![]() |
</font><blockquote>Zitat:</font><hr /> s/ihr/wizard </font>[/QUOTE]Auch wenn ich die Antwort nicht verstehe (s und wizard)(?), aber um auf das "ihr" zu reagieren, unsere Anwesenheit hier auf dem Board resultiert ja nicht aus den tollen Links, die man hier zugespielt bekommt ;) |
</font><blockquote>Zitat:</font><hr />* quoting Jason: </font><blockquote>Zitat:</font><hr />s/ihr/wizard</font>[/QUOTE]Auch wenn ich die Antwort nicht verstehe (s und wizard)(?),</font>[/QUOTE]substitute 'ihr' with 'wizard' HTH |
Ahja :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von Jason: Auch wenn ich die Antwort nicht verstehe (s und wizard)(?),</font>[/QUOTE]lernt man als informatik-student nicht mehr mit unix umzugehen? man sed ;) </font><blockquote>Zitat:</font><hr />aber um auf das "ihr" zu reagieren, unsere Anwesenheit hier auf dem Board resultiert ja nicht aus den tollen Links, die man hier zugespielt bekommt ;) </font>[/QUOTE]na das will ich doch hoffen =) .cruz |
</font><blockquote>Zitat:</font><hr /> lernt man als informatik-student nicht mehr mit unix umzugehen? man sed </font>[/QUOTE][img]smile.gif[/img] Hatte eben nicht derart codierte Statements erwartet *g* [ 10. September 2002, 21:48: Beitrag editiert von: Jason ] |
</font><blockquote>Zitat:</font><hr />* quoting wizard: Das KAV durch die ganzen Packer erheblich länger braucht als andere Scanner wird generell als negativ ausgelegt und die User wechseln dann zurück zu AntiVirPE.</font>[/QUOTE]Das liegt dann aber an den Usern, und nicht an KAV. Ein richtiger Scan dauert nun mal seine Zeit. Soweit ich weiß, untersuchen die meisten Antivirenprogramme immer nur die ersten paar Bytes der Datei. Stimmt das? Gibt es eigentlich ein Antivirusprogramm, welches auch die Alternativen Datenströme auf NTFS-Datenträgern durchsucht? Das ist meiner Ansicht nach das Versteck für Schadsoftware und andere Dinge. Zumal sich Alternative Datenströme sogar mit einem simplen Texteditor erzeugen lassen... ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Jason: Hatte eben nicht derart codierte Statements erwartet *g*</font>[/QUOTE]ist halt manchmal effizienter als normale menschliche kommunikation mit sozial-overhead ;) .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl: Soweit ich weiß, untersuchen die meisten Antivirenprogramme immer nur die ersten paar Bytes der Datei. Stimmt das?</font>[/QUOTE]Jein. Es wird der Header nach dem "Dateityp" geprüft und dann entschieden, ob und wo in der Datei gescannt wird. </font><blockquote>Zitat:</font><hr />Gibt es eigentlich ein Antivirusprogramm, welches auch die Alternativen Datenströme auf NTFS-Datenträgern durchsucht?</font>[/QUOTE]KAV seit Version 3.5 und McAfee VirusScan mitlerweile auch, bin mir bei letzterem Programm aber 100%ig nicht sicher. Bei Trojanernscanner können Ants oder TDS-3 auch in solchen Streams scannen. Besonders letzteres Programm ist interessant, da man sich alle Streams anzeigen lassen kann. </font><blockquote>Zitat:</font><hr /> Das ist meiner Ansicht nach das Versteck für Schadsoftware und andere Dinge. </font>[/QUOTE] Ich hatte erwartet, dass wir solche Malware öfter sehen, aber scheinbar ist NTFS immer noch nicht interessant/weit verbreitet genug für Malwarecoder. Proof-of-concepts gab es dazu ja genug. wizard |
>Falls jemand einen sinnvollen Einsatz für >Laufzeitkomprimierer kennt, würde ich ihn gern >wissen wollen. ;) Geringere Downloadgrößen z.B. [img]redface.gif[/img] ). Aber Laufzeitkomprimierer sind letztlich nichts anderes als Packer. Erklärst Du den Einsatz für Packer jetzt auch für sinnfrei? *g* EXE Crypter halte ich persönlich allerdings auch für überflüssig. Wozu ein Packer jetzt noch polymorphe Encryption Layer braucht (siehe z.B. ASPack) frag ich mich übrigens auch *g*. |
</font><blockquote>Zitat:</font><hr />Original erstellt von cruz: </font><blockquote>Zitat:</font><hr />Original erstellt von Jason: Hatte eben nicht derart codierte Statements erwartet *g*</font>[/QUOTE]ist halt manchmal effizienter als normale menschliche kommunikation mit sozial-overhead ;) .cruz</font>[/QUOTE]*lach* Kommunikation als "sozialen Overhead" zu bezeichnen ist gewagt aber interessant...lass das bloß nich meine Freundin hören (Germanistikstudentin ;) ) |
</font><blockquote>Zitat:</font><hr />Thus spake DrSeltsam: [Verwendungszweck für Laufzeitkomprimierer] Geringere Downloadgrößen z.B.</font>[/QUOTE]Auch mit Zip, WinRAR, Ace usw lassen sich Installer komprimieren, die dann beim Ausführen sich selbst extrahieren und den Installer starten. Dafür brauche ich also auch keine Laufzeitpacker. </font><blockquote>Zitat:</font><hr />Erklärst Du den Einsatz für Packer jetzt auch für sinnfrei? *g*</font>[/QUOTE]Nein, natürlich nicht. [img]smile.gif[/img] Aber .zip-gepackte Dateien sind für den Anwender transparenter. ciao |
Ohne Bitmaster, der fuer die Veröffentlichung der Resultate zustaendig ist, vorgreifen zu wollen: Wir können bereits einige Erfolge verzeichnen. Und einige Packer bzw. Crypter wurden auch bereits von den AV Herstellern eingebaut und sind somit quasi für den Gebrauch durch die "dunkle Seite der Macht" nutzlos geworden. Noch besteht übrigens die Möglichkeit, bei der Suche mitzumachen und sich auf diese Weise unsterblichen Ruhm zu verdienen ;) Gruss Nautilus |
Und nun die Fakten im einzelnen: Es wurden einige Packer/Crypter gefunden die entweder KAV und/oder McAfee überlisten konnten. Die Crypter - Netwalker - PE Ninja - Noodle wurden bereits in KAV eingefügt bzw. korrigiert. Einige weitere stehen bei beiden Programmen noch aus. Auch ein Fehler von KAV bei FSG konnte behoben werden. Obwohl sich vermutlich leider sehr wenige Personen an der Suche beteiligen, wurden schon einige Erfolge erzielt. z.Zt. dürften es nicht mehr als 5 Personen sein, die fündig geworden sind. Wir möchten daher nochmals dazu aufrufen, sich an der Suche zu beteiligen. Außerdem wäre es genauso sinnvoll und wichtig, auf die anderen AV Hersteller einzuwirken, ihre Software sicherer und besser zu machen. Wer also keine Zeit oder Lust auf Packersuche hat, könnte also auch in diese Richtung hin arbeiten und sich so an der Sache beteiligen. Da diese Suche "Security Seiten übergreifend" ist, hat sich außerdem Cruz bereiterklärt, seine Seite www.security-project.de sozusagen als "neutralen Boden" zur Verfügung zu stellen. Dort können wir dann aktuelle Informationen und Zwischenergebnisse veröffentlichen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von wizard: KAV seit Version 3.5 und McAfee VirusScan mitlerweile auch, bin mir bei letzterem Programm aber 100%ig nicht sicher. Bei Trojanernscanner können Ants oder TDS-3 auch in solchen Streams scannen. </font>[/QUOTE]TrojanHunter natürlich auch ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Magnus: TrojanHunter natürlich auch ;) </font>[/QUOTE]Wie konnte ich das nur vergessen. ;) wizard |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board