrag
#26
|
Threadersteller Gäste |
Neue Version hier: http://home.arcor.de/lightsky/files/CRCI.exe
Die Datei heißt nun CRCI.exe und die Datenbank CRCI.dat ! |
|
|
Gast_pjan_* |
04.07.2003, 21:56
Beitrag
#27
|
Threadersteller Gäste |
Neue Version: http://home.arcor.de/lightsky/files/CRCI.exe
Bartosz, der Entwickler von PELock, hat mir ein paar Hinweise zum Erkennen von Packern&Co gegeben. In modifizierten und neuen Dateien, sofern diese mit "MZ" beginnen, wird nun nach festen Strings (UPX, aspack...) und einigen "verdächtigen" Stellen im Header gesucht. Die Erkennung hat Werte von 1-7. Je höher der Wert, desto wahrscheinlicher wurde die Datei komprimiert/verschlüsselt. Bei Falschmeldungen bitte ich um kurze Info und um die genannte Datei. Desweiteren wurde ein Bug beim Auswerten der max. Dateigröße behoben. Der Beitrag wurde von pjan bearbeitet: 05.07.2003, 21:18 |
|
|
Gast_pjan_* |
13.07.2003, 07:31
Beitrag
#28
|
Threadersteller Gäste |
Neue Version mit externer Prüfung.
Die Liste der zu prüfenden Dateien, wird dem externen Programm als Dateiliste übergeben. Dies setzt voraus, daß dieses Programm solche Listen abarbeiten kann (McAfee tut dies über den Parameter /checklist). http://home.arcor.de/lightsky/ |
|
|
Gast_BossMan [WWF]_* |
13.07.2003, 14:58
Beitrag
#29
|
Gäste |
Packer werden grundsaetzlich am OPCode bestimmt und nicht nach den Section Names.
Section Names sind viel zu unsicher weil 1. kann die jeder nachtraeglich mit einem Hexeditor aendern 2. Erzeugen viele komerzielle Packer "zufaellige" Section Names Beispiel: ASPack (die Vollversion) dort kannst Du selber eintragen wie die Section Names heissen sollen Und Crypter findet man so mit Section Names zum grossen Teil ueberhaupt nicht. PE Header auslesen, OEP (original entry point) ausrechnen, dann einen OpCode Filter drueber laufen lassen. Der Filter ist deshalb wichtig, um manuell eingefuegte "NOP's" (NO OPERATION BYTES) oder "AntiDebugging" Jumps rausfiltern zu koennen. Ausserdem haben die dann im RB keinen Chance mehr solche Packer "zu verstecken" Optimal eigenet sich fuer sowas eine sogenannte "Halbemulation" die gewisse Dinge wie bsw. MOV, JMP, CALL, XOR etc beherrscht. Dort sammelt man dann die sogenannten Eigenschaftswerte (Flags) und kann dann sogar mit fast 100%iger Sicherheit auch total entstellte PackerStubs richtig erkennen. ( Dort hat auch KAV noch einiges zu tun ) Weil scannt man hier nach festen Bytefolgen sind die relativ leicht zu umgehen (siehe neustes KAV) benutzt man aber eine Art "Heuristic" fuer die Packersuche, wo man von vornerein bestimmte festgelegte Eigenschaftsmerkmale (die unabhaenging vom tatsaechlichen Code sind) dann ist man nahezu nicht austricksbar Genauer werde ich hier natuerlich an der Stelle nicht - das sollte auch klar sein Wie schon vorher geschrieben, CRC32 ist zwar schneller zu berechnen, aber ist auch die unsicherste Methode. Meines Wissens nach gibt es sogar ein paar hundert Viren die sich genau das zum Nutzen machen. Kein grosses Kunststueck CRC32 zu ueberlisten wenn man weiss wie. Wesentlich sicherer ist hier Ein Crypto 128 Bit MD5. Dauert zwar laenger, aber mann kann sich ja die Algo's noch selber mit reinem Assembler optimieren und muss nicht die allgemeinen (schweine langsamen) C Sourcen nehmen die man im Internet findet. Mahlzeit |
|
|
Gast_pjan_* |
25.07.2003, 17:42
Beitrag
#30
|
Threadersteller Gäste |
Testversion v0.22 vom 25.07.03 verfügbar.
|
|
|
Gast_pjan_* |
30.08.2003, 13:20
Beitrag
#31
|
Threadersteller Gäste |
v0.23.1
[*] Design: Standard-Cursor, groessere Form [-] Datenbank: Schaltflaeche 'Loeschen' waehrend Pruefung aktiv [+] Datenbank: Datenbank-Backup [-] Heuristik: Fehler bei Dateiverarbeitung Download auf meiner Seite. |
|
|
Gast_pjan_* |
30.09.2003, 18:54
Beitrag
#32
|
Threadersteller Gäste |
0.24
[*] Oberfläche: Tabulatorreihenfolge korrigiert [+] Datenbank: Datenbank-Backup löschen [+] Oberfläche: Möglichkeit Programm zu minimieren [*] Oberfläche: Splash-Screen entfernt [-] Oberfläche: Falsche Bezeichnung für Option "Datenbank-Backup" [*] Allgemein: Neue Verzeichnisstruktur [+] Profile: Dateierweiterungen und ausgeschlossene Elemente in Profilen speichern [-] Datenbank: Kommentar nur in registrierter Version eingelesen [*] Externe Prüfung: Logdateien werden nicht mehr überschrieben [+] Externe Prüfung: Profile mit vorgegebenen Einstellungen [+] Allgemein: Ermitteln der aktuellen Programmversion (über Online-Verbindung) |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 15:34 |