Hey,
ich hab das mal hier reingeschrieben weil es ja mit erkennen von Viren zu tun hat. (Sufu war nicht so erfolgreich).

Und zwar gehts um folgendes:
Wenn man nen Bulider (Shark, Bitfrost etc.) runterlädt und installiert kommt ja ständig ne Warnung von wegen "Achtung Virus!" Ist ja auch versändlich da sie ja nen Virus erstelln. Ich wollte mal fragen ob es ne Möglichkeit gibt zu prüfen ob der Builder mit einer server.exe infiziert ist oder ob der an sich clean ist.
(Meine ne Andere Möglichkeit wie einfach nen V-PC einzurichten und dort die server erstellen.)

MFG

(Meine ne Andere Möglichkeit wie einfach nen V-PC einzurichten und dort die server erstellen.)
Ja. Disassembler & PE-Editoren.
Erfordern allerdings einige Kenntnisse sowie Aufwand. Man muss wissen, wie "normale" Exen aussehen, welche Win-API Aufrufe "normal" sind und ähnliche Sachen.
Zudem nicht 100% sicher. Bei modernen Programmen, mit mehreren hundert KBs an Code und Daten ist die Chance etwas zu übesehen recht hoch.
Sobald der "böse" Inhalt zur Laufzeit entschlüsselt wird (sowie WinAPIs dynamisch aufgerufen werden) kommt man mit dem Disassembler alleine auch nicht weiter, sondern muss sich einen Decrypter schreiben. Bei obfusziertem NET Code wird man noch viel mehr Spass haben, es statisch zu analysieren.
Grundsätzlich gilt: um ein Programm zuverlässig mit Debugger/Disassembler analysieren zu können, muss man i.R in der Lage sein, ein ähnliches zu schreiben ;)

Abgesehen davon: SandBox und Co. Könnte man aber auch (in dem Kontext) als eine Art V-PC betrachten, wobei Sandboxen imho deutlich unsicherer sind.

Ich lade mir eig. alle Rats (cybergate, bifrost.. ) hier ausm Board runter.
Sind immer clean aber wenn du iwo anders Runterladest würde ich das tuen was EBFE (http://free-hack.com/member.php?u=55471) sagt :D.

lg

Sind immer clean aber wenn du iwo anders Runterladest würde ich das tuen was EBFE (http://free-hack.com/member.php?u=55471) sagt :D.

Der EBFE macht das aber auch über VM ;). Zum einen ist der Aufwand zum "Prüfen" recht hoch, zum anderen traue ich mir persönlich auch nicht zu, Infektionen 100% zu erkennen
Es ist schon ein Unterschied, festzustellen, ob etwas zu 99% infiziert oder ob es tatsächlich "virenfrei" ist. Denn beim letzteren fragt man sich immer, ob man nicht etwas übersehen hat. Vor allem wenn man weiß, dass ein simpler verschlüsselter Downloader samt Decodingroutine unter 500 Bytes benötigt und man damit bei 100KB bis mehrere MB Exen sehr sehr viele Verstecke dafür hat ;)

Es gibt so verdammt viele möglichkeiten...;)
Man könnte zb. mit einem externen Sniffer überprüfen ob und wohin das infizierte programm eine verbindung aufbaut. Das wäre schonmal die halbe Miete. ;) Praktisch ist hierfür z.b. ein Fritzbox router oder ähnliches. Falls man diesen nicht hat, könnte man sich eine Linux-firmware aufflashen in der ein Sniffer enthalten ist. Ein externer Sniffer ist Klasse ,denn auf einem infizierten System zu sniffen könnte unter umständen nichts bringen da der internet-verkehr versteckt werden kann. ;)

Man könnte auch mit tools (SysMon tools u.ä.) verschiedene Dinge des Systems hooken lassen und dann überprüfen was vom Programm aufgerufen wird. Wie EBFE schon aufzählte:

+ "Api calls"
+ werden Dateien oder registry schlüßel erstellt?
+ Gibt es im verdächtigen programm etwas wie eine "Anti Sandbox/VM" prozedur? oder andere Pseudo-Anti-codes? :D
+ Zeigt die exe anzeichen auf verschlüßelten c0de und Datenverkehr?
Die meisten oder üblichen verschlüßelten stellen im programm lassen sich z.b. mit PEiD und speziellem Plugin gut finden. Verschlüßelter Datenverkehr z.b. mit RADAR.Gerade letzteres wäre in einem normalen Programm doch schon recht auffällig. ;)


greetZ
-V-