Hi,

Ich hab kein passenden Berreich für diesen Thread,also hab ich es einfach mal hier hin geschrieben.

ich hab mal ne Frage,
gibt es irgendwo Ordner die jedes Windows Betriebssystem oder fast jedes besitzt,aber es darf
kein Antivirusprogramm in diesen Ordnern Scannen oder fast keines,also ich suche nen Path wo ich
mein Troja rein kopieren kann.gibt es solche ordner die dafür geeignet sind wo fast kein antivirusprogramm
sucht?

Danke für Infos.

Hi,

Ich hab kein passenden Berreich für diesen Thread,also hab ich es einfach mal hier hin geschrieben.

ich hab mal ne Frage,
gibt es irgendwo Ordner die jedes Windows Betriebssystem oder fast jedes besitzt,aber es darf
kein Antivirusprogramm in diesen Ordnern Scannen oder fast keines,also ich suche nen Path wo ich
mein Troja rein kopieren kann.gibt es solche ordner die dafür geeignet sind wo fast kein antivirusprogramm
sucht?

Danke für Infos.


Wenn es sowas gäbe, wäre das ein extremes Sicherheitsproblem.
Ums kurz zu machen - nein, gibt es nicht. Antivirensoftware sucht das gesamte Laufwerk (+alle angesteckten usbsticks,festplatten usw) durch.
Da gibts keinen Ordner der nicht durchsucht wird.

grüße

Wenn es sowas gäbe, wäre das ein extremes Sicherheitsproblem.
Ums kurz zu machen - nein, gibt es nicht. Antivirensoftware sucht das gesamte Laufwerk (+alle angesteckten usbsticks,festplatten usw) durch.
Da gibts keinen Ordner der nicht durchsucht wird.

grüße

OK.
Dann suche ich Ordner die ein Antivierenprogramm nicht findet mit einen normalen Scann,Quick Scann oder wie das heisst.
Also ein normaler Scann,kein Full Scann.
Da gibt es dann doch bestimmt Ordner oder?
Zumindest logischerweise....

Hiho!



Da gibts keinen Ordner der nicht durchsucht wird.
grüße
Das ist so nicht korrekt. Jede Antivirensoftware scannt nur die Orte durch, die auch in den Einstellungen hinterlegt worden sind. Beispielsweise lassen sich jederzeit Ordner von einem Scan dauerhaft ausschließen.


OK.
Dann suche ich Ordner die ein Antivierenprogramm nicht findet mit einen normalen Scann,Quick Scann oder wie das heisst.
Also ein normaler Scann,kein Full Scann.
Da wirst du leider keinen Erfolg mit haben, da sich die Art und Weise wie gescannt wird und in welcher Reihenfolge zwischen den Antivirenprogrammen unterscheiden. Wie ich aber bereits oben beschrieben habe, kannst du (sofern du physischen Zugriff auf den Rechner hast) einen bestimmen Ordner von einem Scan ausschließen lassen. Aber einen allgemeingültigen Ort, welcher nicht durchsucht wird gibt es tatsächlich nicht. Zusätzlich zu den Komplettscans kommen auch noch die Echtzeitscanner, welche "live" mitschauen was passiert.

Hoffe ich konnte helfen.

Viele Grüße,

Barny

Hiho!

Wie ich aber bereits oben beschrieben habe, kannst du (sofern du physischen Zugriff auf den Rechner hast) einen bestimmen Ordner von einem Scan ausschließen lassen.


wie mache ich das wenn ich diesen zugriff habe?


ich habe da so ne idee...

gebundener virus.exe in .sfx.exe archiv umwandeln(verschlüsselung mit pw) dann umwandeln in normales archiv = .exe aber zwischen .sfx.exe mit einer batch datei den ordner verschwinden lassen und einer vbs datei die batch datei ausführen.
so ist es fast fud und alles wird ausgeführt.auch das vbs.

aber kann man damit auch ordner verschwinden lassen?
wenn es so einen code in batch oder vbs gibt?
gibt es den?

danke für infos.

Hiho!


