AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Delphi generiert Virus ?

Ein Thema von mittelhirn · begonnen am 23. Aug 2008 · letzter Beitrag vom 13. Jan 2009
Antwort Antwort
Seite 3 von 3     123   
angos

Registriert seit: 26. Mai 2004
Ort: Rheine
549 Beiträge
 
Delphi 11 Alexandria
 
#21

Re: Delphi generiert Virus ?

  Alt 28. Aug 2008, 14:54
Zitat von 0xF30FC7:
Die Aussage ist falsch. Es hat durchaus einen Grund wieso WebWasher Delphi (2007?) Executables als infiziert betrachtet.

Im Normalfall hat eine Executable exakt eine ausführbare Section (.text) und in dieser liegt entsprechend auch der Entry Point, ausser ... ja ausser sie ist infiziert. Dann gibts oftmals eine weitere ausführbare Section und der Entry Point zeigt nicht mehr in die erste ausführbare Section sondern in die zweite.

Die Delphientwickler habens leider nicht so mit Standards oder meinen es besser zu wissen als alle anderen und daher haben Delphi Executables nun leider Gottes nicht eine sondern mindestens zwei ausführbare Sections (.text, .itext) und der Entry Point zeigt auch nicht auf die erste Section (.text) sondern auf die zweite (.itext). Rein strukturell sehen Delphi Executables also aus wie infiziert.

Sobald Du die Executable patchst und den Entry Point in die erste Section verlegst, so daß sie aussieht wie eine "normale" ausführbare Datei, hat auch WebWasher nichts mehr zu bemängeln.
Hi,

wenn ich jetzt mal davon ausgehe, dass das was du geschrieben hast, richtig ist (das weis ich leider nicht und habe momentan auch nicht die Zeit das komplett zu prüfen), wie würde ich die Exe patchen müßen?

Gruß
Ansgar
Ansgar
  Mit Zitat antworten Zitat
Fridolin Walther

Registriert seit: 11. Mai 2008
Ort: Kühlungsborn
446 Beiträge
 
Delphi 2009 Professional
 
#22

Re: Delphi generiert Virus ?

  Alt 28. Aug 2008, 16:37
Entry Point auf eine Code Cave in der ersten Section legen und die Code Cave mit nem einfachen Loader Code füllen (mov eax, <Original EIP>; jmp eax. Ist relativ einfach mit nem Hex und PE Editor zu bewerkstelligen. Ließe sich wahrscheinlich sogar automatisieren. Wenn es Interesse an nem kleinem Patcher gibt, der Delphi Executables so ändert, das sie von WebWasher nicht mehr moniert werden, kann ichs ja mal implementieren.
Fridolin Walther
  Mit Zitat antworten Zitat
Cicaro

Registriert seit: 9. Feb 2005
285 Beiträge
 
Delphi 7 Personal
 
#23

Re: Delphi generiert Virus ?

  Alt 12. Jan 2009, 17:37
Also nachdem mein AV mir fast jedes meiner derzeitigen EXE meiner Delphi-Projekte als Trojaner meldet, hab ich die Idee, dass in letzter Zeit viele neue Viren/Trojaner in Delphi geschrieben wurden und mittlerweile in die Liste der AV Scanner gekommen sind.
Wenn man nun einfach mal schnell ein Programm schreibt und compiliert, wird das als einer dieser Viren erkannt.

Ist meine Überlegung logisch ?

Und wenn alle einfach so (ohne eigene Signatur) erstellte Delphi-Projekte die gleiche Signatur tragen, ist das Schreiben eines Viruses mit der typischen Delphi-Projekt-Signatur nicht auch ein Angriff auf alle Delphi-Entwickler ? Denn der AV nervt so beim Entwickeln und wenn nun auch noch einer auf die Idee kommt seinen AV auszumachen ...
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#24

Re: Delphi generiert Virus ?

  Alt 12. Jan 2009, 18:07
Zitat von Cicaro:
Also nachdem mein AV mir fast jedes meiner derzeitigen EXE meiner Delphi-Projekte als Trojaner meldet, hab ich die Idee, dass in letzter Zeit viele neue Viren/Trojaner in Delphi geschrieben wurden und mittlerweile in die Liste der AV Scanner gekommen sind.
Wenn man nun einfach mal schnell ein Programm schreibt und compiliert, wird das als einer dieser Viren erkannt.

Ist meine Überlegung logisch ?

Und wenn alle einfach so (ohne eigene Signatur) erstellte Delphi-Projekte die gleiche Signatur tragen, ist das Schreiben eines Viruses mit der typischen Delphi-Projekt-Signatur nicht auch ein Angriff auf alle Delphi-Entwickler ? Denn der AV nervt so beim Entwickeln und wenn nun auch noch einer auf die Idee kommt seinen AV auszumachen ...
Hast du deine Projekte mal auf einem anderen Rechner kompiliert? Es könnte auch sein, dass du einen Virus hast, der automatisch neue EXE-Dateien infiziert.
  Mit Zitat antworten Zitat
Cyf

Registriert seit: 30. Mai 2008
407 Beiträge
 
Lazarus
 
#25

Re: Delphi generiert Virus ?

  Alt 12. Jan 2009, 18:32
Ich hatte das Problem eigentlich bisher nur einmal bei einem Programm (für mich), das sich bestimmte Fensterhandles holt, um etwas zu automatisieren, was aber offensichtlich auch nicht so wollte, wie ich mir das gedacht hatte. War der Versuch ein Fensterhandle von MSN zu holen, um einem Freund was automatisch auf Reaktion zu schreiben, war aber nur zwischen uns und zum Spaß gedacht. Ich schätze mal der Virenscanner schlug aus, weil hin und wieder ja diese extrem nervigen MSN-Spam-Viren rumkursieren. Schätze mal, MS hat da mittlerweile wohl auch einen Schutz eingebaut über Handles Nachrichten zu versenden, oder ich war an dem Tag einfach zu dumm.
  Mit Zitat antworten Zitat
Cicaro

Registriert seit: 9. Feb 2005
285 Beiträge
 
Delphi 7 Personal
 
#26

Re: Delphi generiert Virus ?

  Alt 13. Jan 2009, 10:41
Zitat von NamenLozer:
Zitat von Cicaro:
Also nachdem mein AV mir fast jedes meiner derzeitigen EXE meiner Delphi-Projekte als Trojaner meldet, hab ich die Idee, dass in letzter Zeit viele neue Viren/Trojaner in Delphi geschrieben wurden und mittlerweile in die Liste der AV Scanner gekommen sind.
Wenn man nun einfach mal schnell ein Programm schreibt und compiliert, wird das als einer dieser Viren erkannt.

Ist meine Überlegung logisch ?

Und wenn alle einfach so (ohne eigene Signatur) erstellte Delphi-Projekte die gleiche Signatur tragen, ist das Schreiben eines Viruses mit der typischen Delphi-Projekt-Signatur nicht auch ein Angriff auf alle Delphi-Entwickler ? Denn der AV nervt so beim Entwickeln und wenn nun auch noch einer auf die Idee kommt seinen AV auszumachen ...
Hast du deine Projekte mal auf einem anderen Rechner kompiliert? Es könnte auch sein, dass du einen Virus hast, der automatisch neue EXE-Dateien infiziert.
Ne, aber ich hab mal meine C Partition formatiert und Windows XP neu installiert. Das Problem blieb bestehen.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:24 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz