![]() |
Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Guten Abend zusammen, :)
ich habe in den letzen 3 Monaten ein Netzwerkgestürtzes Programm geschrieben, welches durch Verbindung zu einem Webserver sich immer aktuell hält. Quelltext-technisch kein Problem. Bei einem Update wird der Programmname genommen "Host.exe" und ein "_update" eingefügt: "Host_update.exe". Die Verknüpfung auf dem Desktop und im Startmenü steht aber auf "Host.exe". Nun weiß jede Programmversion, dass sie "Host.exe" heißen muss, ist dies nicht der Fall, kopiert sie sich zu dem Namen und legt eine Batch nach folgendem Muster an (Programmcode angehangen). Damit soll sie sich immer auf dem "Host.exe" Namen halten und die alte Version überschreiben. Nun kommt das Problem: (Ich selber habe Avira und Norton) Bei einer Probeinstallation (nutze InstallAware) meldete der Kunde, dass sein gData Virenscanner anschlug. Habe mir also gData als Testversion geladen und tatsächlich. Habe den ganzen Programmcode nun gefiltert und bin dabei an der Zeile
Delphi-Quellcode:
hängen geblieben (Hab auch schon WinExeC und CreateProcess versucht).
ShellExecute(0,'open', pChar(hAppPath + hRunBatFileName), nil, nil, SW_NORMAL)
Sie bringt gData, als einziges Programm zur Annahme: Zitat:
Hier die Procedure:
Delphi-Quellcode:
Gibt es vielleicht irgend eine Möglichkeit dass man direkt im asm auf das ShellExecute springen kann?
//-------- InstallHost (public) --------------------------------------
Procedure TSysCtrl.InstallHost; Var Bat : TStringList; begin CopyFile(pChar(ParamStr(0)), pChar(hHostFile), FALSE); Bat := TStringList.Create(); Bat.Clear; Bat.Add(':1'); Bat.Add('DEL /F "' + ParamStr(0) + '"'); // Delete old Host-File Bat.Add('If Exist "' + ParamStr(0) + '" goto 1'); Bat.Add('"' + hHostFile+ '"'); // Run new Host-File Bat.Add('DEL %0'); Bat.SaveToFile(pChar(hAppPath + hRunBatFileName)); Bat.Free; ShellExecute(0,'open', pChar(hAppPath + hRunBatFileName), nil, nil, SW_NORMAL); // Configure... Application.Terminate; end; Ich weiß soetwas zu umgehen ist ein sehr heikles Thema, aber ich bin gern bereit mehr Infos zum Programm und zu weiteren Funktionen zu geben. mfg !N |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Kommt vor. Schicke das Programm am besten im fertigen Zustand an GData, damit sie den Fehlfund per Update korrigieren können.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zitat:
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Naja. Es zu gData zu schicken wäre eine Möglichkeit. Ich sollte es nur eigentlich morgen an der Schule vorstellen. Wir haben da gData :wink:
Nun suche ich nach einer Möglichkeit es zumindest kurzfristig zu unterdrücken. Aber wie kann denn soetwas überhaupt passieren? |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Die Antiviren-Software erkennt das Batch-Script welches du entpackst und ausführst. Viren benutzen das oft um die eigene Datei zu löschen und sie vom anderen Ordner ausführen zu lassen. Wahrscheinlich sind das aber schlechte Signaturen vom Antiviren-Hersteller, aber wenn du Glück hast kannst du einfach versuchen irgendwelche unnötigen Befehle im Batch-Script zu schreiben.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Die
![]() |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Vielen Dank schonmal für Eure Hilfe zu so später Stunde!
An dem Inhalt der Batch scheint es nicht zu liegen, wenn ich den aukommentiere gibts das Gleiche Problem. Kenn jemand vielleicht eine ganz verrückte Art eine .bat zu öffnen/starten? |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Was steht in hostfile? Also wo kopiert sich die eigene Datei? Sind halt schlechte Signaturen.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
TSysCtrl (hat auch InstallHost) wird im OnCreate (der Form) schon erzeugt, so dass, im günstigsten Fall, garnicht mehr die Form gezeigt wird. Im OnCreate (der Form) steht dann auch SysCtrl.VerifyFile, welches bei einem Update "InstallHost" aufruft.
Da ich für Updates nicht jedesmal Elevated-Rights einfordern wollte, habe ich mich für ProgrammData also Anwendungsdaten im AllUsers Verzeichnis entschieden. InstallAware legt alle Verzeichnisse und Registry-Einträge, sowie Verknüpfungen an und bietet dann an Host.exe zu starten. Im ProgrammData hat das Programm dann auch Schreibzugriff. |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Probiere mal die Endung *.cmd anstelle von *.bat.
Du könntest auch ein VBScript anstelle einer Batchdatei erzeugen. |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Man sollte so wie so die Endung CMD nehmen. Denn mit BAT wird der 16-Bit Kommandoprozessor aufgerufen.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Eine Änderung der Dateiendung bringt leider nichts.
Zu bemerken ist aber:
Delphi-Quellcode:
Hier nochmal die Procedure ErstelleProzess:
SysFunc.ErstelleProzess(pChar('calc.exe'), '', '', FALSE); // Kein Problem, bis dass die Execution fehlschlägt
SysFunc.ErstelleProzess(pChar(hRunBatFileName), '', '', FALSE); // Kein Problem, bis dass die Execution fehlschlägt SysFunc.ErstelleProzess(pChar(hAppPath + hRunBatFileName), '', '', FALSE); // Hier schlägt gData zu SysFunc.ErstelleProzess(pChar('D:\Windows\System32\calc.exe'), '', '', FALSE); // Hier schlägt gData zu // Wenn es "crasht": First chance exception at $757F9617. Exception class EAccessViolation with message 'Access violation at address 00403A43 in module 'Host_update.exe'. Read of address 00000000'. Process Host_update.exe (5000)
Delphi-Quellcode:
Scheint also so, dass gData mit der Pfadangabe bei der Ausführung ein Problem hat.
procedure TSysFunc.ErstelleProzess(const AFilename: String;
AParameter, ACurrentDir: String; AWait: Boolean; AOnWaitProc: TExecuteWaitEvent=nil); var si: TStartupInfo; pi: TProcessInformation; bTerminate: Boolean; begin bTerminate := False; if Length(ACurrentDir) = 0 then ACurrentDir := ExtractFilePath(AFilename); if AnsiLastChar(ACurrentDir) = '\' then Delete(ACurrentDir, Length(ACurrentDir), 1); FillChar(si, SizeOf(si), 0); with si do begin cb := SizeOf(si); dwFlags := STARTF_USESHOWWINDOW; wShowWindow := SW_NORMAL; end; FillChar(pi, SizeOf(pi), 0); AParameter := Format('"%s&" %s', [AFilename, TrimRight(AParameter)]); if CreateProcess(Nil, PChar(AParameter), Nil, Nil, False, CREATE_DEFAULT_ERROR_MODE or CREATE_NEW_CONSOLE or NORMAL_PRIORITY_CLASS, Nil, PChar(ACurrentDir), si, pi) then try if AWait then while WaitForSingleObject(pi.hProcess, 50) <> Wait_Object_0 do begin if Assigned(AOnWaitProc) then begin AOnWaitProc(pi, bTerminate); if bTerminate then TerminateProcess(pi.hProcess, Cardinal(-1)); end; Application.ProcessMessages; end; finally CloseHandle(pi.hProcess); CloseHandle(pi.hThread); end; end; Jemand 'ne Idee wie ich es anders machen kann? (Alle Dateien liegen in einem Ordner) mfg !N |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Die engine prüft ob du irgendetwas ins Windows verzeichnis kopiert. Und du solltest im Normalfall nichts dort kopieren. Benutze appdata einfach.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Das kann aber auch nicht die Lösung sein. dann würde ja jeder Installer, der Systemdateien in das Windows Verzeichnis kopieren muss einen Alarm bei gData auslösen. Ich gehe davon aus, dass die Heuristik anschlägt. Was passiert denn, wenn man die Heuristik mal abschaltet oder runtersetzt?
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zu "ErazerZ": Ich nutze ja nur AppData (ProgramData). Alle administrativen Ordner werden nicht genutzt.
Zu "Luckie": Natürlich kann man den Virenscanner auf jedem Client zentral vom Server deinstallieren, aber das steht leider nicht zur Option. Die Systeme müssen sicher bleiben. Wenn ich nur wüsste was genau gData stört. Vielleicht hat ja jemand eine Idee wie man das Problem durch Quellcodeänderung ändern kann? Die Procedure muss folgendes tuen: 1. Sich selbst als "Host.exe" kopieren 2. Sich selbst löschen 3. Schlussendlich "Host.exe" aufrufen Durch die Verwendung der Bat muss man natürlich erst die Bat ausführen und sich dann schließen, geht ja sonst nicht. |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Statt dem Batch-Skript vielleicht eine kleine Exe? Was hält gData davon?
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Genau, eine Konsolen-App mit Parameterübergabe, ich versuch es mal...
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
gData lässt mich nichts an dieser Stelle ausführen.
Hab jetzt eine Möglichkeit gefunden: Hab den VerifyFile Aufruf (welche bei einem Update zu InstallHost linkt) in den OnActivate der Form gelegt. Jetzt ist Ruhe, aber eine wirklich schöne Lösung ist das auch nicht :/ Ich komm wohl nicht drum herum mir eine Signatur zu holen bzw gData die Source zu schicken. Vielen Dank aber für Eure Hilfe! mfg !N |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Du musst den quellcode ja nicht schicken. Exe wird reichen. Heuristik erkennt das copyfile und das createprocess. Vlt klappt es wenns die apis dynamisch ladest. Wenn nicht dann andere apis probieren. Muss aber nicht klappen. Am einfachsten ist es du schickst es ihnen.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zitat:
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Ich denke mal die testen das Ding dann inner Sandbox und schaun, was es anrichtet.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zitat:
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Wie sollten die ihre Virendantenbank aufbauen, wenn sie den Quellcode bräuchten? Oder meint ihr die Virenautoren schicken denen die Quellcodes von ihren Viren? Die werden die Exe disassemblieren und gucken, was sie macht. Die brauchen den Quellcode nicht. Und wenn, dann bräuchten sie ja für jede Programmiersprache extra Compiler und IDs. Wie soll das funktionieren?
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.
Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe... Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst:
Delphi-Quellcode:
denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' );
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben} MfG |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Versuch doch mal CreateProcess und ruf einfach die cmd.exe (Win2K oder neuer) bzw. command.exe (Win98-) mit deiner Batch als Parameter auf.
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zitat:
Am besten du schreibst ihnen eine Mail, und verweist eventuell auf den Thread hier. Sie sollten dann im besten Fall die Signatur rausnehmen. Weil dass du jetzt extra deinen Code umprogrammieren musst nur weil ein AntiViren Hersteller meint dein Programm sei böse, das ist keine Lösung. :) |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Wo du recht hast, da hast du recht.
Achja, heißt doch "ShellExecute" (Hab mir die Importtabelle nicht angeschaut) MfG |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Wie gesagt, habs' jetzt im OnActivate der Form... Geht erst einmal, nicht sauber, da habt ihr Recht. Ich hab nur heute Nachmittag released und wenn ich jetz wieder den Installer patche gibts noch ein größeres Durcheinander.
Im nächsten Update werd ich dann das ganze wieder "ordentlich" in das OnCreate schreiben und dann gData kontaktieren. Vielen Dank erstmal für eure Hilfe... Achja, das mit dem GetProcAddress ist natürich eine Möglichkeit, aber wenn ShellExecute keine Fehler mehr macht, dann kommt vielleicht irgend etwas anderes und macht Probleme. Ich kann mir ja nicht alle Grundfunktionen so zusammenpuzzlen :angel2: Was ich nur vollkommen außer Acht gelassen habe: Wenn gData rummeckert, dann tuen es vielleicht auch andere Scanner :/ mfg !N |
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
GData hat keine eigene Engine. Es benutzt zwei Engines anderer Hersteller. Vor zwei Jahren war es BitDefender und Kaspersky. Ob das heute andere sind, weiss ich leider nicht. Ist jedenfalls der Grund, warum GData langsamer ist, dafuer aber zuverlaessiger arbeitet (aber damit auch mit doppelt sovielen False Positives).
|
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Zitat:
Zitat:
um zu testen welche scanner dein programm nicht mögen, jag es einfach durch einen online scanner wie z.b.: ![]() dort wird dein program von den wichtigsten av scannern getestet. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:48 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz