|
das beantwortet nicht meine Frage ;) |
das sollte es auch nicht, war eher eine antwort auf post 1 :blabla: aber trotzdem gerne. möglich ja... aber nur wenn der jenige den quellcode auch wirklich versteht. nur weil der computer diesen versteht, muss es nicht jeder programmierer. nun weiss ich nicht ob malware mit vielen quelldateien geschrieben wird oder immer in textform ist. gibts programme die sowas übersetzen ? dann würde jeder programmierer damit klar kommen. aus eine antwort, wurd eine frage... verdammt! aber ich kenn mich mit programmieren nicht wirklich aus, auch wenn ich mal kleine programme damals mit den c64 (basic) geschrieben hab. lang ist´s her ^^ |
Logo. derjenige versteht den Quellcode zu 100%, und hat ihn zu 100% vorliegen. Wobei man ja nicht von Quellcode reden kann, wäre ja zu einfach ;). Der Quellcode liegt vor in Form von Assembler. Das nennt man Reverse Engineering. |
ok, wenn der quellcode immer übersetzbar ist... 好吧,如果原始程式碼始終是可翻譯... |
Boah, Assembler is furchtbar zu lesen :D. Aber im Endeffekt easy weil ja nur 3 Sachen pro Zeile stehen (Befehl, Ziel, Quelle). |
Wenn der Quellcode nicht wirklich im Original vorliegt, kann man den Code leider nur in sehr einfachen Fällen wirklich verstehen - denn die "Rückübersetzung" hinkt in mehreren Bereichen (Pointer-, Index- und Segmentregister stimmen nicht mehr überein): Deshalb werden in solchen Fällen auch genaue Analysen durchgeführt, um wirklich nachzuweisen, welche Systemänderungen nun tatsächlich vorgenommen werden. (Ich nehme an, dies geschieht im nicht-öffentlichen Raum.....) Liebe Grüße, Alois |
Das ist dann aber wieder dynamische Analyse ;) Aber gerade bei tricky Teilen wird eher statisch analysiert. Klar, da ist ein Schutz drin der das disamblen verhindern soll, neuderings werden auch gern 80 jpgs aufgerufen zwischendurch, in der Hoffnung der Analyst verliert die Lust bei 1000 Zeilen Assembler Code, hilft aber alles nix :D |
Mit anderen Worten werden so wirklich alle Packers, Encryptors, Obfuscators, Archivers und Binders auf alle Fälle erkannt? - und wenn der Angreifer mehrere Compiler verwendet hat? Liebe Grüße, Alois |
Es wird natürlich immer schwerer. Mir is aber jetzt spontan keine Malware bekannt die bei kernelmode nicht geknackt wurde, als Beispiel. |
Na, das ist ja immerhin ein Lichtblick! :daumenhoc Liebe Grüße, Alois |
Zitat:
|
ich nix verstehen :D |
Hab den Artikel wiedergefunden :applaus: => Rootkit verschiebt Windows in virtuelle Maschine | heise Security Ist von Ende 2006 :applaus: Irgnendwas mal von gehört? |
War nicht hier mal einer, der den Verdacht hatte, so was sei auf seinem PC passiert? |
Wirklich, wen meinste denn? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board