4. allgemein zu viren

allgemein zu viren

  • ?

    Hallo an alle, weiß nicht ob ich hier richtig bin, sorry.
    wenn man annimmt das in eine .exe Datei ein Virus verschlüsselt als z.b in Ressourcen liegt und beim Start von exe entschlüsselt wird und gestartet wird dann hilft ja auch kein antivirus beim scannen von .exe.
    nicht das ihr denkt ich habe was böses zu tun nur halt Neugier ob man überhaupt antivieren braucht.

    0
  • C

    Wenn der Virus verschlüsselt ist findet das niemand. Das ist sogar "übliche" Praxis, es gibt Programme die andere Programme so packen können, dass sie nicht mehr erkannt werden. Wenn die dann wieder gefunden werden, wird die Signatur wieder registriert und sie können wieder erkennt werden.

    PS: Die Verschlüsselungsmethode hat allerdings einen kleinen Nachteil, wenn man den Quatsch entpackt liegt die Signatur wieder offen im Speicher. 😉

    0
  • ?

    gut zu wissen, praktisch wenn Mann selbst ein Virus schreibt wird das kein antivirus was merken weil die Signatur nicht im Datenbank liegt. so ungefähr ?

    0

  • Nein. Heuristik.

    0
  • C

    Dieser Thread wurde von Moderator/in SeppJ aus dem Forum C++ (auch C++0x und C++11) in das Forum Themen rund um den PC verschoben.

    Im Zweifelsfall bitte auch folgende Hinweise beachten:
    C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?

    Dieses Posting wurde automatisch erzeugt.

    0
  • C

    Home@root schrieb:

    gut zu wissen, praktisch wenn Mann selbst ein Virus schreibt wird das kein antivirus was merken weil die Signatur nicht im Datenbank liegt. so ungefähr ?

    Üblicherweise nicht. Die Heuristik ist bei den meisten allen Antivirenprogrammen nicht gerade die beste.

    0
  • ?

    Gepackte Viren können so bekämpft werden.

    Jeder Virus muss eine möglichkeit haben den gepackten Teil von sich zu entpacken. Dieser Algorithmus liegt also am "Anfang" des ausführbaren codes.

    Den kann man auch ausführen lassen. Die Frage ist dann wann bricht man die Ausführung ab. Dazu nimmt man einfach an, dass das Entpackprogramm jedes andere Bit des Virus, welches nicht zum packprogram selbst gehört, einmal ließt.
    Dann müßte der Virus genau entpackt sein ohne selber aktiv geworden zu sein.

    Dann kann man die Signatur untersuchen und auch gepackte Viren erkennen.

    (Allerdings besteht die Gefahr, dass er dabei zu weit ausgeführt wird und die Schadroutine aktiv wird)

    0
  • ?

    "...um packprogram..." soll "...zum Entpackprogram..." heißen 😃

    0

  • MisterX schrieb:

    (Allerdings besteht die Gefahr, dass er dabei zu weit ausgeführt wird und die Schadroutine aktiv wird)

    ... und was kratzt mich das in einer Sandbox?

    0
  • ?

    Ich hab mal gehört es soll auch Viren geben die aus einer Sandbox ausbrechen können ...

    0
  • F

    @_°/° schrieb:

    Ich hab mal gehört es soll auch Viren geben die aus einer Sandbox ausbrechen können ...

    Rein Theoretisch: Aus einer 100% virtualisierten Maschine könnte ich mir nicht vorstellen wie das gehen soll. Dort ist die VM ja das komplette universum welche der Virus zu sehen bekommen. Problematisch wirds erst dann wenn man anfängt wegen Performance gewisse Funktionen wirklich auf den Darunterliegenden Rechner auszuführen (Sozusagen schwarze Löcher im Universum die auf die echte Welt zeigen), dort könnte man dann wohl ansetzen um Code auch auf den echten System auszuführen. Das ist jetzt der Theoretische Fall, praktisch ist eine VM auch nur ein stück Software und Software ist selten Bugfrei. In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher. Alles in allen ggf vielleicht nicht unlösbar (dafür kenne ich mich zu wenig mit VM's aus) aber wohl auch nicht gerade Trivial. Obwohl ich mir bei wirklich guter Virtualisierung schon vorstellen kann das man nichmal mitkriegt das man in einer Sandbox läuft.

    0
  • C

    Ein virtuelles System und Programme wie Sandboxie sind zwei unterschiedliche paar Schuhe. 😉

    0
  • C

    Fedaykin schrieb:

    In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher.

    Dass man in einer VM läuft ist sehr einfach herauszufinden, denn normalerweise werden VMs nicht mit dem Ziel entwickelt, die Virtualisierung undetektierbar zu machen.

    0
  • R

    Christoph schrieb:

    Fedaykin schrieb:

    In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher.

    Dass man in einer VM läuft ist sehr einfach herauszufinden, denn normalerweise werden VMs nicht mit dem Ziel entwickelt, die Virtualisierung undetektierbar zu machen.

    http://www.trapkit.de/research/vmm/scoopyng/index.html

    0

  • VM-detection kann trivial sein - man denke nur an die typischen Grafikadapter für VMs.
    Die API von VMWare erlaubt eine recht zuverlässige Erkennung:

    mov     ecx, 0ah        ; 0ah = get_version
mov     eax, 'VMXh'
mov     dx, 'VX'
in      eax, dx         ; specially processed io cmd
cmp     ebx, 'VMXh'
je      under_VMware

    // edit:

    rüdiger schrieb:

    http://www.trapkit.de/research/vmm/scoopyng/index.html

    ... oder so 😉

    0
  • ?

    Eine Möglichkeit ist auch die Zeit abzufragen. Wenn zwischen Befehlen zu viel Zeit vergeht, könnte eine Sampbox aktiv sein.

    0
  • ?

    Swordfish schrieb:

    MisterX schrieb:

    (Allerdings besteht die Gefahr, dass er dabei zu weit ausgeführt wird und die Schadroutine aktiv wird)

    ... und was kratzt mich das in einer Sandbox?

    http://www.spiegel.de/netzwelt/web/0,1518,820629,00.html

    0
  • ?

    Home@root schrieb:

    gut zu wissen, praktisch wenn Mann selbst ein Virus schreibt wird das kein antivirus was merken weil die Signatur nicht im Datenbank liegt. so ungefähr ?

    Wenn der Virenscanner einen permanten Virenschutz im Hintergrund laufen läßt, also auch den Speicher und aktive Prozesse prüft, dann wird dein Virus, sofern die Signatur bekannt ist, natürlich entdeckt.

    0
  • ?

    bochs emuliert die komplette x86 CPU in Software.

    Das ist ein echter Emulator ohne performancesteigernde Ausbrüche.

    Daraus auszubrechen ist also bestenfalls durch einen Bug möglich.

    Außerdem erlaubt bochs den Virenuntersucher den kompletten Zugriff auf den Speicher der emulierten Maschine aus einer sicheren Umgebung (dem Host System).
    Er kann sogar debuggen und eingreifen.

    0
  • ?

    Ich möchte jetzt eine Schadsoftware (SSW) schreiben und mache es so: Auf vielen Firmenrechnern sind gehackte Programme installiert. zB Althova XML Spy für die Version 10.2.31. Also nehme ich mir einen Crack für dieses Programm und verbinde ihn mit meiner SSW. Die Antivirenhersteller haben Computer die laufend das Internet durchkämen, wahllos Mist herunter laden und ausführen und dann beobachten ob sich in der VM etwas Verdächtiges tut. Da es aber unwahrscheinlich ist das diese VM den Althova XML Spy in dieser Version installiert hat wird meine SSW nicht aktiv und bleibt unerkannt.

    Meine SSW wird entweder von einer Heuristik gefunden (muß ich halt vorher abchecken) oder aber erst wenn ich meinen ersten Bruch gemacht habe und eine Forensiker den geknackten Computer durchleuchtet. Korrekt?

    0
Anmelden zum Antworten