Ne, mein Analysesystem ist ein "ganz normales" Windows auf einem isoliertem physikalischen PC, den ich per Snapshots zurücksetzen kann. Ist auch nichts installiert, was fälschlicherweise als VM erkannt werden können sollte. VT-x ist deaktiviert.

Bei mir auch. Gleich kommt die IT-Sicherheit des Unternehmens und verhaftet mich.

Das Archiv konnte ich laden.
Jedoch beim entpacken kam die Meldung

gruss

Ich habe die Hauptnachricht jetzt mit Warnung versehen,

tut mir mehr als leid das ich die mini datei vorher nicht bei VirusTotal getestet habe, das kommt nicht nochmal vor!!

Der Anhang ist noch unverändert, also inklusive Fehlalarm von Scannern.
Sobald ich den Stub überarbeitet und ausführlicher getestet habe probiere ich es nochmal.

Grüße

Was ist eigentlich das Ziel Deines Feldversuches?
Warum versuchst Du, unter dem Radar von gängigen Antiviren-Programmen zu verschwinden?
Wenn es sich bei Deiner Datei um einen harmlosen Test handelt, verstehe ich hingegen Deine nachträglich hinzugefügte Warnung nicht.
Ich gewinne den Eindruck, dass wir gerade vor einem mehr als halbseidenen Projekt stehen.

@Daniel:
Ziel soll sein, das man mit egal welchen Exe-Packer keine AntiVirus Fehlalarme auslöst. (Malware)
Das nervt mich schon ewig und mit diesem Projekt will ich halt erreichen das Exe-gepackte Dateien nicht mehr automatisch als "Böse" eingestuft werden. Exe-Packer können ja nichts direkt dafür.
Als Nebeneffekt soll natürlich auch ein HexEditing verhindert werden, da Datei ja komprimiert ist.

Oder gibt es bereits Lösungen für solch eine Situation?
Ich meine damit nicht das man auf einen bestimmten Exe-Packer (UPX z.Bsp) ausweichen muss da der von AntiViren programme ja meist nativ unterstützt wird. Es sollte eine universelle Lösung sein.

Deshalb Stub so designed das seine Entropy nicht extrem hoch ausfällt und die per Resource eingebundene PE-Datei hat meist eine Entropy nahe 8 (maximum)

Grüße

edit: ich will damit keinen ExePacker sind doof weil xyz sturm auslösen, ich will eine lösung schaffen für leute die ExePacker einsetzen wollen.

Schick doch das Programm einfach bei denen ein und lass es Whitelisten.
Ein weitere Reduzierung der Probleme bekommst du mit einer Code Signatur hin.

Du denkst falsch rum. Falls du es schaffen solltest unter dem Radar von Antivirenprogrammen hindurchzufliegen werden Malware-Programmierer sich deine Methode abschauen und schon ist dein exe-Packer wieder auf der bösen Liste.
Ist ja nicht so als würde sich Malware-Programmierer freiwillig brav die Methoden aussuchen die von Antivirenprogrammen erkannt werden.