AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Projekte Portable Executable File Unit
Thema durchsuchen
Ansicht
Themen-Optionen

Portable Executable File Unit

Ein Thema von ErazerZ · begonnen am 30. Jun 2007 · letzter Beitrag vom 16. Aug 2010
Antwort Antwort
Seite 2 von 3     12 3      
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#1

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 10:16
Zitat von Relicted:
jo da hatte ich gerade kurz mal drüber gelesen
mir war nur der sinn nicht 100%ig klar
d.h. man könnte in einer bestehenden datei z.b. noch eine andere "datei" unterbringen durch eine neue section und diese dann später wieder auslesen?

gruß
reli
Du kannst damit zum Beispiel, einen neuen Code in die Anwendung "einschleusen" und diesen beim Start ausführen lassen. Oder zum Beispiel die Importe der Anwendung auslesen, also die WinAPI die vom Programm benutzt wird.
  Mit Zitat antworten Zitat
Benutzerbild von sirius
sirius

Registriert seit: 3. Jan 2007
Ort: Dresden
3.443 Beiträge
 
Delphi 7 Enterprise
 
#2

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 10:41
Zitat von Relicted:
jo da hatte ich gerade kurz mal drüber gelesen
mir war nur der sinn nicht 100%ig klar
d.h. man könnte in einer bestehenden datei z.b. noch eine andere "datei" unterbringen durch eine neue section und diese dann später wieder auslesen?

gruß
reli
Du kannst zum Beispiel deine Kunden ärgern, indem du sowas nettes wie hier in Beitrag #19 (Anhang: orignal.exe und encrypted.exe machst. Dabei wird bei encrypted.exe der Code in der Exe erst entschlüsselt, wenn man das richtige Passwort eingegeben hat (da zum entschlüsseln das Passwort notwendig ist).
Dieser Beitrag ist für Jugendliche unter 18 Jahren nicht geeignet.
  Mit Zitat antworten Zitat
Relicted

Registriert seit: 24. Jan 2006
Ort: Iserlohn
646 Beiträge
 
Delphi 10.4 Sydney
 
#3

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 11:38
coole sache... aber ich glaube sowas mögen kunden generell nicht :-p
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#4

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 11:41
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#5

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 11:50
Und ich hab schon wieder eine Neue Version hochgeladen.
Zitat:
  • Neu Dabei
  • CopyMemoryBuffer - Damit kann man die geladene Datei im Speicher bearbeiten.
  • RecalcImageSize - Damit lässt sich die SizeOfImage neu berechnen.
  • CopyMemoryBuffer = CopyMemoryToBuffer - Damit kann man den Speicher der geladenen Datei ändern.
  • CopyMemoryFromBuffer - Damit kann man aus dem Speicher der geladenen Datei lesen.
  • GetHighestSectionSize - Liefert die "größte"/letzte Sektion (also PointerToRawData + SizeOfRawData).
  • GetDataFromEOF - Damit kann man die Daten die sich nach Ende aller Sektionen befinden auslesen und zwischenspeichern.
  • AddSection - Jetzt wird geprüft ob sich Daten nach dem Ende aller Sektionen befinden, falls ja werden diese gespeichert und wieder angehängt.
  Mit Zitat antworten Zitat
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#6

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 11:52
Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
Wenn es keine Trojaner sind dann wird er auch nichts sagen . Und das war doch nur ein kleines Beispiel für die Unit.
  Mit Zitat antworten Zitat
Benutzerbild von sirius
sirius

Registriert seit: 3. Jan 2007
Ort: Dresden
3.443 Beiträge
 
Delphi 7 Enterprise
 
#7

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 11:57
Zitat von Relicted:
coole sache... aber ich glaube sowas mögen kunden generell nicht :-p
Das glaube ich auch.

Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
Meiner sagt nix Lad dir doch mal die Beispieldatei von mir runter!
Dieser Beitrag ist für Jugendliche unter 18 Jahren nicht geeignet.
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#8

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 12:01
Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)
  Mit Zitat antworten Zitat
Olli
(Gast)

n/a Beiträge
 
#9

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 12:33
Zitat von Luckie:
Was sagen eingentlich Virenscanner dazu, wenn man die Exe-Datei modifiziert oder verschlüsselt?
Hängt davon ab.

Zitat von brechi:
Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)
Also erstens verstand ich Luckies Frage eher in der Richtung, daß man es auf einem System mit Virenscanner macht, wo es dann eben nur bei aktivem Behavioral Blocking aufgehalten würde.

Allerdings muß ich dir etwas widersprechen. Das Thema wurde zwar auf dem Antivirus-Tester-Workshop hier in Reykjavík im Mai auch angesprochen, aber allgemein ist es eben nicht so, daß Packer/Crypter geblacklisted werden. Bei einigen AV-Firmen gibt es allerdings diese Tendenz, was auch rege am zweiten Tag in der Podiumsdiskussion diskutiert wurde. Auch war man sich weitgehend darüber einig, daß bei einem Packer/Crypter der quasi nur von Malware benutzt wird, ein Blacklisting bis zur Analyse und Implementierung im Emulator der AV-Engine gerechtfertigt werden kann. Übrigens hatte diese Diskussion ein Kollege von Kaspersky Niederlande angeregt, weil er sowas in seinem Vortrag am Rande erwähnt hatte - das (zumindest temporäre Blacklisting) sei übliche Praxis bei Kaspersky.

Ist der Packer erstmal effektiv in der Engine implementiert, braucht der Emulator sich bekanntlich nicht mehr durch den Entpackcode durchwühlen und damit werden solche Viren dann doch erkannt. Du (brechi) solltest doch eigentlich wissen, wie AVs implementiert sind, zumindest oberflächlich.

Abgesehen davon reden wir hier vermutlich noch nichtmal von Viren im traditionellen Sinn, weil die bekanntlich nur noch den kleinsten Teil ausmachen. Auch Skiptkiddies sind schließlich nur Benutzer vorgefertigter Lösungen
  Mit Zitat antworten Zitat
Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#10

Re: Portable Executable File Unit

  Alt 14. Jul 2007, 12:51
Zitat von brechi:
Die sagen nichts, du kannst jeden Virus crypten und der wird nicht mehr erkannt. Jedenfalls so lange bis der crypter auf die Blacklist kommt. (vereinzelt zeigen die halt an, dass die Datei möglicherweise ein Virus ist)
Ja genau oder man benutzt kleine Exploits um den Emulator (Heuristics, Sandbox) des AV-Systems dazu zu zwingen das scannen abzubrechen. Aber Back to Topic.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:12 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz