das beantwortet nicht meine Frage

das sollte es auch nicht, war eher eine antwort auf post 1

aber trotzdem gerne. möglich ja... aber nur wenn der jenige den quellcode auch wirklich versteht.

nur weil der computer diesen versteht, muss es nicht jeder programmierer. nun weiss ich nicht ob malware mit vielen quelldateien geschrieben wird oder immer in textform ist. gibts programme die sowas übersetzen ? dann würde jeder programmierer damit klar kommen. aus eine antwort, wurd eine frage... verdammt!

aber ich kenn mich mit programmieren nicht wirklich aus, auch wenn ich mal kleine programme damals mit den c64 (basic) geschrieben hab. lang ist´s her ^^

Logo. derjenige versteht den Quellcode zu 100%, und hat ihn zu 100% vorliegen.
Wobei man ja nicht von Quellcode reden kann, wäre ja zu einfach .
Der Quellcode liegt vor in Form von Assembler.

Das nennt man Reverse Engineering.

ok, wenn der quellcode immer übersetzbar ist...

好吧，如果原始程式碼始終是可翻譯...

Boah, Assembler is furchtbar zu lesen . Aber im Endeffekt easy weil ja nur 3 Sachen pro Zeile stehen (Befehl, Ziel, Quelle).

Wenn der Quellcode nicht wirklich im Original vorliegt, kann man den Code leider nur in sehr einfachen Fällen wirklich verstehen - denn die "Rückübersetzung" hinkt in mehreren Bereichen (Pointer-, Index- und Segmentregister stimmen nicht mehr überein):

Deshalb werden in solchen Fällen auch genaue Analysen durchgeführt, um wirklich nachzuweisen, welche Systemänderungen nun tatsächlich vorgenommen werden.
(Ich nehme an, dies geschieht im nicht-öffentlichen Raum.....)

Liebe Grüße, Alois

Das ist dann aber wieder dynamische Analyse

Aber gerade bei tricky Teilen wird eher statisch analysiert. Klar, da ist ein Schutz drin der das disamblen verhindern soll, neuderings werden auch gern 80 jpgs aufgerufen zwischendurch, in der Hoffnung der Analyst verliert die Lust bei 1000 Zeilen Assembler Code, hilft aber alles nix

Mit anderen Worten werden so wirklich alle Packers, Encryptors, Obfuscators, Archivers und Binders auf alle Fälle erkannt?

- und wenn der Angreifer mehrere Compiler verwendet hat?

Liebe Grüße, Alois

Es wird natürlich immer schwerer. Mir is aber jetzt spontan keine Malware bekannt die bei kernelmode nicht geknackt wurde, als Beispiel.

Na, das ist ja immerhin ein Lichtblick!

Liebe Grüße, Alois

Zitat:

Zitat von schrauber

Es wird natürlich immer schwerer. Mir is aber jetzt spontan keine Malware bekannt die bei kernelmode nicht geknackt wurde, als Beispiel.

Ich hab mal vor Jahren gelesen, dass es irgendeine Malware (oder war ein eher ein proof-of-concept?) geschafft hat, das laufende Systeme in eine VM zu verschieben. Haste davon mal gehört?

ich nix verstehen

Hab den Artikel wiedergefunden => Rootkit verschiebt Windows in virtuelle Maschine | heise Security

Ist von Ende 2006

Irgnendwas mal von gehört?

War nicht hier mal einer, der den Verdacht hatte, so was sei auf seinem PC passiert?

Wirklich, wen meinste denn?