Identifikation von Packern, OPCode Filter, etc. Einstellungen

[SkeeveDCD]

Immerhin 30% mehr als einige andere Programme

Du meinst es sind 30% von dem was KAV, RAV oder andere halbwegs gescheit programmierte AV-Programme schaffen.

... Mal ganz abgesehen davon das sich NOD32 als VIRENscanner versteht und somit Packer und Crypter nicht wirklich von Bedeutung sind.

Also, welche Droge nimmst du? Muss gutes Zeug sein, ich will auch was davon. Das geht ja langsam auf Freeper-Niveau.

[Gast_Andreas Haak_*]

Ganz einfach:
AFAIR benutzt VB die Wildlist und baut darauf ihr Testset auf. ACG ist aber nicht ITW (wars auch nie).

ROFL der Grossmeister hat gesprochen

Laut wildlist.org ist ACG nicht ITW. Ansonsten erkläre ich Dir gerne was AFAIR bedeutet ... *g*.

[Gast_Andreas Haak_*]

>Du meinst es sind 30% von dem was KAV, RAV oder andere halbwegs gescheit
>programmierte AV-Programme schaffen.

Exakt - bzw. 30% mehr als Programm ohne irgendwas . Hat RAV eigentlich ne Backdoor Heuristik? Mal so nebenbei ... . Wobei KAVs Unpacking schon mal besser war *g*.

>Also, welche Droge nimmst du?

Ich hab nur den TippEx offen - schicke ich Dir bei Bedarf aber gerne zu *g*.

[Gast_Nautilus_*]

Auch wenn es natürlich Spass macht, Seltsam zu ärgern ...

... finde ich, dass die AH von NOD32 einen deutlichen Sprung nach vorne darstellt. Und zwar im Bereich der Trojaner-Erkennung. (Im Bereich der Viren/Wurm-Erkennung ist eine als AH bezeichnete generische Unpacking-Engine bzw. Trojanerheuristik wohl in der Tat nicht sooo wichtig, da sie nur einen gewissen Zeitvorteil bei der Erkennung verschafft.)

Ich denke, dass man die 2. Version von NOD nicht mehr so einfach als "eindeutig schlechter als KAV" abqualifizieren kann. Letzlich scheint es doch so zu sein, dass alle AV/AT Scanner ganz erhebliche Sicherheitsdefizite aufweisen, z.B. sind ...

... Kaspersky dank SennaSpy alle Signaturen abhanden gekommen, so dass man sich im Grunde überhaupt nicht mehr auf dieses Programm verlassen kann (und ausserdem lässt sich die Unpack Engine leicht verwirren);

...fast alle KAV Clones sind hiervon ebenfalls betroffen (auch diejenigen Hersteller, die angeblich eigene Sigs erstellen, tun dies in der Praxis wohl längst nicht bei jedem Trojaner);

...McAfee kämpft mit unfairen Mitteln, um dem Packerproblem Herr zu werden und verwendet einfach unsichere Signaturen aus .resc section (wobei noch genauer zu klären wäre, in welchem Umfang dies geschieht);

...BitDefender, Microsoft's RAV, Dr.Web ... will da jemand ernsthaft behaupten, die Unpacking Engine sei wesentlich besser?

Im Ergebnis hilft im Moment wohl nur eins: Beim On-Demand-Scan möglichst viele unterschiedliche Scanner verwenden (und zusätzlich Memscanner wie TH oder TDS benutzen) sowie darauf hoffen, dass ein VXer nicht alle Scanner ausgetrickst hat.

ntl

Der Beitrag wurde von Nautilus bearbeitet: 09.09.2003, 13:32

[Gast_Andreas Haak_*]

>Auch wenn es natürlich Spass macht, Seltsam zu ärgern ...

*rofl* ... ich lass mich nicht wirklich ärgern *g*.

>...BitDefender, Microsoft's RAV, Dr.Web ... will da jemand ernsthaft behaupten, die
>Unpacking Engine sei wesentlich besser?

Noch dazu:
BitDefender und Co. benutzen String Signaturen *g*.

[forge77]

BitDefender und Co. benutzen String Signaturen *g*.

Nix neues...

Ein besseres Ergebnis verfehlte BitDefender vor allem deshalb, da die Signaturen dieses Scanners offenbar weder vollständig, noch qualitativ hochwertig sind. Auf qualitative Mängel deutet die mangelnde Identifikation von OptixPro12serverkonfiguriert, OptixPro12XitopHexedited und Bionet318TenoibHexedited hin (siehe dazu auch --> "The Art of Patching").

(Quelle: http://www.scheinsicherheit.netfirms.com/b...bitdefender.htm )

... finde ich, dass die AH von NOD32 einen deutlichen Sprung nach vorne darstellt. Und zwar im Bereich der Trojaner-Erkennung.

Ja, nehmen wir mal drei neue Trojaner(-Versionen) die mir so in den letzten Tagen 'zufällig' begegnet sind:
OptixPro1.32, RSC v1.1 und CIA1.2 beta.

Ohne AH erkennt Nod32 keinen einzigen (sonderlich fix sind sie bei Trojanern also immer noch nicht) - mit aktivierter AH werden dagegen alle drei von der Heuristik geflaggt.

KAV erkennt sie zwar inzwischen auch, aber nur dank der (gewohnt) schnellen Sig-Updates (RSC v1.1 wurde erst vor rund 24h online gestellt... )

Der Beitrag wurde von forge77 bearbeitet: 09.09.2003, 14:23

[SkeeveDCD]

... finde ich, dass die AH von NOD32 einen deutlichen Sprung nach vorne darstellt. Und zwar im Bereich der Trojaner-Erkennung. (Im Bereich der Viren/Wurm-Erkennung ist eine als AH bezeichnete generische Unpacking-Engine bzw. Trojanerheuristik wohl in der Tat nicht sooo wichtig, da sie nur einen gewissen Zeitvorteil bei der Erkennung verschafft.)

Wie wir anhand der kurzen Tests bereits feststellen konnten, ist das "generic" Unpacking von NOD32 2.0 mangelhaft - wie das bei Trojanern wesentlich weiterhelfen soll ist mir schleierhaft. Gerade die sind meistens gepackt/gecrypted. Und warum sollte ein Generic Unpacking fuer Viren nicht wichtig sein? Damit koennte man polymorphe Viren decrypten. Interessant ist eigentlich auch, das NOD32 damit sein eigenes Konzept (MaxSpeed) verletzt.

Und um den "gewissen" Zeitvorteil geht es doch bei Heuristik, oder? Sonst koennen wir gleich Trend Micro nehmen, die pushen laufend neue Sigs raus um die Maengel der Engine zu kompensieren.

... Kaspersky dank SennaSpy alle Signaturen abhanden gekommen, so dass man sich im Grunde überhaupt nicht mehr auf dieses Programm verlassen kann (und ausserdem lässt sich die Unpack Engine leicht verwirren);

Die Signaturen von KAV waren noch nie besonders "genau". Das faellt bei mir in die Rubrik Identifikation vs. Erkennung. Und wen interessiert es ob die VX-Leute die Signaturen direkt haben? Durch Rumprobieren kriegt man das Vermeiden der Erkennung auch so hin.

..BitDefender, Microsoft's RAV, Dr.Web ... will da jemand ernsthaft behaupten, die Unpacking Engine sei wesentlich besser?

Ja, ich wage zu behaupten das RAV eine gute Unpacking Engine hat. Zumindest kenne ich Costin und Maddy und traue ihnen zu da was gescheites zu machen.

Noch dazu:
BitDefender und Co. benutzen String Signaturen *g*.

Es soll ja auch Programme geben die man ueberhaupt nicht benutzen kann wegen

"Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen. "

[Gast_Andreas Haak_*]

>Wie wir anhand der kurzen Tests bereits feststellen konnten, ist das "generic"
>Unpacking von NOD32 2.0 mangelhaft - wie das bei Trojanern wesentlich
>weiterhelfen soll ist mir schleierhaft.

Die AH besteht NICHT NUR aus dem Generic Unpacking, sondern auch aus Decompilern für Delphi und visual Basic und Heuristiken für Backdoors, Würmer etc. .

>Und warum sollte ein Generic Unpacking fuer Viren nicht wichtig sein? Damit
>koennte man polymorphe Viren decrypten.

Autsch ... offensichtlich GAR nix gecheckt. Also:

NOD32 hat eine normale Emulation für Verschlüsselungen (egal ob statisch, polymorph oder metamorph). Solch eine Emulation besitzt derzeit wohl JEDER Scanner.

Das was NOD32 seit Version 2 jetzt macht ist folgendes:
Die Emulation wurde erweitert um nicht nur Verschlüsselungen zu durchbrechen, sondern auch um EXE Packer und Crypter zu entpacken - und das OHNE zu wissen wie das Entpacken genau funktioniert. Daher lässt sich die AH nicht so leicht durch EPO oder NOP Spielchen verwirren - die statischen Unpacker aber schon.

Daher ist deine Aussage totaler Blödsinn. Denn man hat Quasi das Verfahren, das erfolgreich bei polymorphen Viren eingesetzt hat, jetzt auf Packer übertragen. Daher ist dein Vorschlag das mal umgekehrt zu machen recht widersprüchlich.

Einen Virus kannst Du zwar verstecken mit UPX, aber spätestens in der nächsten "Generation" ist er wieder ungepackt. Also ... who cares?

>Interessant ist eigentlich auch, das NOD32 damit sein eigenes Konzept (MaxSpeed)
>verletzt.

Nö. Die Advanced Heuristik ist beim OnDemand und OnAccess Scan nicht ohne weiteres verfügbar. Also kein Widerspruch und beim Mailscan kommt es auf ein paar Millisekunden nicht drauf an.

>Und um den "gewissen" Zeitvorteil geht es doch bei Heuristik, oder?

Den NOD32 eindeutig hat. Siehe auch Kommentar von forge77. NOD32 hat z.B. auch BugBear per AH gefunden - ohne irgend ein Signaturupdate.

>Ja, ich wage zu behaupten das RAV eine gute Unpacking Engine hat. Zumindest
>kenne ich Costin und Maddy und traue ihnen zu da was gescheites zu machen.

So schlecht ist die RAV Unpacking Engine auch nicht.

>Es soll ja auch Programme geben die man ueberhaupt nicht benutzen kann wegen

Eine unsichere Software ist genauso schlim (evtl. sogar noch schlimmer da eine falsche Sicherheit vermittelt wird) wie eine nicht vorhandene Software. Man sieht wozu man solche unfertigen Sachen missbrauchen kann (siehe GAV's Unpacking).

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 14:43

[forge77]

Und warum sollte ein Generic Unpacking fuer Viren nicht wichtig sein? Damit koennte man polymorphe Viren decrypten.

Das macht doch sowieso jeder (vernünftige) Scanner mit Hilfe seiner Emulation - Nod32 hat nur den "Einsatzbereich" seiner Emulation auf's (generic) Unpacking erweitert.

[Gast_Andreas Haak_*]

Das macht doch sowieso jeder (vernünftige) Scanner mit Hilfe seiner Emulation - Nod32 hat nur den "Einsatzbereich" seiner Emulation auf's (generic) Unpacking erweitert.

Schneller *bäääääääh* *g* (ich liebe es infantil zu sein *lol*)

[forge77]

Och menno...

[SkeeveDCD]

[QUOTE]Die AH besteht NICHT NUR aus dem Generic Unpacking, sondern auch aus Decompilern für Delphi und visual Basic und Heuristiken für Backdoors, Würmer etc. .[/QUOTE]

Schoen, und wie will AH das Decompilieren anstellen wenn es nicht schafft durch den Packer/Crypter zu kommen?

Abgesehen davon, wer Malware mit Delphi oder VB schreibt verdient sowieso keine Beachtung. ;-)

[QUOTE]Autsch ... offensichtlich GAR nix gecheckt. Also:[/QUOTE]

Es kann ja nicht jeder Allwissend sein. ICH BIN SO UNWÜRDIG!

[QUOTE]NOD32 hat eine normale Emulation für Verschlüsselungen (egal ob statisch, polymorph oder metamorph). Solch eine Emulation besitzt derzeit wohl JEDER Scanner.[/QUOTE]

Das hört sich jetzt an wie "Also am Anfang gab es da die Bienen und die Blumen"...

[QUOTE]Daher ist deine Aussage totaler Blödsinn. Denn man hat Quasi das Verfahren, das erfolgreich bei polymorphen Viren eingesetzt hat, jetzt auf Packer übertragen. Daher ist dein Vorschlag das mal umgekehrt zu machen recht widersprüchlich.[QUOTE]

Deine Argumentation ist echt beispielhaft. Erst sagst du, das Generic Unpacking wurde aus der Codeemu fuer Poly Viren entwickelt und danach das man das die so erweiterte Emu nicht auch fuer Poly-Viren einsetzen sollte. Aha. Erst preist du das Generic Unpacking als tolles Feature an und dann sagste das Unpacking ist gar nicht so wichtig.

[QUOTE]Einen Virus kannst Du zwar verstecken mit UPX, aber spätestens in der nächsten "Generation" ist er wieder ungepackt. Also ... who cares? [/QUOTE]

Genau, wenn der Virus NOD32 oder das sonstige eingesetzte AV-Programm im Speicher patched und auf HDD unbrachbar macht weil der Dropper nicht erkannt wurde - das ist total unwichtig.

[Gast_Andreas Haak_*]

>Abgesehen davon, wer Malware mit Delphi oder VB schreibt verdient sowieso keine
>Beachtung. ;-)

Defacto sind die meisten RATs und Würmer aber in einer der beiden Sprachen entwickelt ;o).

Abgesehen davon:
ASPack verdient keinerlei Beachtung ... ist Delphi *g*. Morphine übrigens auch. Und dafür das Delphi ja so primitiv ist, macht Morphine RAV aber mächtig Probleme *g*.

>Es kann ja nicht jeder Allwissend sein. ICH BIN SO UNWÜRDIG!

Schwachsinn ... obwohls schon dumm aussieht wenn du ein Verfahren kritisierst, daß Du weder kennst noch verstanden hast. "Audi is doof. Hab noch nie einen Gefahren, aber es ist doof."

>Deine Argumentation ist echt beispielhaft. Erst sagst du, das Generic Unpacking
>wurde aus der Codeemu fuer Poly Viren entwickelt und danach das man das die so
>erweiterte Emu nicht auch fuer Poly-Viren einsetzen sollte.

Hach ja - ich werde meine Beiträge wohl besser strukturieren müssen (oder meinen Tipp Ex Rausch ausschlafen *g*).

>Genau, wenn der Virus NOD32 oder das sonstige eingesetzte AV-Programm im
>Speicher patched und auf HDD unbrachbar macht weil der Dropper nicht erkannt
>wurde - das ist total unwichtig.

Dropper --> Trojaner. Wir reden von nem Virus.
Angenommen ne Notepad.exe ist infiziert und wird danach gepackt. Die Notepad EXE würde evtl. wohl als Infektionsherd nicht ausgemacht werden können. Wohl aber sobald der Virus versucht eine Datei auf deinem Rechner zu infizieren. Klassenziel erfüllt ... Rechner vor Infektion bewahrt. Daher ist ein Unpacking für einen reinen Virenscanner nicht wirklich notwendig.

[SkeeveDCD]

ASPack verdient keinerlei Beachtung ... ist Delphi *g*. Morphine übrigens auch. Und dafür das Delphi ja so primitiv ist, macht Morphine RAV aber mächtig Probleme *g*.

Nochmal: was nuetzt da einen der Decompiler fuer Delphi/VB wenn man durch den Crypter/Packer nicht durchkommt?

Schwachsinn ... obwohls schon dumm aussieht wenn du ein Verfahren kritisierst, daß Du weder kennst noch verstanden hast.

Klar, hab ja nur 1992 schon ne CodeEmu geschrieben. Der einzige der hier nichts verstehst bist du, das macht schon dein Argumentationsstil klar. Bring erstmal Leistung bevor du ueber andere laesterst. Sonst machst du dich nur einfach laecherlich.

Hach ja - ich werde meine Beiträge wohl besser strukturieren müssen (oder meinen Tipp Ex Rausch ausschlafen *g*).

Ja red dich nur raus.

Dropper --> Trojaner. Wir reden von nem Virus.
Angenommen ne Notepad.exe ist infiziert und wird danach gepackt. Die Notepad EXE würde evtl. wohl als Infektionsherd nicht ausgemacht werden können. Wohl aber sobald der Virus versucht eine Datei auf deinem Rechner zu infizieren. Klassenziel erfüllt ... Rechner vor Infektion bewahrt. Daher ist ein Unpacking für einen reinen Virenscanner nicht wirklich notwendig.

Und was ist wenn der Virus den Dropper passend im System plaziert so das er bei jedem Systemstart ausgefuehrt wird und so eine Reinfektion sicherstellt?

Punkt ist ganz einfach das das Generic Unpacking von NOD32 in der jetzigen Form kaum was leistet - das kannst du gerne weiterhin schoenreden. Ich verstehe da denn Sinn nicht. Zahlen die dir Geld dafuer? Oder sind wir jetzt bei den heiligen Linux vs Windows-Diskussionen angelangt? Hier geht es nicht um Glaubensfragen, sondern um Leistung. Nachweisbare Leistung.

[Gast_Andreas Haak_*]

>Nochmal: was nuetzt da einen der Decompiler fuer Delphi/VB wenn man durch den
>Crypter/Packer nicht durchkommt?

Ich hab mich auf deine Aussage bezogen das Delphi und VB Malware nicht erwähnenswert wäre. Auf nichts anderes.

>Klar, hab ja nur 1992 schon ne CodeEmu geschrieben. Der einzige der hier nichts
>verstehst bist du, das macht schon dein Argumentationsstil klar. Bring erstmal

Ahja - daher auch der Vorschlag Generic Unpacking für poly Engines zu nutz, gell?

Ansonsten:
Sorry, ich hatte eine glückliche Kindheit. 92 hab ich lieber mit Freunden gespielt als am PC zu hocken *g*.

>Leistung bevor du ueber andere laesterst. Sonst machst du dich nur einfach
>laecherlich.

Wo ist deine Leistung, das Du kritisierst? Ich setz mir gerne den Hut auf, wenn Du es auch machst. Zeig deine Leistung und zeig das Du somit das Recht hast zu kritisieren.

>Und was ist wenn der Virus den Dropper passend im System plaziert so das er bei
>jedem Systemstart ausgefuehrt wird und so eine Reinfektion sicherstellt?

Was bringts? Wird die Infektion wieder verhindert - bei jedem Systemstart. Nervig zwar, aber ändert nichts daran das die Infektion verhindert wurde.

>Punkt ist ganz einfach das das Generic Unpacking von NOD32 in der jetzigen Form
>kaum was leistet

Agree. Aber nicht in der Form wie dein Statement zuerst formuliert wurde: "Schwachsinn".

Und zum Thema rausreden:

Daher ist deine Aussage totaler Blödsinn. Denn man hat Quasi das Verfahren, das erfolgreich bei polymorphen Viren eingesetzt hat, jetzt auf Packer übertragen. Daher ist dein Vorschlag das mal umgekehrt zu machen recht widersprüchlich.

Widersprüchlich, da eine Emulation für ein generic unpacking ist anders aufgebaut als eine normale CodeEmu für Viren etc. . Es gibt zwangsläufig andere "Trigger" um die Emulation abzubrechen etc. Ein Generic Unpacking dann für Viren einzusetzen hätte wenig Sinn, da evtl. Viren verpasst werden oder aber unnötig lange emuliert wird.

Defacto benutzt NOD32 eh ein und die selbe Emulation für beides - nur halt andere Module die die Emulation steuern.

Ich hab nur nicht mehr wirklich Lust das noch großartig weiter breitzutreten. Kommen wir zu dem Punkt:

Generic Unpacking ist nicht Schwachsinnig, aber noch in den Kinderschuhen und somit verbesserungswürdig bzw. unausgereift.

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 16:37

[Gast_Nautilus_*]

Ich hab die obigen Testergebnisse noch um F-Secure erweitert.

Nautilus

(Ausserdem habe ich nach einer kurzen Internetrecherche beschlossen, dass SkeeveDCD wohl ein Halbtroll sein muss, der zwar an heissen Forumsdiskussionen und Kontrageben interessiert ist, die Sache aber nicht wirklich voranbringen will. Daher ignoriere ich seine Postings jetzt erstmal so lange, bis er sich ernsthaft Mühe gibt, verständlich, respektvoll und konstruktiv zu schreiben.)

[Gast_Andreas Haak_*]

(Ausserdem habe ich nach einer kurzen Internetrecherche beschlossen, dass SkeeveDCD wohl ein Halbtroll sein muss, der zwar an heissen Forumsdiskussionen und Kontrageben interessiert ist, die Sache aber nicht wirklich voranbringen will. Daher ignoriere ich seine Postings jetzt erstmal so lange, bis er sich ernsthaft Mühe gibt, verständlich, respektvoll und konstruktiv zu schreiben.)

*rofl* ... na ganz so weit würd ich nicht gehen ...

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 16:32

[SkeeveDCD]

Ahja - daher auch der Vorschlag Generic Unpacking für poly Engines zu nutz, gell?

Da hat einer das Prinzip der Code Emulation nicht ganz verstanden, was? ;-)

Sorry, ich hatte eine glückliche Kindheit. 92 hab ich lieber mit Freunden gespielt als am PC zu hocken *g*.

Jo, kann mich noch an deinen VHM-Meeting Auftritt erinnern. ;-)

Wo ist deine Leistung, das Du kritisierst? Ich setz mir gerne den Hut auf, wenn Du es auch machst. Zeig deine Leistung und zeig das Du somit das Recht hast zu kritisieren.

Tja so einfach mache ich es dir nicht, wenn du noch immer nicht gemerkt hast wer ich bin dann grueble mal fleissig weiter.

Was bringts? Wird die Infektion wieder verhindert - bei jedem Systemstart. Nervig zwar, aber ändert nichts daran das die Infektion verhindert wurde.

Wie willst du die Infektion verhindern wenn der Virus erst einmal gestartet ist? Die Moeglichkeiten des Virenscanners dann noch was zu machen sind eher gering - wenn der Virenprogrammierer was drauf hat.

Agree. Aber nicht in der Form wie dein Statement zuerst formuliert wurde: "Schwachsinn".

Hmm, da hat der Herr Haak aber wieder Erinnerungsluecken wer da zuerst von Schwachsinn geredet hat. Wie Nautilus sagt, vielleicht solltest du die Leute mit ein bisschen mehr Respekt behandeln?

Widersprüchlich, da eine Emulation für ein generic unpacking ist anders aufgebaut als eine normale CodeEmu für Viren etc. . Es gibt zwangsläufig andere "Trigger" um die Emulation abzubrechen etc. Ein Generic Unpacking dann für Viren einzusetzen hätte wenig Sinn, da evtl. Viren verpasst werden.

So wuerdest du das Problem angehen - und jetzt behauptest du, dein Ansatz ist die einzige moegliche Loesung? Stell dir vor, es gibt auch noch Programmierer ausser dir die was drauf haben.

Defacto benutzt NOD32 eh ein un die selbe Emulation für beides - nur halt andere Module die die Emulation steuern

Und wieder widersprichst du dir selber. Erst sagen der doppelte Einsatz macht keinen Sinn und dann "ach ja, NOD32 macht das eigentlich auch so".

Ich hatte nur nicht mehr wirklich Lust das noch großartig weiter breitzutreten.

Tja, andere arbeiten ernsthaft und du nach dem Lustprinzip.



@Nautilus:

Ausserdem habe ich nach einer kurzen Internetrecherche beschlossen, dass SkeeveDCD wohl ein Halbtroll sein muss, der zwar an heissen Forumsdiskussionen und Kontrageben interessiert ist, die Sache aber nicht wirklich voranbringen will. Daher ignoriere ich seine Postings jetzt erstmal so lange, bis er sich ernsthaft Mühe gibt, verständlich, respektvoll und konstruktiv zu schreiben.)

Nein, Aahz war der Troll, err, Demon. Noch so einer mit Gedaechtnisluecke. ;-)
Ignorierst du Andreas jetzt auch? Der ist weder verständlich, respektvoll noch konstruktiv.

[Gast_Andreas Haak_*]

>Da hat einer das Prinzip der Code Emulation nicht ganz verstanden, was? ;-)

Doch schon. Allerdings wie gesagt ein Unterschied, ob Du einen poly decryptor durch emulierst oder aber einen packer stub ... . Eine Emulation die darauf aus ist möglichst den punkt abzupassen an dem n ASPack oder UPX File entpackt ist, arbeitet zwangsläufig anders als eine Emulation für Viren. Dann eine Emulation für Packer auf einen Virus loszulassen ist nicht sinnvoll.

Stimm darin über ein oder nicht. Ich kann damit leben und du sicher auch *g*.

>Jo, kann mich noch an deinen VHM-Meeting Auftritt erinnern. ;-)

An welchen? *g* Da gabs mehrere. Einen eher unfreiwillig - die anderen unter Hormoneinfluß (aber: Ich steh dazu - zu allem *lol*).

BTW:
Bei der VHM akzeptieren sie Drogensüchtler? Interessant *g*.

>Tja so einfach mache ich es dir nicht, wenn du noch immer nicht gemerkt hast wer ich
>bin dann grueble mal fleissig weiter.

Uuuuh - wer wird jetzt kindisch von uns beiden? *g* "Such mich!" ... . Ich würde aber auf Tjark Auerbach oder Dirk Kollberg tippen ... .

>Wie willst du die Infektion verhindern wenn der Virus erst einmal gestartet ist?

Defacto ist der Wächter meist als Dienst implementiert (9x mal ausgenommen)? Auch unter Windows gilt das Motto wer zuerst kommt malt zuerst. Aber ja, ich weiß was jetzt kommt ... der Virus könnte ja ... und dann ... könnte... wenn ... aber vielleicht. Es macht nicht wirklich Sinn. Wenn Du vorbei kommst, kommst Du vorbei. Da brauchen wir nicht streiten.

>Hmm, da hat der Herr Haak aber wieder Erinnerungsluecken wer da zuerst von
>Schwachsinn geredet hat.

Du - zumindest in Bezug auf NOD32. Das erste Mal das ich Schwachsinn sagte war zu deiner Behauptung, das die Generic Unpacking Engine ein besserer UPX Unpacker ist. Aber lesen is scho schwer.

>So wuerdest du das Problem angehen - und jetzt behauptest du, dein Ansatz ist die
>einzige moegliche Loesung? Stell dir vor, es gibt auch noch Programmierer ausser
>dir die was drauf haben.

Uuuuh - jetzt gibst Du sogar schon zu das ich was drauf hab? (Lustig Worte in den Mund gelegt zu bekommen, gell? *g*) Ich hab nie behauptet das es die einzig machbare Lösung ist.

>Und wieder widersprichst du dir selber. Erst sagen der doppelte Einsatz macht
>keinen Sinn und dann "ach ja, NOD32 macht das eigentlich auch so".

Irrtum. Das die Emulation wohl gleich ist, ist wohl klar. Ein mov bleibt ein mov - egal ob du grade einen Packer Stub oder nen Decryptor durch emulierst.

Wohl aber unterschiedlich ist die Art wie sich die Emu verhält. As I said ... es ist ein Unterschied ob Du einen Virus emulierst oder eine gepackte Datei.

>Tja, andere arbeiten ernsthaft und du nach dem Lustprinzip.

Exakt. Ich geb zu sehr "triebgesteuert" zu sein. Wenn ich keinen Bock hab, ist es schwer mich selbst zu motivieren. Aber letztlich gibt es Möglichkeiten sowas zu kompensieren *g*.

Der Beitrag wurde von Andreas Haak bearbeitet: 09.09.2003, 17:36

[SkeeveDCD]

BTW:
Bei der VHM akzeptieren sie Drogensüchtler? Interessant *g*.

Nicht von dir auf andere schliessen. Du bist schliesslich hier der TippEx-Schnueffler.

Ich würde aber auf Tjark Auerbach oder Dirk Kollberg tippen ... .

Der Kandidat hat Null Punkte.

Wenn Du vorbei kommst, kommst Du vorbei. Da brauchen wir nicht streiten.

Vorhin klang das aber noch anders. Da war Unpacking noch voellig unwichtig. Ja was denn nun? Soll der Eintritt ins System verhindert werden oder nicht?

>Hmm, da hat der Herr Haak aber wieder Erinnerungsluecken wer da zuerst von Schwachsinn geredet hat.

Du - zumindest in Bezug auf NOD32. Das erste Mal das ich Schwachsinn sagte war zu deiner Behauptung, das die Generic Unpacking Engine ein besserer UPX Unpacker ist. Aber lesen is scho schwer.

Ja, lesen ist schwer wie du gerade wieder bewiesen hast. Erst unmotiviert Leute beschimpfen und sich dann wundern wenn das nicht gut ankommt.

Aber letztlich gibt es Möglichkeiten sowas zu kompensieren *g*.

Man merkt's, unmotiviert Leute beschimpfen. Vielleicht anstatt am TippEx zu schnueffeln ne Runde Prozac (II?) einwerfen?