AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Object-Pascal / Delphi-Language Delphi Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Thema durchsuchen
Ansicht
Themen-Optionen

Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

Ein Thema von internetnavigator · begonnen am 19. Mai 2010 · letzter Beitrag vom 21. Mai 2010
Antwort Antwort
Seite 3 von 3     123   
Benutzerbild von implementation
implementation

Registriert seit: 5. Mai 2008
940 Beiträge
 
FreePascal / Lazarus
 
#21

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 18:46
Ich denke mal die testen das Ding dann inner Sandbox und schaun, was es anrichtet.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#22

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 18:56
Zitat von internetnavigator:
Könnte da jeder seine Viren hin schicken und die verifizieren die?
Habe ich mich auch schon gefragtm müsste man eigentlich mal ausprobieren. Würde mich nicht wundern, wenn da gelegentlich aus Faulheit nicht mehr genauer nachgeprüft wird.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#23

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 19:00
Wie sollten die ihre Virendantenbank aufbauen, wenn sie den Quellcode bräuchten? Oder meint ihr die Virenautoren schicken denen die Quellcodes von ihren Viren? Die werden die Exe disassemblieren und gucken, was sie macht. Die brauchen den Quellcode nicht. Und wenn, dann bräuchten sie ja für jede Programmiersprache extra Compiler und IDs. Wie soll das funktionieren?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#24

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 20:02
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.

Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der
Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe...

Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst:
MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' ); denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben}

MfG
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
Benutzerbild von H4ndy
H4ndy

Registriert seit: 28. Jun 2003
Ort: Chemnitz
515 Beiträge
 
Delphi XE3 Professional
 
#25

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 21:32
Versuch doch mal CreateProcess und ruf einfach die cmd.exe (Win2K oder neuer) bzw. command.exe (Win9 mit deiner Batch als Parameter auf.
Manuel
  Mit Zitat antworten Zitat
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#26

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 21:34
Zitat von Aphton:
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.

Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der
Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe...

Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst:
MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' ); denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben}

MfG
Wenn er schon damit anfängt dann kann das ja was werden, sowas ist keine Lösung. Wenn schon dann maximal GetProcAddress ( hDLL, "ShellExecute" ), aber mehr auch nicht. Er kann ja nichts dafür, dass ein AntiViren Hersteller schlechte Signaturen benutzt ( false positives kommen oft vor ).
Am besten du schreibst ihnen eine Mail, und verweist eventuell auf den Thread hier. Sie sollten dann im besten Fall die Signatur rausnehmen.
Weil dass du jetzt extra deinen Code umprogrammieren musst nur weil ein AntiViren Hersteller meint dein Programm sei böse, das ist keine Lösung.
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#27

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 22:04
Wo du recht hast, da hast du recht.
Achja, heißt doch "ShellExecute" (Hab mir die Importtabelle nicht angeschaut)

MfG
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat
internetnavigator

Registriert seit: 13. Mai 2006
94 Beiträge
 
RAD-Studio 2010 Arc
 
#28

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 21. Mai 2010, 00:24
Wie gesagt, habs' jetzt im OnActivate der Form... Geht erst einmal, nicht sauber, da habt ihr Recht. Ich hab nur heute Nachmittag released und wenn ich jetz wieder den Installer patche gibts noch ein größeres Durcheinander.

Im nächsten Update werd ich dann das ganze wieder "ordentlich" in das OnCreate schreiben und dann gData kontaktieren.

Vielen Dank erstmal für eure Hilfe...

Achja, das mit dem GetProcAddress ist natürich eine Möglichkeit, aber wenn ShellExecute keine Fehler mehr macht, dann kommt vielleicht irgend etwas anderes und macht Probleme. Ich kann mir ja nicht alle Grundfunktionen so zusammenpuzzlen

Was ich nur vollkommen außer Acht gelassen habe: Wenn gData rummeckert, dann tuen es vielleicht auch andere Scanner :/

mfg !N
  Mit Zitat antworten Zitat
Benutzerbild von H4ndy
H4ndy

Registriert seit: 28. Jun 2003
Ort: Chemnitz
515 Beiträge
 
Delphi XE3 Professional
 
#29

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 21. Mai 2010, 04:43
GData hat keine eigene Engine. Es benutzt zwei Engines anderer Hersteller. Vor zwei Jahren war es BitDefender und Kaspersky. Ob das heute andere sind, weiss ich leider nicht. Ist jedenfalls der Grund, warum GData langsamer ist, dafuer aber zuverlaessiger arbeitet (aber damit auch mit doppelt sovielen False Positives).
Manuel
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#30

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 21. Mai 2010, 06:00
Zitat von internetnavigator:
Wie gesagt, habs' jetzt im OnActivate der Form... Geht erst einmal, nicht sauber, da habt ihr Recht. Ich hab nur heute Nachmittag released und wenn ich jetz wieder den Installer patche gibts noch ein größeres Durcheinander.

Im nächsten Update werd ich dann das ganze wieder "ordentlich" in das OnCreate schreiben und dann gData kontaktieren.

Vielen Dank erstmal für eure Hilfe...

Achja, das mit dem GetProcAddress ist natürich eine Möglichkeit, aber wenn ShellExecute keine Fehler mehr macht, dann kommt vielleicht irgend etwas anderes und macht Probleme. Ich kann mir ja nicht alle Grundfunktionen so zusammenpuzzlen

Was ich nur vollkommen außer Acht gelassen habe: Wenn gData rummeckert, dann tuen es vielleicht auch andere Scanner :/

mfg !N
was du hier beschreibst ist ganz normal. durch zufall entstehen bei der entwicklung öfter mal muster die denen in den signaturen der av programme gleich oder ähnlich sind und dann gibts halt n false positve. meistens lässt sich das ganz einfach beheben, indem man an der betroffenen stelle den code etwas ändert.

Zitat:
Was ich nur vollkommen außer Acht gelassen habe: Wenn gData rummeckert, dann tuen es vielleicht auch andere Scanner :/
soweit ich weiss hat gdata die bitdefender und avast engine.

um zu testen welche scanner dein programm nicht mögen, jag es einfach durch einen online scanner wie z.b.:
http://www.virustotal.com/de/

dort wird dein program von den wichtigsten av scannern getestet.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:57 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz