AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

.exe Datei Entpack Test

Ein Thema von Fukiszo · begonnen am 29. Jan 2018 · letzter Beitrag vom 30. Jan 2018
Antwort Antwort
Seite 2 von 2     12   
Fukiszo
(Gast)

n/a Beiträge
 
#11

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 15:38
@Daniel:
Ziel soll sein, das man mit egal welchen Exe-Packer keine AntiVirus Fehlalarme auslöst. (Malware)
Das nervt mich schon ewig und mit diesem Projekt will ich halt erreichen das Exe-gepackte Dateien nicht mehr automatisch als "Böse" eingestuft werden. Exe-Packer können ja nichts direkt dafür.
Als Nebeneffekt soll natürlich auch ein HexEditing verhindert werden, da Datei ja komprimiert ist.

Oder gibt es bereits Lösungen für solch eine Situation?
Ich meine damit nicht das man auf einen bestimmten Exe-Packer (UPX z.Bsp) ausweichen muss da der von AntiViren programme ja meist nativ unterstützt wird. Es sollte eine universelle Lösung sein.

Deshalb Stub so designed das seine Entropy nicht extrem hoch ausfällt und die per Resource eingebundene PE-Datei hat meist eine Entropy nahe 8 (maximum)

Grüße

edit: ich will damit keinen ExePacker sind doof weil xyz sturm auslösen, ich will eine lösung schaffen für leute die ExePacker einsetzen wollen.

Geändert von Fukiszo (30. Jan 2018 um 15:42 Uhr)
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#12

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 15:47
Schick doch das Programm einfach bei denen ein und lass es Whitelisten.
Ein weitere Reduzierung der Probleme bekommst du mit einer Code Signatur hin.
Coding BOTT - Video Tutorials rund um das Programmieren - https://www.youtube.com/@codingbott
  Mit Zitat antworten Zitat
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#13

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 16:49
@Daniel:
Das nervt mich schon ewig und mit diesem Projekt will ich halt erreichen das Exe-gepackte Dateien nicht mehr automatisch als "Böse" eingestuft werden. Exe-Packer können ja nichts direkt dafür.
Ich meine damit nicht das man auf einen bestimmten Exe-Packer (UPX z.Bsp) ausweichen muss da der von AntiViren programme ja meist nativ unterstützt wird. Es sollte eine universelle Lösung sein.
Du denkst falsch rum. Falls du es schaffen solltest unter dem Radar von Antivirenprogrammen hindurchzufliegen werden Malware-Programmierer sich deine Methode abschauen und schon ist dein exe-Packer wieder auf der bösen Liste.
Ist ja nicht so als würde sich Malware-Programmierer freiwillig brav die Methoden aussuchen die von Antivirenprogrammen erkannt werden.
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
TiGü

Registriert seit: 6. Apr 2011
Ort: Berlin
3.070 Beiträge
 
Delphi 10.4 Sydney
 
#14

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 17:18
Warum zippst du deine Exe nicht einfach?
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#15

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 17:29
Du denkst falsch rum. Falls du es schaffen solltest unter dem Radar von Antivirenprogrammen hindurchzufliegen werden Malware-Programmierer sich deine Methode abschauen und schon ist dein exe-Packer wieder auf der bösen Liste.
Das kann man so nicht sagen. Antiviren Programme arbeiten nach wie vor primär mit simplen Signaturen. Genau das ist aber auch der Grund, warum oftmals legitime Produkte (z.b. Themida, VMProtect, oder damals sogar UPX) generell als Malware erkannt werden, da diese Programme häufig verwendet werden, um tatsächliche Malware zu maskieren.

Dementsprechend einfach ist es aber auch eine bestehende Malware vor beliebigen Antivirenprogrammen zu verstecken. Man muss lediglich die Signatur tarnen und die spärliche Laufzeitanalyse / Emulation umgehen. Ersteres geht natürlich wunderbar mit einem Exe-Packer, der RunPE ähnliche Verfahren einsetzt. Hierbei wird eine beliebige Anwendung verschlüsselt und an eine Stub angehangen. Die Stub entschlüsselt die Payload dann zur Laufzeit und führt sie direkt im eigenen Prozess (oder in einem neu gestarteten Fremdprozess) aus - ohne, dass die entschlüsselte Datei zuerst wieder auf die Festplatte geschrieben wird. Dass dieses Verfahren schon lange missbraucht wird, ist vermutlich auch der Grund, warum die entsprechende Vorgehensweise in Fukiszos Test entsprechend hart erkannt wird.

Warum zippst du deine Exe nicht einfach?
Auch wenn ich definitiv ebenfalls eher zu .zip tendiere, bitte nicht wieder die Diskussion pro/contra Packer anstoßen Ich glaube zudem möchte er sein Programm vor Manipulation schützen. Dass dafür die oben genannten professionellen Lösungen allerdings ausschließlich immer besser sind, als etwas Selbstgebasteltes (solange man nicht nochmal tausende Stunden in den Schutz investieren will) habe ich auf der anderen Seite auch schon des öfteren erwähnt und das kann ich auch nur nochmal ausdrücklich wiederholen.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Fukiszo
(Gast)

n/a Beiträge
 
#16

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 19:39
Warum zippst du deine Exe nicht einfach?
Der Anhang ist ein Archiv, 7-Zip nicht (PK)Zip. Falls du ein SFX-Archiv meintest, darauf wollt ich nicht hinaus.

Du denkst falsch rum. Falls du es schaffen solltest unter dem Radar von Antivirenprogrammen hindurchzufliegen werden Malware-Programmierer sich deine Methode abschauen und schon ist dein exe-Packer wieder auf der bösen Liste.
Das kann man so nicht sagen. Antiviren Programme arbeiten nach wie vor primär mit simplen Signaturen. Genau das ist aber auch der Grund, warum oftmals legitime Produkte (z.b. Themida, VMProtect, oder damals sogar UPX) generell als Malware erkannt werden, da diese Programme häufig verwendet werden, um tatsächliche Malware zu maskieren.
Absolut korrekt, die meisten scanner arbeiten entweder per signatur oder meckern generell wenn man funktionen wie "RunPE" nutzt (CreateProcess ist ein beliebtes "Böses" merkmal)

Nichtsdestotrotz hat es Neutral General dennoch auf den Punkt gebracht das so ein vorhaben sinnlos ist.
Sobald die ersten trojaner/würmer/viren etc in den umlauf gelangen, mit meinem stub ausgestattet = stub dann auto-böse auch wenn ich nichts dafür kann und normale programme mit blacklisted werden.

Ich stell dieses projekt ein.

Danke für Eure Ansichten und Meinungen!!!

ps:
mein projekt ist/war kein packer sondern ein wrapper.
"Sicherheit" anbieten ist/war nicht mein Ziel. Das sollte das programm bieten womit ich die .exe im vorfeld bearbeite.
ich pers. mag zum beispiel ASpack aber kann keine .exe verteilen die das nutzen weil auto-blacklist aus oben genannten gründen.

das thema hat sich damit für mich erledigt (-:


Grüße
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:38 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz