Du kannst damit zum Beispiel, einen neuen Code in die Anwendung "einschleusen" und diesen beim Start ausführen lassen. Oder zum Beispiel die Importe der Anwendung auslesen, also die WinAPI die vom Programm benutzt wird.

Du kannst zum Beispiel deine Kunden ärgern, indem du sowas nettes wie hier in Beitrag #19 (Anhang: orignal.exe und encrypted.exe machst. Dabei wird bei encrypted.exe der Code in der Exe erst entschlüsselt, wenn man das richtige Passwort eingegeben hat (da zum entschlüsseln das Passwort notwendig ist).

coole sache... aber ich glaube sowas mögen kunden generell nicht :-p

Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?

Und ich hab schon wieder eine Neue Version hochgeladen.

Wenn es keine Trojaner sind dann wird er auch nichts sagen . Und das war doch nur ein kleines Beispiel für die Unit.

Das glaube ich auch.

Meiner sagt nix Lad dir doch mal die Beispieldatei von mir runter!

Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)

Hängt davon ab.

Also erstens verstand ich Luckies Frage eher in der Richtung, daß man es auf einem System mit Virenscanner macht, wo es dann eben nur bei aktivem Behavioral Blocking aufgehalten würde.

Allerdings muß ich dir etwas widersprechen. Das Thema wurde zwar auf dem Antivirus-Tester-Workshop hier in Reykjavík im Mai auch angesprochen, aber allgemein ist es eben nicht so, daß Packer/Crypter geblacklisted werden. Bei einigen AV-Firmen gibt es allerdings diese Tendenz, was auch rege am zweiten Tag in der Podiumsdiskussion diskutiert wurde. Auch war man sich weitgehend darüber einig, daß bei einem Packer/Crypter der quasi nur von Malware benutzt wird, ein Blacklisting bis zur Analyse und Implementierung im Emulator der AV-Engine gerechtfertigt werden kann. Übrigens hatte diese Diskussion ein Kollege von Kaspersky Niederlande angeregt, weil er sowas in seinem Vortrag am Rande erwähnt hatte - das (zumindest temporäre Blacklisting) sei übliche Praxis bei Kaspersky.

Ist der Packer erstmal effektiv in der Engine implementiert, braucht der Emulator sich bekanntlich nicht mehr durch den Entpackcode durchwühlen und damit werden solche Viren dann doch erkannt. Du (brechi) solltest doch eigentlich wissen, wie AVs implementiert sind, zumindest oberflächlich.

Abgesehen davon reden wir hier vermutlich noch nichtmal von Viren im traditionellen Sinn, weil die bekanntlich nur noch den kleinsten Teil ausmachen. Auch Skiptkiddies sind schließlich nur Benutzer vorgefertigter Lösungen

Ja genau oder man benutzt kleine Exploits um den Emulator (Heuristics, Sandbox) des AV-Systems dazu zu zwingen das scannen abzubrechen. Aber Back to Topic.