|
Antiviren-, Firewall- und andere Schutzprogramme: Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll?Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
09.09.2002, 14:16 | #46 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? die links zu den packer/crypter seiten, sind soweit ich sehe NUB-konform, allerdings sollte niemand an diesem test teilnehmen, der nicht genau weiß, was er/sie tut. auch bei den packern/cryptern ist nicht sicher, ob diese nicht selbst malware enthalten können, da diese seiten ja nicht unbedingt "seriös" sind. wer etwas gefunden hat, was kaspersky/mcaffee nicht erkennt, kann mir/bitmaster/nautilus das zeug schicken (am besten allen per cc), ich teste es dann nochmal und leite es weiter. credit kriegt derjenige natürlich auch. .cruz
__________________ "Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i> |
09.09.2002, 15:18 | #47 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? @Cruz Deine Warnung ist gut und richtig. Ich hatte vergessen, sie in die Anleitung mit aufzunehmen.
__________________Die Idee mit dem cc: finde ich ebenfalls sehr gut. Bitte insoweit auch Uwe Berger nicht vergessen, damit sich die Mitglieder aller drei Communties angesprochen fühlen und bei der Suche mithelfen. Falls eine E-mail nicht an alle gerichtet sein sollte und ich mich per Zufall auf dem Verteiler befinde, werde ich sie natürlich an alle weiterleiten. Vielleicht ist dieses Verfahren ein guter Kompromiss zwischen einer Veröffentlichung im Board (mit 100% Transparenz) und der von Prantl zu Recht abgelehnten Veröffentlichung in einem elitären Zirkel. Ich gehe insoweit davon aus, dass Bitmaster, Cruz, Uwe und natürlich auch ich, das gesammelte Ergebnis der Suche an alle mit einem berechtigten Interesse weiterleiten werden. Sprich: Jeder aus der AV Community kann es haben, alle bekannten Ratboard Mitglieder gehen leer aus. Gruss Nautilus |
09.09.2002, 15:29 | #48 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? </font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus:
__________________Die Idee mit dem cc: finde ich ebenfalls sehr gut. Bitte insoweit auch Uwe Berger nicht vergessen, damit sich die Mitglieder aller drei Communties angesprochen fühlen und bei der Suche mithelfen.</font>[/QUOTE]ja, wenn uwe das möchte, habe ich kein problem mit. </font><blockquote>Zitat:</font><hr /> Vielleicht ist dieses Verfahren ein guter Kompromiss zwischen einer Veröffentlichung im Board (mit 100% Transparenz) und der von Prantl zu Recht abgelehnten Veröffentlichung in einem elitären Zirkel. </font>[/QUOTE]ich meine man sollte es so halten: informieren der AV-hersteller mit angemessener rückhaltezeit. sofern die kombinationen in die unpacking-engine aufgenommen sind, veröffentlichung der kombination mit nennung des finders. falls die rückhaltezeit verstrichen ist: veröffentlichung der kombination, um druck auf die antivirenhersteller auszuüben. so ähnlich funktioniert ja auch bugtraq (jedoch oft ohne informierung der hersteller). .cruz
__________________ |
09.09.2002, 19:17 | #49 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? @Cruz Den Vorschlag mit der Rückhaltezeit finde ich gut. Bitmaster und Uwe haben von mir soeben eine Samplemail bekommen. Dir habe ich sie leider nicht geschickt, da ich Deine Addi auf die Schnelle nicht finde. Falls ihr den Fund verifiziert, möchte ich den ersten Credit hier im Board bekommen (ohne Nennung des Crypters, aber vor Ablauf der Rückhaltefrist Gruss Nautilus [ 09. September 2002, 20:18: Beitrag editiert von: Nautilus ] |
09.09.2002, 19:27 | #50 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? </font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus: @Cruz Den Vorschlag mit der Rückhaltezeit finde ich gut. Bitmaster und Uwe haben von mir soeben eine Samplemail bekommen. Dir habe ich sie leider nicht geschickt, da ich Deine Addi auf die Schnelle nicht finde.</font>[/QUOTE]das kenne ich auch, auf die einfachste lösung kommt man am schwersten einfach mal auf profil klicken .cruz
__________________ "Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i> |
09.09.2002, 19:35 | #51 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? Das habe ich gemacht, bekomme aber nur Deine Homepage, auf der nichts los ist , angezeigt. Deine Email Addi bleibt leer. Vielleicht ist mein Browser zu sicher eingestellt? Gruss Nautilus |
09.09.2002, 19:38 | #52 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? </font><blockquote>Zitat:</font><hr />Original erstellt von Nautilus: Das habe ich gemacht, bekomme aber nur Deine Homepage, auf der nichts los ist , angezeigt. Deine Email Addi bleibt leer. Vielleicht ist mein Browser zu sicher eingestellt?</font>[/QUOTE]huh? dein browser blendet email-addys aus? bei mir steht da: cruz@allnews.de [edit] kann natürlich auch an meinen admin-rechten liegen, dass das nur bei mir angezeigt wird, muss ich gleich mal testen. [/edit] .cruz [ 09. September 2002, 20:39: Beitrag editiert von: cruz ]
__________________ "Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i> |
09.09.2002, 19:50 | #53 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? also: mit sämtlichen graphischen browsern, die ich getestet habe, wird die email angezeigt (IE. konqueror, mozilla), mit textbrowsern wie lynx und links tritt in der tat das phänomen auf, dass die email nicht angezeigt wird. .cruz
__________________ "Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i> |
09.09.2002, 20:14 | #54 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? Hi, zunächst einmal finde ich es gut, daß es doch noch zu einer Einigung und zu einer Durchführung des Projektes "Packer&Crypter" zu kommen scheint. [img]smile.gif[/img] Ich selbst werde vermutlich zu wenig Zeit haben, um selbst aktiv nach solchen Packern zu fahnden, aber die Ergebnisse interessieren mich trotzdem. Ich habe gelegentlich mit laufzeitkomprimierten Dateien zu tun, und meist weiß ich nicht, womit sie gepackt sind. Bei einigen komprimierten Dateien erkennt man den verwendeten Packer im Fileheader (z.B. UPX). Ich denke, daß nicht nur bei mir Interesse besteht, den verwendeten Packer mit einem Hexeditor oder einem anderen Programm zu ermitteln. Wäre es daher möglich, eine Übersicht zu erstellen, woran welcher Packer/Crypter zu erkennen ist? Dadurch wäre es möglich, schon beim Eintreffen einer komprimierten Datei (z.B. per Mail) ein Gefährdungspotential (eventuell enthaltene Malware) zu erkennen. Einiges ist mir noch unklar: </font><blockquote>Zitat:</font><hr />*quoting Nautilus: Ich gehe insoweit davon aus, dass Bitmaster, Cruz, Uwe und natürlich auch ich, das gesammelte Ergebnis der Suche an alle mit einem berechtigten Interesse weiterleiten werden.</font>[/QUOTE]Wer genau legt fest, wer zu den Personen mit einem "berechtigten Interesse" gehört? Schließlich handelt es sich dabei nicht nur um die AV/AT Firmen, sondern auch um freiwillige Helfer. </font><blockquote>Zitat:</font><hr />Jeder aus der AV Community kann es haben, alle bekannten Ratboard Mitglieder gehen leer aus.</font>[/QUOTE]Wie willst du das sicherstellen? ciao
__________________ Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten [Ambrose Bierce, "Des Teufels Wörterbuch"] |
09.09.2002, 20:21 | #55 |
Administrator, a.D. | Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? </font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl: Wäre es daher möglich, eine Übersicht zu erstellen, woran welcher Packer/Crypter zu erkennen ist? Dadurch wäre es möglich, schon beim Eintreffen einer komprimierten Datei (z.B. per Mail) ein Gefährdungspotential (eventuell enthaltene Malware) zu erkennen.</font>[/QUOTE]da gibts fertige tools für, wie gut die sind, hab ich aber noch nicht getestet. bei interesse such ich dir mal die namen der tools raus. .cruz
__________________ "Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i> |
09.09.2002, 20:33 | #56 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie? Noch interessanter wäre m.E. eine direkte Übersicht, an welchem Header man welchen Packer erkennt (evtl als ASCII-Datei). Sowas könnte man in einen Mailserver integrieren, der dann beim Auftreten einer Mail mit einer derart gepackten Datei das entsprechende Attachment strippt.
__________________ Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten [Ambrose Bierce, "Des Teufels Wörterbuch"] |
09.09.2002, 20:41 | #57 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? </font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl: Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie? .</font>[/QUOTE]Das hier ist IMO sehr gut http://www.unet.univie.ac.at/~a96066...p/download.htm wenn jemand andere kennt, raus damit. Sowas suche ich auch. [img]smile.gif[/img] MfG Raman
__________________ MfG Ralf |
09.09.2002, 21:27 | #58 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? @Prantl Zu Deiner Frage ... Cruz ist ja sogar bereit noch einen Schritt weiter zu gehen und ALLE Packer zu veröffentlichen (nach einer Rückhaltezeit). Ich denke, damit ist die Frage der Verteilung weitgehend gegenstandslos. Es könnte insoweit allenfalls noch um die Frage gehen, wer das aus den einzelnen Emails entstehende "Packerarchiv" bekommt. Ich denke, dass können wir hier noch ausgiebig im Thread im diskutieren. Auf jeden Fall sollten es alle AV Hersteller bekommen, die die Packer in eine Scanengine einbauen wollen. Zu Deiner zweiten Frage: Man kann den Header mit einem Hexeditor verändern, so dass sich UPX nicht mehr so leicht erkennen lässt. Vermutlich wissen Seltsam oder Gladiator am besten, wie man einen Packer trotzdem erkennt. KAV lässt sich so jedenfalls nicht täuschen. Ein Beispiel für ein Tools zur Analyse von Packern ist Procdump (es handelt sich hierbei nicht NUR um einen einfachen Dumper). Gruss Nautilus |
09.09.2002, 21:30 | #59 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? Jetzt wirds hier langsam zum wirklichen Trojaner-Board. wizard
__________________ "If you think safety is expensive, try an accident!" |
09.09.2002, 21:38 | #60 |
| Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? @Wizard Du hast PM. @Cruz Bitte editiere mein Posting, wenn ich ab morgen wieder in Urlaub bin, und einzelne Passagen vielleicht doch etwas zu weit gehen. Gruss Nautilus |
Themen zu Frage: Sammelthread zu geheimen Packer/Crypter-Kombinationen sinnvoll? |
anleitung, arbeit, bekannte, boards, crypter, einfach, eingebaut, engine, folge, folgendes, frage, helfen, kontakte, leitung, mcafee, neu, packer, poste, scan, scanner, seite, theme, themen, thread, unbekannte, unbekannten, würde |