AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

.exe Datei Entpack Test

Ein Thema von Fukiszo · begonnen am 29. Jan 2018 · letzter Beitrag vom 30. Jan 2018
Antwort Antwort
Seite 1 von 2  1 2      
Fukiszo
(Gast)

n/a Beiträge
 
#1

.exe Datei Entpack Test

  Alt 29. Jan 2018, 21:53
Hallo,
anbei ein kleines beispiel programm + source. (messagebox + da dudelt nur eine melodie)
Ich teste etwas mit exe-packer und eigener stub aus um AntiVirus programme zufrieden zu stellen. (malware warnungen unterbinden)
Das funktioniert soweit auch schon ganz gut, ist bestimmt ein verpöntes thema hier,
aber dank profi's aus vielen bereichen würde ich gerne eure meinung hören ob die .exe datei die im anhang ist "einfach" entpackt/wiederhergestellt werden kann so das es mehr oder weniger einem original kompilat nahe kommt.
Alle Packer/Stub optionen die ein ausführen unter einem Debugger oder VM verhindern sind deaktiviert.

Grüße und viel Spass beim testen


edit: ACHTUNG, datei ist doch nicht AntiVirus stabil, siehe Zacherl's Anhang BEVOR ihr es runterladet!
Angehängte Dateien
Dateityp: 7z PackTest.7z (29,0 KB, 13x aufgerufen)

Geändert von Fukiszo (30. Jan 2018 um 14:53 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#2

AW: .exe Datei Entpack Test

  Alt 29. Jan 2018, 22:42
Also ich wollte es grade herunterladen, aber der Windows Defender hat es noch im 7z Archiv als Virus erkannt Ist zwar nicht ganz das was du wolltest, aber immerhin habe ich so zum ersten Mal gesehen, dass der Defender überhaupt auch nur auf irgendetwas anspringt

Edit:
Virustotal Scan sieht auch eher nach dem Gegenteil aus, was du erreichen wolltest. Ich tippe mal auf die klassische RunPE Variante, die du in einem anderen Thread bereits mal angesprochen hattest?

Edit2:
Auf meinem Testsystem lässt sich die Datei leider nicht starten. Weder mit, noch ohne Debugger. Im Debugger sehe ich eine Stelle mit ganz vielen LoadLibrary und GetProcAddress Aufrufen, wobei die entsprechenden Strings aber ungültig sind und die APIs deshalb immer fehlschlagen (selbst dort, wo TerminateProcess dynamisch geladen werden soll, weil hModule 0 ist).
Miniaturansicht angehängter Grafiken
odvwcvf.png  
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)

Geändert von Zacherl (29. Jan 2018 um 22:57 Uhr)
  Mit Zitat antworten Zitat
Fukiszo
(Gast)

n/a Beiträge
 
#3

AW: .exe Datei Entpack Test

  Alt 29. Jan 2018, 23:04
Ja, habs auch grad mal hochgeladen und war überrascht, so viele böse meldungen.
Wenn ich's mit großen dateien probiere (mit Delphi IDE erstellte Programme) hab ich alles mit grünen haken.... mhhhh...
Obwohl der stub ja der gleiche ist, merkwürdig.
Nein kein RunPE, aber bestimmt nutz ich api's die auch in RunPE vorkommen. Diese aufrufe sind ja oftmals gleich. (CreateProcess)
Das bohrt mich jetzt das winapi dateien nun anscheinend nicht mehr funktionieren.
...Dummding...

Danke für Hinweis, ich arbeite daran und aktualisiere testdatei in ein paar tagen nochmal NACHDEM auf VTotal alles wieder schicki ist mit meiner .exe

Grüße


edit: ohhhh das wird ja immer verrückter, ich kann es unter winXPx32 win7x64 win10x64 ohne fehler aufrufen.
(gedanke: vielleicht liegts am fehlenden manifest, bei mir ist die extern gespeichert)
na ein glück das ich das hier mal zum testen hochlud um all sowas zu erfahren.
(meine api aufrufe sind ein wenig verschleiert im stub damit AntiViren software ruhig bleibt, jedenfalls war das mein grundgedanke)

Geändert von Fukiszo (29. Jan 2018 um 23:11 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#4

AW: .exe Datei Entpack Test

  Alt 29. Jan 2018, 23:09
Wenn ich's mit großen dateien probiere (mit Delphi IDE erstellte Programme) hab ich alles mit grünen haken.... mhhhh...
Glaube das habe ich auch schonmal irgendwo erwähnt, aber ob du die APIs direkt statisch lädst, oder über verschlüsselte Strings erst mühsam dynamisch importierst, wird keinen großen Unterschied machen. Die Scanner machen eh eine Laufzeitanalyse, also emulieren das Programm in einer Sandbox oä. und stoßen damit dann auch zwangsweise auf die entsprechenden Imports. Die Größe des Codes macht auf jeden Fall einen Unterschied, da die Emulation nach einer fest definierten Zeit einfach abgebrochen wird - der Nutzer soll ja nicht jedes Mal 30 Sekunden warten müssen, wenn er einen Prozess startet.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Fukiszo
(Gast)

n/a Beiträge
 
#5

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 12:16
...LoadLibrary und GetProcAddress Aufrufen, wobei die entsprechenden Strings aber ungültig sind und die APIs deshalb immer fehlschlagen (selbst dort, wo TerminateProcess dynamisch geladen werden soll, weil hModule 0 ist).
Oje, da lag ein Fehler vor der VM's aushebelt (also nicht ausführbar unter einer VM, unter VM sind meine Imports = NIL o.ä.)
War dein Testsystem eine VM? (damit ich weiß ob's daran liegt)

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#6

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 13:35
War dein Testsystem eine VM? (damit ich weiß ob's daran liegt)
Ne, mein Analysesystem ist ein "ganz normales" Windows auf einem isoliertem physikalischen PC, den ich per Snapshots zurücksetzen kann. Ist auch nichts installiert, was fälschlicherweise als VM erkannt werden können sollte. VT-x ist deaktiviert.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Der schöne Günther

Registriert seit: 6. Mär 2013
6.159 Beiträge
 
Delphi 10 Seattle Enterprise
 
#7

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 13:42
Bei mir auch. Gleich kommt die IT-Sicherheit des Unternehmens und verhaftet mich.
Miniaturansicht angehängter Grafiken
applicationframehost_2018-01-30_13-41-06.png  
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#8

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 14:34
Das Archiv konnte ich laden.
Jedoch beim entpacken kam die Meldung

gruss

Geändert von EWeiss (11. Jul 2019 um 16:49 Uhr)
  Mit Zitat antworten Zitat
Fukiszo
(Gast)

n/a Beiträge
 
#9

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 14:59
Ich habe die Hauptnachricht jetzt mit Warnung versehen,

tut mir mehr als leid das ich die mini datei vorher nicht bei VirusTotal getestet habe, das kommt nicht nochmal vor!!

Der Anhang ist noch unverändert, also inklusive Fehlalarm von Scannern.
Sobald ich den Stub überarbeitet und ausführlicher getestet habe probiere ich es nochmal.

Grüße
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#10

AW: .exe Datei Entpack Test

  Alt 30. Jan 2018, 15:24
Was ist eigentlich das Ziel Deines Feldversuches?
Warum versuchst Du, unter dem Radar von gängigen Antiviren-Programmen zu verschwinden?
Wenn es sich bei Deiner Datei um einen harmlosen Test handelt, verstehe ich hingegen Deine nachträglich hinzugefügte Warnung nicht.
Ich gewinne den Eindruck, dass wir gerade vor einem mehr als halbseidenen Projekt stehen.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz