| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Stärke von PolymorphismusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.03.2003, 12:16
| #11 |
| Gast |  Stärke von Polymorphismus </font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: Polymorph bedeutet das ein Virus bei jeder Generationsstufe (sprich Infektion) eine andere Gestalt hat. </font>[/QUOTE]komm ich noch drauf... </font><blockquote>Zitat:</font><hr /> Trojaner bedeutet ein Programm das etwas tut was es nicht soll, sich aber nicht SELBSTSTÄNDIG weiterverbreiten kann. Wie soll es bei nicht selbstständiger Verbreitung verschiedene Generationen geben? </font>[/QUOTE]also zunächst: 95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..??? es gibt einen der sich selbstständig wie ein virus über outlook verbreitet. der ist allerdings nicht polymorph... [QOUTE] Das der Trojaner undetected wäre würde ich aber bezweifeln. Polymorph bedeutet letztlich das es einen statischen Virenkörper gibt der mit hilfe eines variablen/statischen Verschlüsselungsalgorithmus verschlüsselt wird und mit einem stets neu gewählten oder generierten Entschlüsselungsstub versehen wird. Der Decryptor ist dabei genau der selbe wie bei Viren - da greift problemlos der Emulator der AV Programme. Schwieriger wäre es wenn der Server Generator defacto ein "Source Code" Generator wäre der dann mit einem freeware Compiler wie dem FPC oder GCC oder ähnlichem compiliert werden könnte. Dadurch könnte man den Herstellern wirklich HEFTIGST Kopfschmerzen bereiten. Siehe auch NGVCK ... [/QUOTE] jetzt enttäuscht du mich aber ein bißchen... die weitaus meisten trojaner sind mit einer editserver.exe versehen. die datei dient dazu den server mit port, PWD, startmethode, notify usw. zu editieren. man trifft also seine entscheidungen und saved die daten in den schon vorhandenen server ab. etwas anders funzt das z.b. mit assasin 1.1 es gibt keinen schon vorhanden server...!!! da ist die editserver datei in den client integriert. man trifft also die gleichen entscheidungen, clickt "make server" und ein völlig neues exemplar wird compiliert. diese methode ,polymorph kultiviert, erstellt mit jedem server auch gleichzeitg die nächste generation. das heisst der server wäre eben doch undetect. die selbstständige weiterverbreitung ist in diesem kontext ein weiterer luxus aber nicht bedingung. ich behaupte nicht, daß ich jetzt so ohne weiteres in der lage wäre ein solches programm zu schreiben. ( bin delphi programmierer) aber es gibt mit sicherheit eine ganze reihe von personen die das sehrwohl können. einen davon kenn ich... ps: lccWin32 ist "in" momentan... [ 08. März 2003, 12:27: Beitrag editiert von: vampire ] |
| Themen zu Stärke von Polymorphismus |
| analyse, antworten, chance, dauert, frage, gefunde, gescannt, gesuch, gesucht, länger, nicht, normale, normalen, polymorpher, schlüssel, snooby, stark, variante, vielen dank, viren, virus, worte |
Baum-Darstellung