Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Stärke von Polymorphismus (https://www.trojaner-board.de/910-staerke-polymorphismus.html)

Gladiator the green guy 10.03.2003 01:50

Hat Dir schon mal jemand gesagt dass du wunderschoene Augen hast ? (zumindest auf dem RB Avatar) :D

Telefonnummer ? :D
Achja... Ich bin in festen (weiblichen) haenden... Darf ich Dich trotzdem anrufen ? BITTTTTTTTTTTTTTTTTTTTAAAAAAAAAAAAAAAEEEEEEEEEEE :D

vampire 10.03.2003 01:56

ach komm, das sagst du doch nur so... [img]graemlins/huepp.gif[/img]

na schön, wenn du mich sooo lieb darum bittest werde ich dir meine nummer irgendwann mitteilen...

cruz 10.03.2003 02:36

ich freue mich, dass ihr euch auf ner humoristischen ebene wiedergetroffen habt. das ist auch für alle anderen der zeitpunkt es mit humor zu nehmen und vor allem wieder aufs thema zurückzukommen.

.cruz

snooby 10.03.2003 07:37

@DocSeltsam:

Du hast gschriebn, dass du noch was über die poly-levels schreibst...
also, ich warte ;)

grüsse,
Mario

Andreas Haak 10.03.2003 09:07

Jo sorry - meine Freundin kam fgestern ... und da hatte ich dann ... *hüstel* ... anderes zu tun *g*. Ich reich das heute morgen nach [img]smile.gif[/img] .

blablabla 10.03.2003 09:34

da der doc immer lange pennt hab ich mal gegooglet ;)

</font><blockquote>Zitat:</font><hr />
Vesselin Bontchev, ein Anti-Viren Hersteller hat einmal eine Tabelle
aufgestellt, über die Verschiedenen Level der Polymorphie:

1. Mehrere Decryptoren, von denen einer ausgesucht wird
2. Variable Instruktionen für jedes Teilstück
3. Garbage / Junk Code
4. Veränderbare Reihenfolge
5. 2+3+4
---------------------------------------------------------
6. Permutation
</font>[/QUOTE]diesen teil findet ihr in diesem (h**p://www.snake-basket.de/d/poly.txt) tutorial
(für alle suchfaulen-&gt;das war an erster stelle in google!)

ansonsten is der thread ja sehr lustig zu lesen *untermtischliegentunvorlachen* aber so laaaangsam könnt ihr damit aufhören ;)

@iron
wo finde ich dein tagebuch von dem jojo sprach? *g*

Paranoia 10.03.2003 10:16

</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla:

@iron
wo finde ich dein tagebuch von dem jojo sprach? *g*
</font>[/QUOTE]Schau mal auf seiner Homepage nach ;) Tip: Es gibt da einen Knopf in der Leiste über jedem seiner Postings ;)
Para

Andreas Haak 10.03.2003 10:22

Ok ... dann mal die bereits versprochenen Informationen zu den polymorphic levels:

Level 1 (Oligomorph):
Der Virus benutzt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu).

Level 2:
Der zweite Level unterscheidet sich vom ersten dadurch, daß es keinen statischen Decryptor mehr gibt sondern der Decryptor jedes mal neu generiert wird. Der Decryptor nutzt aber immer die selben Befehle, die nur jeweils immer eine unterschiedliche Reihenfolge haben. Beispiel hierfür HWF oder WordSwap.

Level 3:
Vom 3. Level spricht man, wenn zw. den einzelnen Befehlen sinnlose Instruktionen eingestreut werden. Beispiele dafür wären Flip und Tequila.

Level 4:
Beim 4. Level werden dann noch zusätzlich die Befehle ausgetauscht, die für die Entschlüsseluig nicht von Relevanz sind.

Level 5:
Das ist jetzt eigentlich der Level der den AV Leuten so extreme Kopfschmerzen bereitet (hat). Der 5. Level ist eine Kombination aus Level 2, 3 und 4. Die Befehle werden durcheinander gewürfelt, Datenschrott wird eingestreut und die austauschbaren Befehle werden durch andere ersetzt.

Level 6 (Permutating):
Der 6. Level arbeitet nach einem der 3 folgendem Prinzipien:

Der Virus zerstückelt sich selbst in kleine Teile und bringt sie an unterschiedlichen Teilen des Wirtscodes unter. Danach wird eine Routine hinzugefügt, die die einzelnen Stücke wieder zusammenfügt sobald der infizierte Wirt gestartet wird.

Der Virus bringt sich irgendwo im Wirt in einer unzerstückelten Form unter und fügt mehrere (polymorphe) Lademodule ein. Diese Lademodule tun nichts anderes als bestimmte Register zu laden und dann jeweils zum nächsten Lademodul zu springen bis man dann irgendwann nach einigen 100 - 1000 Sprüngen zum wirklichen Decryptor kommt.

