</font><blockquote>Zitat:</font><hr />* quoting wizard:
Jetzt wirds hier langsam zum wirklichen Trojaner-Board.</font>[/QUOTE]-v bitte.

</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl:
Das hört sich gut an. [img]graemlins/daumenhoch.gif[/img] Ich habe Interesse an solchen Tools, wo finde ich sie bzw wie heißen sie?</font>[/QUOTE]du findest einige zB bei der von nautilus genannten protools-url unter:

Utilities &gt; File scanners/analyzers

</font><blockquote>Zitat:</font><hr />Noch interessanter wäre m.E. eine direkte Übersicht, an welchem Header man welchen Packer erkennt (evtl als ASCII-Datei). Sowas könnte man in einen Mailserver integrieren, der dann beim Auftreten einer Mail mit einer derart gepackten Datei das entsprechende Attachment strippt.</font>[/QUOTE]das wäre natürlich noch besser, damit hab ich mich aber noch nicht weiter beschäftigt. aber ich zweifele noch etwas, ob man daran ein bedrohungspotential abschätzen kann, denn solche packer crypter werden ja häufig von kommerziellen programmen benutzt, um reverse engeneering zu erschweren.

@wizard:

wenn du irgendwelche gegenargumente hast, dann raus damit. ich war mir wie gesagt nicht 100% sicher. aber: informationsgeheimhaltung ist sicherlich _kein_ argument pro sicherheit.

.cruz

</font><blockquote>Zitat:</font><hr />* quoting cruz:
ich zweifele noch etwas, ob man daran ein bedrohungspotential abschätzen kann</font>[/QUOTE]Nach meinem Dafürhalten haben Leute, die ihre .exen laufzeitkomprimieren, immer etwas zu verbergen. Sei es nun schlampige Programmierung (zu große Datei) oder eingebettete Schadsoftware. Falls jemand einen sinnvollen Einsatz für Laufzeitkomprimierer kennt, würde ich ihn gern wissen wollen. ;)
</font><blockquote>Zitat:</font><hr />solche packer crypter werden ja häufig von kommerziellen programmen benutzt, um reverse engeneering zu erschweren</font>[/QUOTE]Das ist ein guter Beweis, daß Security-by-Obscurity nicht funktioniert. [img]graemlins/lach.gif[/img] Das Reverse Engineering wird nur aufgrund der Unbekanntheit des Packers erschwert. Sollte man den Packer kennen und dann die Datei entpacken können, ist das Reverse Engineering wieder möglich.

</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl:
Nach meinem Dafürhalten haben Leute, die ihre .exen laufzeitkomprimieren, immer etwas zu verbergen.</font>[/QUOTE]konsequenterweise haben alle closed-source programme was zu verstecken ;)

</font><blockquote>Zitat:</font><hr />Das ist ein guter Beweis, daß Security-by-Obscurity nicht funktioniert. [img]graemlins/lach.gif[/img] Das Reverse Engineering wird nur aufgrund der Unbekanntheit des Packers erschwert. Sollte man den Packer kennen und dann die Datei entpacken können, ist das Reverse Engineering wieder möglich.</font>[/QUOTE]richtig, ich hab ja auch nix anderes behauptet ;)
fakt ist aber, dass es sogar komerzielle crypter gibt, mit denen ganz normale "alltagssoftware" vor crackern "geschützt" wird (und die machen es teilweise wirklich um größenordnungen komplizierter).

das cracker es bis jetzt immer geschafft haben, steht ja auf nem anderen blatt ;)

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
wenn du irgendwelche gegenargumente hast, dann raus damit.</font>[/QUOTE]Wem ist mit dieser Aktion wirklich geholfen? Wer wird durch diese Aktion sicherer (oder besser geschützt) und wer dadurch unsicherer?

wizard

</font><blockquote>Zitat:</font><hr />Original erstellt von wizard:
Wem ist mit dieser Aktion wirklich geholfen? </font>[/QUOTE]dem anwender von malwarescannern, die dadurch verbessert werden?

</font><blockquote>Zitat:</font><hr />Wer wird durch diese Aktion sicherer (oder besser geschützt) </font>[/QUOTE]der anwender von malwarescannern, die dadurch verbessert werden?

</font><blockquote>Zitat:</font><hr />und wer dadurch unsicherer?
</font>[/QUOTE]anwender von malwarescannern, die nicht dadurch verbessert werden?

.cruz

[ 10. September 2002, 20:06: Beitrag editiert von: cruz ]

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
anwender von malwarescannern, die nicht dadurch verbessert werden?</font>[/QUOTE]Und die werden sicherlich von der Mehrheit der Forumsbesucher hier benutzt...

wizard

</font><blockquote>Zitat:</font><hr />* quoting wizard:
Wem ist mit dieser Aktion wirklich geholfen?</font>[/QUOTE]Den Programmierern von Malwarescannern, weil sie ihre Scanner verbessern können?
</font><blockquote>Zitat:</font><hr />Wer wird durch diese Aktion sicherer</font>[/QUOTE]Der Anwender, definitiv.
</font><blockquote>Zitat:</font><hr />und wer dadurch unsicherer?</font>[/QUOTE]Ich glaube, diese Diskussion hatten wir schon einmal. Wie kann ein Mehr an Wissen zu einem Weniger an Sicherheit führen? Diese Frage hast du auch damals schon nicht beantwortet. ;)

ciao

</font><blockquote>Zitat:</font><hr />Original erstellt von wizard:
Und die werden sicherlich von der Mehrheit der Forumsbesucher hier benutzt...
</font>[/QUOTE]das ist doch kein argument, wenn du dir das ratboard mal anschaust, ist es kein problem einen "undetected" für so ziemlich alles außer mcaffee und kav zu bekommen.

wir würden die guten besser machen und den schlechten ist eh nicht zu helfen, zumindest so lange nicht, bis sie sich um eine bessere unpacking engine bemühen (und auch da ist die veröffentlichung gut, weil sie druck auf die schlechten malwarescanner ausübt).

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
das ist doch kein argument, wenn du dir das ratboard mal anschaust, ist es kein problem einen "undetected" für so ziemlich alles außer mcaffee und kav zu bekommen.</font>[/QUOTE]Das Problem mit Packern reisse ich hier immer wieder an, wenn es um die "Qualität" von Scannern, besonders Trojanerscannern geht. Aber den "Anwender" interessiert das keine Stück, wie ich aus den Reaktionen auf meine Postings entnehme. NAV, AntiVirPE, Anti-Trojan,... um nur ein paar Beispiele zu nennen. BTW wann hatten wir hier im Forum eigentlich die letzte Frage zu McAfee VirusScan?

</font><blockquote>Zitat:</font><hr />wir würden die guten besser machen</font>[/QUOTE]Wirklich? Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.

</font><blockquote>Zitat:</font><hr /> und den schlechten ist eh nicht zu helfen, zumindest so lange nicht, bis sie sich um eine bessere unpacking engine bemühen</font>[/QUOTE]Aus der Sicht eines AV Herstellers betrachtet: Warum sollte ich Resourcen (Kosten) bereitstellen, wenn über 95% meiner Kunden kein Interesse an solchen Features haben. Schließlicht löst ja eine Personal Firewall alle Trojanerprobleme. Wozu dann noch eine Unpacking Engine?

</font><blockquote>Zitat:</font><hr />und auch da ist die veröffentlichung gut, weil sie druck auf die schlechten malwarescanner ausübt).</font>[/QUOTE]Wen interessiert es wenn wir hier die Schwächen der Scanner zur Schau stellen? Besonders wenn z. B. Europas innovativste Securityseite oder Fachzeitschriften Kaufempfehlungen für solche Programme geben?

wizard

Ich weiß nicht ob euch das beruhigt aber ich glaube kaum, dass die SK`s, die evtl den einen oder anderen Crypter in die Hand bekommen, das große Problem sind bei eurem Vorhaben.

Aus eigener Erfahrung kann ich sagen, dass das Gro dieser Leute nicht im Entferntesten mit den Dingern umgehen können und diejenigen, DIE es können, wissen, wo es die unbekanntesten gibt.

Macht also nicht aus ner Mücke nen Elefanten, oder meint ihr, dass reihenweise Server gehackt werden, nur weil BugTraq die Exploits veröffentlicht?

</font><blockquote>Zitat:</font><hr />Original erstellt von wizard:
Das Problem mit Packern reisse ich hier immer wieder an, wenn es um die "Qualität" von Scannern, besonders Trojanerscannern geht. Aber den "Anwender" interessiert das keine Stück, wie ich aus den Reaktionen auf meine Postings entnehme. </font>[/QUOTE]so what? wer lernresistent ist, hat halt pech gehabt.
und das problem kommt ja nicht _durch_ uns auf, sondern kann auf sämtlichen RAT-boards (generell gemeint) von scriptkiddies nachgelesen werden, wenn es also nicht auf der "guten" seite publik gemacht wird ergibt sich ein informationsvorsprung durch die andere seite.

</font><blockquote>Zitat:</font><hr />Wirklich? Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.</font>[/QUOTE]s.o. lernresistenz ist irrelevant. außerdem reicht es völlig, kav als on-demand scanner laufen zu lassen.

</font><blockquote>Zitat:</font><hr />Aus der Sicht eines AV Herstellers betrachtet: Warum sollte ich Resourcen (Kosten) bereitstellen, wenn über 95% meiner Kunden kein Interesse an solchen Features haben. Schließlicht löst ja eine Personal Firewall alle Trojanerprobleme. Wozu dann noch eine Unpacking Engine?</font>[/QUOTE]das ist ja des pudels kern, wir üben druck aus, wenn norton auf einmal nur die hälfte der ITW viren erkennt. wir erzwingen verbesserung.

</font><blockquote>Zitat:</font><hr />Wen interessiert es wenn wir hier die Schwächen der Scanner zur Schau stellen? Besonders wenn z. B. Europas innovativste Securityseite oder Fachzeitschriften Kaufempfehlungen für solche Programme geben?</font>[/QUOTE]s.o. bzügl. lernresistenz

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von Jason:
Macht also nicht aus ner Mücke nen Elefanten, oder meint ihr, dass reihenweise Server gehackt werden, nur weil BugTraq die Exploits veröffentlicht?</font>[/QUOTE]ehrlich gesagt: ja.

das heißt aber nicht, das bugtraq nicht gut und wichtig ist.

.cruz

Da hast du mich jetzt falsche verstanden;

Ihr befürchtet eine ScriptKiddie-Invasion, und die wird ausbleiben, weil diese Leute nicht nur die Tools brauchen, sondern auch noch ne führende Hand, die sie Klick für Klick durchs Programm führt.

Diejenigen, die das nicht brauchen, brauchen euch auch nicht, um die Programme zu bekommen.

So, das war jetzt ohne Schnörkel *g*

</font><blockquote>Zitat:</font><hr />Original erstellt von Jason:
Ihr befürchtet eine ScriptKiddie-Invasion, und die wird ausbleiben, weil diese Leute nicht nur die Tools brauchen, sondern auch noch ne führende Hand, die sie Klick für Klick durchs Programm führt.</font>[/QUOTE]s/ihr/wizard

</font><blockquote>Zitat:</font><hr />
Diejenigen, die das nicht brauchen, brauchen euch auch nicht, um die Programme zu bekommen.</font>[/QUOTE]das stimmt.