![]() |
AW: .exe Datei Entpack Test
@Daniel:
Ziel soll sein, das man mit egal welchen Exe-Packer keine AntiVirus Fehlalarme auslöst. (Malware) Das nervt mich schon ewig und mit diesem Projekt will ich halt erreichen das Exe-gepackte Dateien nicht mehr automatisch als "Böse" eingestuft werden. Exe-Packer können ja nichts direkt dafür. Als Nebeneffekt soll natürlich auch ein HexEditing verhindert werden, da Datei ja komprimiert ist. Oder gibt es bereits Lösungen für solch eine Situation? Ich meine damit nicht das man auf einen bestimmten Exe-Packer (UPX z.Bsp) ausweichen muss da der von AntiViren programme ja meist nativ unterstützt wird. Es sollte eine universelle Lösung sein. Deshalb Stub so designed das seine Entropy nicht extrem hoch ausfällt und die per Resource eingebundene PE-Datei hat meist eine Entropy nahe 8 (maximum) Grüße edit: ich will damit keinen ExePacker sind doof weil xyz sturm auslösen, ich will eine lösung schaffen für leute die ExePacker einsetzen wollen. |
AW: .exe Datei Entpack Test
Schick doch das Programm einfach bei denen ein und lass es Whitelisten.
Ein weitere Reduzierung der Probleme bekommst du mit einer Code Signatur hin. |
AW: .exe Datei Entpack Test
Zitat:
Ist ja nicht so als würde sich Malware-Programmierer freiwillig brav die Methoden aussuchen die von Antivirenprogrammen erkannt werden. |
AW: .exe Datei Entpack Test
Warum zippst du deine Exe nicht einfach?
|
AW: .exe Datei Entpack Test
Zitat:
Dementsprechend einfach ist es aber auch eine bestehende Malware vor beliebigen Antivirenprogrammen zu verstecken. Man muss lediglich die Signatur tarnen und die spärliche Laufzeitanalyse / Emulation umgehen. Ersteres geht natürlich wunderbar mit einem Exe-Packer, der RunPE ähnliche Verfahren einsetzt. Hierbei wird eine beliebige Anwendung verschlüsselt und an eine Stub angehangen. Die Stub entschlüsselt die Payload dann zur Laufzeit und führt sie direkt im eigenen Prozess (oder in einem neu gestarteten Fremdprozess) aus - ohne, dass die entschlüsselte Datei zuerst wieder auf die Festplatte geschrieben wird. Dass dieses Verfahren schon lange missbraucht wird, ist vermutlich auch der Grund, warum die entsprechende Vorgehensweise in Fukiszos Test entsprechend hart erkannt wird. Zitat:
|
AW: .exe Datei Entpack Test
Zitat:
Zitat:
Nichtsdestotrotz hat es Neutral General dennoch auf den Punkt gebracht das so ein vorhaben sinnlos ist. Sobald die ersten trojaner/würmer/viren etc in den umlauf gelangen, mit meinem stub ausgestattet = stub dann auto-böse auch wenn ich nichts dafür kann und normale programme mit blacklisted werden. Ich stell dieses projekt ein. Danke für Eure Ansichten und Meinungen!!! ps: mein projekt ist/war kein packer sondern ein wrapper. "Sicherheit" anbieten ist/war nicht mein Ziel. Das sollte das programm bieten womit ich die .exe im vorfeld bearbeite. ich pers. mag zum beispiel ASpack aber kann keine .exe verteilen die das nutzen weil auto-blacklist aus oben genannten gründen. das thema hat sich damit für mich erledigt (-: Grüße |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:21 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz