|
Plagegeister aller Art und deren Bekämpfung: Stärke von PolymorphismusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.03.2003, 01:50 | #91 |
| Stärke von Polymorphismus Hat Dir schon mal jemand gesagt dass du wunderschoene Augen hast ? (zumindest auf dem RB Avatar) Telefonnummer ? Achja... Ich bin in festen (weiblichen) haenden... Darf ich Dich trotzdem anrufen ? BITTTTTTTTTTTTTTTTTTTTAAAAAAAAAAAAAAAEEEEEEEEEEE |
10.03.2003, 01:56 | #92 |
Gast | Stärke von Polymorphismus ach komm, das sagst du doch nur so... [img]graemlins/huepp.gif[/img]
__________________na schön, wenn du mich sooo lieb darum bittest werde ich dir meine nummer irgendwann mitteilen... |
10.03.2003, 02:36 | #93 |
Administrator, a.D. | Stärke von Polymorphismus ich freue mich, dass ihr euch auf ner humoristischen ebene wiedergetroffen habt. das ist auch für alle anderen der zeitpunkt es mit humor zu nehmen und vor allem wieder aufs thema zurückzukommen.
__________________.cruz
__________________ |
10.03.2003, 07:37 | #94 |
| Stärke von Polymorphismus @DocSeltsam: Du hast gschriebn, dass du noch was über die poly-levels schreibst... also, ich warte grüsse, Mario
__________________ 'Imagine all the people living life in peace' - - - John Lennon |
10.03.2003, 09:07 | #95 |
| Stärke von Polymorphismus Jo sorry - meine Freundin kam fgestern ... und da hatte ich dann ... *hüstel* ... anderes zu tun *g*. Ich reich das heute morgen nach [img]smile.gif[/img] . |
10.03.2003, 09:34 | #96 |
| Stärke von Polymorphismus da der doc immer lange pennt hab ich mal gegooglet </font><blockquote>Zitat:</font><hr /> Vesselin Bontchev, ein Anti-Viren Hersteller hat einmal eine Tabelle aufgestellt, über die Verschiedenen Level der Polymorphie: 1. Mehrere Decryptoren, von denen einer ausgesucht wird 2. Variable Instruktionen für jedes Teilstück 3. Garbage / Junk Code 4. Veränderbare Reihenfolge 5. 2+3+4 --------------------------------------------------------- 6. Permutation </font>[/QUOTE]diesen teil findet ihr in diesem (h**p://www.snake-basket.de/d/poly.txt) tutorial (für alle suchfaulen->das war an erster stelle in google!) ansonsten is der thread ja sehr lustig zu lesen *untermtischliegentunvorlachen* aber so laaaangsam könnt ihr damit aufhören @iron wo finde ich dein tagebuch von dem jojo sprach? *g* |
10.03.2003, 10:16 | #97 |
Administrator > law & order | Stärke von Polymorphismus </font><blockquote>Zitat:</font><hr />Original erstellt von blablabla: @iron wo finde ich dein tagebuch von dem jojo sprach? *g*</font>[/QUOTE]Schau mal auf seiner Homepage nach Tip: Es gibt da einen Knopf in der Leiste über jedem seiner Postings Para
__________________ - Wenn die Klugen nachgeben, regieren die Dummen. - |
10.03.2003, 10:22 | #98 |
| Stärke von Polymorphismus Ok ... dann mal die bereits versprochenen Informationen zu den polymorphic levels: Level 1 (Oligomorph): Der Virus benutzt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu). Level 2: Der zweite Level unterscheidet sich vom ersten dadurch, daß es keinen statischen Decryptor mehr gibt sondern der Decryptor jedes mal neu generiert wird. Der Decryptor nutzt aber immer die selben Befehle, die nur jeweils immer eine unterschiedliche Reihenfolge haben. Beispiel hierfür HWF oder WordSwap. Level 3: Vom 3. Level spricht man, wenn zw. den einzelnen Befehlen sinnlose Instruktionen eingestreut werden. Beispiele dafür wären Flip und Tequila. Level 4: Beim 4. Level werden dann noch zusätzlich die Befehle ausgetauscht, die für die Entschlüsseluig nicht von Relevanz sind. Level 5: Das ist jetzt eigentlich der Level der den AV Leuten so extreme Kopfschmerzen bereitet (hat). Der 5. Level ist eine Kombination aus Level 2, 3 und 4. Die Befehle werden durcheinander gewürfelt, Datenschrott wird eingestreut und die austauschbaren Befehle werden durch andere ersetzt. Level 6 (Permutating): Der 6. Level arbeitet nach einem der 3 folgendem Prinzipien: Der Virus zerstückelt sich selbst in kleine Teile und bringt sie an unterschiedlichen Teilen des Wirtscodes unter. Danach wird eine Routine hinzugefügt, die die einzelnen Stücke wieder zusammenfügt sobald der infizierte Wirt gestartet wird. Der Virus bringt sich irgendwo im Wirt in einer unzerstückelten Form unter und fügt mehrere (polymorphe) Lademodule ein. Diese Lademodule tun nichts anderes als bestimmte Register zu laden und dann jeweils zum nächsten Lademodul zu springen bis man dann irgendwann nach einigen 100 - 1000 Sprüngen zum wirklichen Decryptor kommt. Der Decryptor wird zerstückelt im Wirt verteilt. Der Virus wird dann über mehrere im Wirt eingefügte (polymorphe) Lademodule, die nichts anderes tun als sinnlose Operationen durchzuführen und jeweils einen anderen Teil des Decryptors anzuspringen, entschlüsselt. Beispiele für Permutierende Viren: One_Half, Bad_Boy, Fly, Leech oder Commander Bomber. Es ist mir noch eine Virenfamilie bekannt die eine Art Mix aus Permutation und Level 5 Polymorphism darstellt. Das ist Uruguay. Die Uruguay Virus Familie hat - sofern ich das beurteilen kann - die beste Mutation Engine die es für DOS Viren gab. Zumindest hab ich noch keine bessere gesehen. Die Mutation Engine an sich ist Level 5 polymorph. Die Uruguay Familie infiziert nur COM Dateien. EXE Dateien die kleiner sind als 64 kb werden vorher in COM Dateien umgewandelt. Der eigentliche Decryptor für den polymorph verschlüsselten Viruskörper wird ans Dateiende angehängt. Der Sprung zum Virus am Datei Anfang wird ebenfalls polymorph erstellen (erinnert stark ans Permutating). Der am Anfang eingefügte polymorphe Sprung besteht dabei nicht nur aus einem "einfachen" Sprung (jmp) sondern kann auch direkt über Register oder auch indirekt über mehrere Zwischenstopps ausgeführt werden. Das Problem ist die Tatsache, das das AV Programm diesen Sprungcode "auslösen" muss um zum richtigen Decryptor zu kommen. Den Decryptor am Ende der Datei suchen ist nicht möglich. Wie gesagt ist der Virus Level 5 polymorph, wieshalb der Decryptor eine variable Länge aufweist. Hoffe snooby und allen anderen Interessierten einen kleinen Einblick in die verschiedenen "Qualitätsstufen" gegeben zu haben. Man kann sich aber grade bei den Poly Leveln viel Streiten. Wie so oft in der AV Branche gibt es unterschiedliche Betrachtungsweisen [img]smile.gif[/img] . |
10.03.2003, 11:30 | #99 |
| Stärke von Polymorphismus Na endlich mal was interessantes...könnte jemand vielleicht seinen Beitrag auf der ersten Seite editieren und mit einen direkten Link hierhin verweisen..sodass man nicht den ganzen Bullshit der von Seite 3 bis 7 reicht noch mitlesen muß. |
10.03.2003, 12:03 | #100 |
| Stärke von Polymorphismus </font><blockquote>Zitat:</font><hr /> Was habe ich bitte wie verdreht?? </font>[/QUOTE]Das fragst Du noch??? Sortiere doch bitte erst mal in Deiner letzten Antwort sämtliche Angriffe, so ist das hoffnungslos unverständlich und wenn Du damit fertig bist, bist Du wohl so freundlich, mir das hier </font><blockquote>Zitat:</font><hr /> es ist schlicht und ergreifend ein Angriff oder eine Unterstellung an die Adresse... </font>[/QUOTE]zu definieren, unter besonderer Berücksichtigung der von Dir explizit erwähnten NUB´s. [ 10. März 2003, 00:06: Beitrag editiert von: manticore ] |
10.03.2003, 12:30 | #101 |
| Stärke von Polymorphismus hey, voll cool, Doc! Aber mir scheint, du hast da was nichtbeachtet, vielleciht war es auch deine Absicht: Was ist mit der veränderung von Variablen (zB in PERL, JavaScript, PHP,...) Wenn diese Variablen den code verschlüsslen, und sich selbst verändern, (sowie beim Poly-Engine von kefi), dann ist es auch polymorph! grüsse, Mario
__________________ 'Imagine all the people living life in peace' - - - John Lennon |
10.03.2003, 12:31 | #102 |
| Stärke von Polymorphismus Also damit wir mal wieder zum Thema zuerueck finden, jeder der meint er habe was zum Thema polymorphe Viren zu sagen der bewaffne sich jetzt mit einem Debugger und wir debuggen gemeinsam einen polymorphen Virus ohne Source so dass wir dann anschliessend wissen was der tut. Notfalls kann auch in auswegloser Situation disassembliert werden. Vampire du faengst an - suche Dir einen polymorphen Virus aus den Du debuggen kannst - mein Softice und Disassembler stehen bereits Gewehr bei Fuss. Nun zeig mal mal was Du wirklich kannst. Ich warte. |
10.03.2003, 12:40 | #103 |
Gast | Stärke von Polymorphismus ich habe weder polymorphe noch herkömmliche viren auf meiner platte und einen debugger lediglich in meiner delphi umgegebung, mit einem disassembler kann ich allerdings dienen... der source eines poly viruses würde mich aber interessieren... |
10.03.2003, 12:41 | #104 |
| Stärke von Polymorphismus Kannst du optimierten Assembler ? |
10.03.2003, 12:47 | #105 |
Gast | Stärke von Polymorphismus assembler kann ich überhaupt nicht, wusste auch nicht das diese sprache noch zu optimieren wäre... geht das wirklich oder willst du mich verschaukeln? |
Themen zu Stärke von Polymorphismus |
analyse, antworten, chance, dauert, frage, gefunde, gescannt, gesuch, gesucht, länger, nicht, normale, normalen, polymorpher, schlüssel, snooby, stark, variante, vielen dank, viren, virus, worte |