4. Antivirensoftware/Firewall umgehen?

Antivirensoftware/Firewall umgehen?

  • W

    Moin,

    ich bastel grad an einem Keylogger rum. Bevor jemand meckert, ich hab damit nichts schlimmes vor ich will lediglich irgendwas in dem Bereich als einjähriges Schulprojekt machen.
    Naja jedenfalls wird mein keylogger nun als Trojaner von Antivir erkannt. Da ich gesagt habe mein Hauptaugenmerk liegt darauf das, das Programm absolut unerkannt ist und bleibt muss ich das irgendwie verhindern.

    Nun meine Frage: Wie kann ich vermeiden das die Virensoftware meckert? Bzw Woran erkennt die Software überhaupt einen Virus. Man liest immer von irgendwelchen Signaturen, aber sind damit wirklich digitale Signaturen gemeint oder einfach nur bestimmte Muster im Quellcode?

    So.. Das wars dann 😉

    MfG Inv151673

    0
  • C

    Nur mal in paar Stichworte genannt:

    custom crypter / packer, dynamische laden der Funktions Adressen evtl auch uber nen Hash statt dem richtigen Namen, dummy Code, Shellcode in nem anderen Prozess ausfuehren usw. Deiner Fantasy sind da ja fast keine Grenzen gesetzt.

    Muss aber ehrlich sagen,dass ich ned denk das dass fuer ein Schulprojekt sein soll sondern ScriptKiddy maessig.
    Aber was soll....

    0
  • W

    Denk was du willst das ist mir ganz egal...
    Aber trotzdem danke für die Stichwort!

    0

  • Naja, du könntest dir und uns einen Gefallen tun, und dir ein sinnvolleres Projekt aussuchen.
    Vielleicht etwas, wo du dann wenigstens 5-10% des Codes den du "schreiben" wirst auch verstehen kannst, und nicht bloss abtippen und dich wundern warum es (nicht) geht.

    0
  • C

    Viel schöner/besser wäre es doch, die "störenden" Programme einfach zu deaktivieren. 😉

    Ich sag nur Code-Injection, Backdoor, Dateien verstecken, ADS (Alternate Data Streams), usw. usw.

    0
  • ?

    Ist doch gut wenn er von einer Antivirussoftware als Trojaner erkannt wird. Du brauchst die Antivirussoftware für die Demonstration deines Programmes ja nicht laufen zu lassen oder kannst Ausnahme regeln erstellen. Weiterhin kannst du bei deinem Lehrer angeben dass das Programm absichtlich so geschrieben wurde dass es von der Schutzsoftware erkannt wird, damit es keinen Schaden anrichtet wenn es in falsche Hände gerät.

    Btw, wenn du "dein" Programm selbern geschrieben und nicht irgendwo abgetippt hättest, dann würde ein Virenscanner dein Programm auch nicht als Malware erkennen. Mein 100% selbern geschriebener Keylogger wird bei www.virustotal.com von keinem der 43 Scanner als schädlich eingestuft.

    0
  • W

    ICh hab den selber geschrieben.
    Ich weiß nicht wodrann das liegt, vielleicht daran das ich das Logfile auf einen ftp Server lade oder an den hooks oder so..

    0
  • ?

    Wieso benutzt jeder Hooks wenn es anders 1000 mal leichter geht ?^^

    Bau mal bestimmte Funktionen aus deinem Code aus und Kompiliere dein Programm neu und Scanne es dann wirst du schon den Teil finden den AntiVir nicht mag.

    Oder splitte das Programm in einzelne Teile.

    Beispiel: 10 kb exe Datei

    Splitten:

    Teil 1: 1 kb
    Teil 2: 2 kb
    und so weiter

    dann siehst du ja auch wo AntiVir meckert.

    Auf securitytube.com (ich glaub so hiess die seite) gab es dazu mal ein Video wo das Thema besprochen wurde.

    0
  • -

    o_O schrieb:

    Wieso benutzt jeder Hooks wenn es anders 1000 mal leichter geht ?^^

    Ich würde mal vorsichtig sagen Du machst das mit GetAsyncKeyState(). Doch dies wird von denn meisten Antivirenlösungen zur Laufzeit bei zu hoher Funktionsfrequenz erkannt. Wenn Du GetAsyncKeyState() bei 20-30ms in einer Schleife laufen lässt dann wird er sicher erkannt, und bei zu hoher FQ liegt die Gefahr dass Du nicht alle Keys erwischst.

    o_O schrieb:

    Btw, wenn du "dein" Programm selbern geschrieben und nicht irgendwo abgetippt hättest, dann würde ein Virenscanner dein Programm auch nicht als Malware erkennen. Mein 100% selbern geschriebener Keylogger wird bei www.virustotal.com von keinem der 43 Scanner als schädlich eingestuft.

    Auf http://www.virustotal.com/index.html wird die Datei statisch analysiert.
    Das heißt, die hochgeladene Datei wird nicht ausgeführt und nur anhand ihrer im Scanner (hoffentlich) vorhandenen Signatur und eventuell einer erfolgreichen heuristischen Analyse erkannt.
    Die Datei wird nicht ausgeführt um dann zur Laufzeit verdächtige Aktionen zu erkennen! Zbsp. eine Malware die mit einem selfmade Packer gepackt ist... dann erkennt keiner von den 43 Scanner irgendetwas! Immer im Hinterkopf halten 😉

    0
  • ?

    -lowbyte- schrieb:

    dann erkennt keiner von den 43 Scanner irgendetwas! Immer im Hinterkopf halten 😉

    Die meisten AV Programme checken doch auch Laufzeitverhalten ab?! (Eben wenn die Datei ausgeführt wird)

    0
  • -

    DuNoob? schrieb:

    -lowbyte- schrieb:

    dann erkennt keiner von den 43 Scanner irgendetwas! Immer im Hinterkopf halten 😉

    Die meisten AV Programme checken doch auch Laufzeitverhalten ab?! (Eben wenn die Datei ausgeführt wird)

    Ich meinte ja auch wenn er Die Datei durch http://www.virustotal.com/index.html scannen lässt! Und sonnst nix.

    0
Anmelden zum Antworten