Der Decryptor wird zerstückelt im Wirt verteilt. Der Virus wird dann über mehrere im Wirt eingefügte (polymorphe) Lademodule, die nichts anderes tun als sinnlose Operationen durchzuführen und jeweils einen anderen Teil des Decryptors anzuspringen, entschlüsselt.

Beispiele für Permutierende Viren: One_Half, Bad_Boy, Fly, Leech oder Commander Bomber.

Es ist mir noch eine Virenfamilie bekannt die eine Art Mix aus Permutation und Level 5 Polymorphism darstellt. Das ist Uruguay.

Die Uruguay Virus Familie hat - sofern ich das beurteilen kann - die beste Mutation Engine die es für DOS Viren gab. Zumindest hab ich noch keine bessere gesehen. Die Mutation Engine an sich ist Level 5 polymorph.

Die Uruguay Familie infiziert nur COM Dateien. EXE Dateien die kleiner sind als 64 kb werden vorher in COM Dateien umgewandelt.

Der eigentliche Decryptor für den polymorph verschlüsselten Viruskörper wird ans Dateiende angehängt. Der Sprung zum Virus am Datei Anfang wird ebenfalls polymorph erstellen (erinnert stark ans Permutating).

Der am Anfang eingefügte polymorphe Sprung besteht dabei nicht nur aus einem "einfachen" Sprung (jmp) sondern kann auch direkt über Register oder auch indirekt über mehrere Zwischenstopps ausgeführt werden.

Das Problem ist die Tatsache, das das AV Programm diesen Sprungcode "auslösen" muss um zum richtigen Decryptor zu kommen.

Den Decryptor am Ende der Datei suchen ist nicht möglich. Wie gesagt ist der Virus Level 5 polymorph, wieshalb der Decryptor eine variable Länge aufweist.

Hoffe snooby und allen anderen Interessierten einen kleinen Einblick in die verschiedenen "Qualitätsstufen" gegeben zu haben. Man kann sich aber grade bei den Poly Leveln viel Streiten. Wie so oft in der AV Branche gibt es unterschiedliche Betrachtungsweisen [img]smile.gif[/img] .

JoJo 10.03.2003 11:30

Na endlich mal was interessantes...könnte jemand vielleicht seinen Beitrag auf der ersten Seite editieren und mit einen direkten Link hierhin verweisen..sodass man nicht den ganzen Bullshit der von Seite 3 bis 7 reicht noch mitlesen muß.

manticore 10.03.2003 12:03

</font><blockquote>Zitat:</font><hr /> Was habe ich bitte wie verdreht??

</font>[/QUOTE]Das fragst Du noch??? Sortiere doch bitte erst mal in Deiner letzten Antwort sämtliche Angriffe, so ist das hoffnungslos unverständlich

und wenn Du damit fertig bist, bist Du wohl so freundlich, mir das hier
</font><blockquote>Zitat:</font><hr /> es ist schlicht und ergreifend ein Angriff oder eine Unterstellung an die Adresse... </font>[/QUOTE]zu definieren, unter besonderer Berücksichtigung der von Dir explizit erwähnten NUB´s.

[ 10. M&auml;rz 2003, 00:06: Beitrag editiert von: manticore ]

snooby 10.03.2003 12:30

hey, voll cool, Doc!

Aber mir scheint, du hast da was nichtbeachtet, vielleciht war es auch deine Absicht:
Was ist mit der veränderung von Variablen (zB in PERL, JavaScript, PHP,...)

Wenn diese Variablen den code verschlüsslen, und sich selbst verändern, (sowie beim Poly-Engine von kefi), dann ist es auch polymorph!

grüsse,
Mario

Gladiator the green guy 10.03.2003 12:31

Also damit wir mal wieder zum Thema zuerueck finden, jeder der meint er habe was zum Thema polymorphe Viren zu sagen der bewaffne sich jetzt mit einem Debugger und wir debuggen gemeinsam einen polymorphen Virus ohne Source so dass wir dann anschliessend wissen was der tut.
Notfalls kann auch in auswegloser Situation disassembliert werden. Vampire du faengst an - suche Dir einen polymorphen Virus aus den Du debuggen kannst - mein Softice und Disassembler stehen bereits Gewehr bei Fuss.
Nun zeig mal mal was Du wirklich kannst.

Ich warte.

vampire 10.03.2003 12:40

ich habe weder polymorphe noch herkömmliche viren auf meiner platte und einen debugger lediglich in meiner delphi umgegebung, mit einem disassembler kann ich allerdings dienen...

der source eines poly viruses würde mich aber interessieren...

Gladiator the green guy 10.03.2003 12:41

Kannst du optimierten Assembler ?

vampire 10.03.2003 12:47

assembler kann ich überhaupt nicht, wusste auch nicht das diese sprache noch zu optimieren wäre...

geht das wirklich oder willst du mich verschaukeln?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131