Armadillo Einstellungen

[SkeeveDCD]

Na ich weiss nicht, wenn du Kaffee machst kann man damit Tote aufwechen.

Also Andreas, was ist mit A^2? Gibts da auch mal was anderes ausser netten Screenshots die jeder mit Delphi in 5 Min hinkriegt? Oder fallen dir keine Ausreden mehr ein warum es noch nicht released ist?

[Gast_Gladiator_*]

Na ich weiss nicht, wenn du Kaffee machst kann man damit Tote aufwechen.

Wieso regen sich eigentlich alle permanent auf wenn ich Kaffee mache ?
Ich darf fruehs keinen mehr zu Hause machen (und wenn, dann nur fuer mich selber) auf der Arbeit wird mir "Bescheid gesagt" wenn der Kaffee fertig ist - ich darf noch nicht mal die Kaffeekanne geschweige denn die Dose in die Hand nehmen schon kraehen alle rum. So extremen Kaffee mache ich nun auch wieder nicht.

[Gast_Nautilus_*]

@JoJo

"Also nur weil ein paar reverse engeneering leute über armadillo reden, aber dann eher wie man es halt entpacken kann, soltle man nicht gleich den Teufel an die Wand pinseln und panisch alle wach rütteln"

Dir entgeht da erstaunlicherweise etwas ;-) Ich spreche nicht von Reverse Engineering Boards. Frag halt matiano oder white lion ...

[Gast_Gladiator_*]

Frag halt matiano oder white lion ...

Optional dazu kannst Du auch die Abrafaxe oder Hannes Hegen um genauere Ausfuehrungen bitten JoJo - die kennen sich damit naemlich auch aus

[Gast_Nautilus_*]

Und wo wir schon dabei sind, JoJo zu ärgern: Bei Deinem Beast Tutorial hast Du ein File übersehen, welches auch noch installiert wird. Das muss man aber nur kennen, wenn man Beast undetected machen will ;-) Scherz beiseite: Ich fand das Tutorial konstruktiv und o.k.

[Gast_Nautilus_*]

Hmm...wenn Gladi darf, darf ich dann auch?

hxxp://members.fortunecity.com/zilot/Tutorial/armadillo.htm

(Ansonsten bitte Link entfernen.)

[Rokop]

In Anbetracht der Tatsache, daß diese Tuts von den meisten Usern eh nicht verstanden werden und die, die diese Tuts finden und verstehen wollen, nicht unser Forum dazu brauchen, lassen wir diesen Link ruhig mal stehen.

[Gast_Nautilus_*]

Ich bekomme in letzter Zeit öfters Emails in Bezug auf Armadillo oder sog. Undectables. Folgende Email möchte ich Euch nicht vorenthalten:

"
Betreff: Aramadillo ??? ( From Rokop Security Foren )

HI !!!

Ich habe mich schon mit einigen Crptern beschäftigt,die Dateien zu Crypten geht ohne probs(undetected),nur einige Vir und Fire
programme erkennen das File trotz crypten.Ich habe mir jetzt Armadillo besorgt nur ist es zimlich komplieziert wenn mann sich
damit nicht auskennt,ich wollte mal fragen ob du eine Anleitung dafür hast ??? Oder gibt es noch einen noch besseren als denn
hier.Über eine Hilfe oder einige Tipps währe ich dir dankbar.

Gruss xxx" (Den Absender habe ich zu dessen eigenem Schutz anonymisiert ... ;-)


Stellvertretend für alle weiteren Emails, auf die ich bislang nicht geantwortet habe, möchte ich an dieser Stelle festhalten, dass ich leider über keine Bedienungsanleitung für Armadillo verfüge und auch keine Cracks oder Downloadlinks zur Verfügung stellen kann. Auch sonst kann ich leider keine konkreten Tips zum Tarnen von Malware geben oder gepatchte und/oder seltene Trojaner versenden ...

Sorry,

ntl

[Catweazle]

Was willst du damit bezwecken ?

Eine diskrte E-mail an den Schreibenden hätte doch gereicht, oder ?

Catweazle

[Gast_Nautilus_*]

Gegenfrage: Was willst mit "99 Kriegsminister streichelst im Benzinkaninster !" bezwecken?

Ausserdem sagte ich doch schon, dass ich nicht auf jede dieser Emails antworten möchte und deshalb stellvertretend in diesem Thread schreibe ...

[Gast_Gladiator_*]

Ich nehme an es handelt sich hierbei um mehrere hundert emails
So ungefaehr die Anzahl der registrierten Members hier im Forum - 1 (abzueglich meiner Wenigkeit, da ich nix geschickt habe)

Was Du damit bezweckst wuerde mich allerdings auch mal interessieren.

Dich selber damit rechtfertigen dass Armadillo WICHTIG IST ?
Nein, das ist es im Anbetracht aktueller Malware Studien sicherlich nicht.

Mahlzeit.

[Gast_Nautilus_*]

@Gladi Gerade von Dir hätte ich etwas mehr Humor (und etwas weniger Verklemmtheit) erwartet ... Daher auch an Dich eine Gegenfrage: Was war eigentlich der Zweck Deines Videos? Wolltest Du damit beweisen, dass ihr sehr wohl hart arbeitet und Dich somit dafür rechtfertigen, dass AntiVir noch keine Unpacking Engine hat? Jetzt mal im Ernst: Warum machen wir uns hier eigentlich gegenseitig an? Wollten wir nicht gerade mit Flamen aufhören. Im Zweifel kann ich das sowieso besser als ihr ;-)

Der Beitrag wurde von Nautilus bearbeitet: 14.12.2003, 22:02

[Gast_Gladiator_*]

Es geht hier weder um mich, noch um AntiVir sondern vielmehr um die Tatsache dass Du seit geraumer Zeit die halbe Welt mit Armadillo verrueckt machst. Auch einige Reverse Engineering Boards wo ich ausgerechnet noch Mod bin Du das aber gluecklicherweise nicht weisst

Oder hier auf Wilders - von heute:
http://www.wilderssecurity.com/index.php?b...d=17865;start=0

Mit wem willst Du darueber disskutieren ? Wartest Du darauf dass Wayne Dir antwortet ? Der hat besseres zu tun. Maximal Gavin wird sich kurz und knapp zu dem Thema aeussern wenn ueberhaupt.

Waere es eine persoenliche Genugtuung wenn beispielsweise KAV Armadillo entpacken koennte ? Wenn ja, was passiert dann ? Dann findest Du einen Crypter namens FurzCrypt 3.4 postest irgendwo dass der nicht entpackt wird und machst neue Wellen. DAS AENDERT ABER NIX AN DER TATSACHE, DAS _DU_ DIE PRIORITAETEN IN DER AV BRANCHE NICHT DADURCH AENDERST Oder was meinst Du wohl warum KAV den bisher noch nicht drin hat ? Weil die Russen dazu nicht in der Lage waeren ? LOL. Weil es keinen dringenden Handlungsbedarf dafuer gibt. Man widmet sich lieber ERNSTHAFTEN Problemen in der AV Industrie.

[Gast_Nautilus_*]

@Gladi

Dass mit dem wilders topic missverstehst Du etwas. Ich hatte mich kuerzlich mit Seltsam ueber das Thema Unpacking mit Hilfe von Breakpoints unterhalten. Darum geht es bei dem Topic. Nicht um das Beispiel Armadillo. Ich hätte genauso gut auch einen anderen Packer nehmen können, dessen Dekompression schwierig ist.

Dass ich die halbe Welt oder gar Reverse Engineering Boards verrückt mache, bestreite ich. Du verwechselst mich da offensichtlich mal wieder mit jemand ...

Ob jemand antwortet, wird sich ja zeigen. Wenn nicht, hab ich halt Pech gehabt. Warum reagierst Du auf sowas denn so panisch?

Zu Deinem letzten langen Abschnitt. Das habe ich Dir doch schon beantwortet. Ich kann ganz ruhig schlafen, auch wenn kein AV/AT Scanner irgendeinen Trojaner erkennt. Gleich ob gepackt oder nicht. Ich bin total relaxed. Warum Du nicht? ;-)

Bitte schau jetzt nicht noch Planetopia ...

ntl

[Gast_Gladiator_*]

@Gladi

Dass mit dem wilders topic missverstehst Du etwas. Ich hatte mich kuerzlich mit Seltsam ueber das Thema Unpacking mit Hilfe von Breakpoints unterhalten.

Unpacking mit Breakpoints ist unakzeptabel. Man kann sowas mal versuchsweise integrieren in der Zeit wo man beispielsweise solche Stubs reversed aber in einer Final Version sollte das nicht zum Tragen kommen.
Zum einen ist sowas nicht Platformunabhaengig (unter linux wuerde das beispielsweise nicht funktionieren) zum anderen ist es nicht wirklich aus sicherheitsrelevanten Dingen empfehlenswert. Ich hatte damals mit GAV 5 (was nie erschienen ist) und der diesbezueglichen Linux Version von GAV auch alles nach Static Unpack portiert. Statischer Unpack ist zum einen wesentlich schneller als Emulationsunpack und verbraucht auch weniger Resourcen.

[Gast_Andreas Haak_*]

Läuft aber dann ins Leere sobald Verschlüsselung bzw. Kompression nicht statisch sind .

[Gast_Nautilus_*]

Ahh ... sehr gut. Das klingt schon viel konstruktiver. Ich hatte halt überlegt, dass Unpacking mit Breakpoints vielleicht für AT Scanner nicht sooo unakzeptabel ist, weil ja Trojaner (anders als Viren) nicht gleich den Computer zerstören. Das Ausführen eines Trojaners ist somit nicht gleich als Katastrophe anzusehen ... schliesslich gibt es sogar reine MemScanner wie BOClean. Man müsste halt irgendwie sicherstellen, dass der AT Scanner nicht beim normalen On Demand Scan als Malwareschleuder wirkt, sondern nur solche Files scannt die der User eh ausführen wollte (execution protection).

Gruss ntl

[Gast_Nautilus_*]

@Seltsam Wenn Du die Armadillo-Signatur anschaust, die ich bei Wilders gepostet habe, wirst Du sehen, dass sie Wildcards enthält. Vielleicht hilft das ja ein wenig ...

[Gast_Gladiator_*]

Was ist eigentlich mit EWIDO weil du die auf Wilders erwaehntest ?

[Gast_Nautilus_*]

@Gladi Ich glaube, dass ewido eine richtige Emulation hat (und nicht nur per Breakpoints entpackt). Bei meinen letzten Tests funktionierte einiges schon ganz gut, anderes noch nicht. Blablabla hat ja schon gesagt, dass Armadillo noch nicht unterstützt wird.