Das ist so nicht korrekt. Jede Antivirensoftware scannt nur die Orte durch, die auch in den Einstellungen hinterlegt worden sind. Beispielsweise lassen sich jederzeit Ordner von einem Scan dauerhaft ausschließen.


Standardmäßig machen Antiviren Softwares aber regelmäßig einen Komplettscan, und dieser umfässt im Idealfall wenn der Entwickler der Software nicht Mist baut alle Ordner + Zusätzliche Speichermedien die zum Zeitpunkt des Scans angeschlossen sind. Da werden sogar die Temp & Wiederherstellungsspeicherorte von Windows durchscannt dann ;)

Das man spezfisch Orte vom Scan ausschließen kann, ändert jetzt nichts an meiner Aussage^^
Denn.. sind wir mal ehrlich - welche Person deaktiviert bewusst Orte die durchscannt werden sollen wenn er nen Komplettscan macht?
Ich gehe da jetzt mal Bewusst von einem Komplettscan aus - diesen macht man ja normalerweise genau dann, wenn man sicher gehen möchte das da keine Malware auf dem Rechner sich irgendwo versteckt.. und dafür ist es glaube ich logisch das man auch den Komplettscan komplett macht, und nicht irgendwelche Ordner ausschließt (eben genau aus solchen Gründen das sich die Malware genau dort vllt verstecken könnte).

Und da man ohnehin nicht weiß welche Ordner nun von einem Benutzer ausgeschlossen werden für einen Scan, kann man es Praktisch gesehen auch nicht benutzen um damit Dinge vor dem Scan zu verstecken. Dafür müsste man evlt rausfinden wie die Einstellungen der Software gespeichert werden, das auslesen (regelmäßig), dann dort die Datei reinkopieren usw usf. - Aber da wird einem die Heuristik dann vllt auch nen Strich durch die Rechnung machen^^

Grundlegend meinen wir das selbe, haben es nur anders ausgedrückt :P

grüße

Nimm ein bischen Geld in die Hand und kauf dir ein ordentlichen Crypter, dann hast du keine Problem mit AV. ;)
Nur mal so aus Interesse, welchen 'Troja' benutzt du denn überhaupt?

ich benutze darkcomet 5.2.
läuft bei mir am besten,noch stabieler als neuere versionen.
und virustotal erkennt meinen gepackten troja nur mit 5/57 av programmen wenn ich noch mit file pumper und assembly cloner drüber gehe.
wenn ich den über torrent verteile und glück habe lädt den erst nach 5 tagen oder ne woche auf virustotal jemand hoch.
torrent ist einfach super,man verteilt es auf 5 guten seiten und 3 tage später ist es schon auf 30 guten seiten und der troja ist noch genauso UD wie am anfang meistens.
aber ich bekomme den einfach nicht FUD....mhhhh jemand ne idee wie man noch so nen paar einzelne detections von einzelnen antivierenprogrammen wegkriegt?

wie mache ich das wenn ich diesen zugriff habe?
Scherzfrage?^^
Du sitzt vor dem Computer und suchst dir einen Ordner raus und schließt diesen in den Einstellungen der Antivirus-Software einfach aus. Danach installierst du deinen RAT.



gebundener virus.exe in .sfx.exe archiv umwandeln(verschlüsselung mit pw) dann umwandeln in normales archiv = .exe aber zwischen .sfx.exe mit einer batch datei den ordner verschwinden lassen und einer vbs datei die batch datei ausführen.
so ist es fast fud und alles wird ausgeführt.auch das vbs.


Sowas macht erstmal überhaupt keinen Sinn und deinen RAT auch nicht FUD.
Mit der Methode die ich nannte musst du sowieso physischen (-> du sitzt mit deinem Arsch vor dem Rechner auf dem du den RAT installieren möchtest und berührst mit deinen Fingern tatsächlich die Tastatur des Gerätes) Zugriff auf den Rechner haben um den AV zu konfigurieren.


Ich hoffe, dass das jetzt klarer geworden ist. ;)

Noch ein paar Worte zu anderen Beiträgen:

Standardmäßig machen Antiviren Softwares aber regelmäßig einen Komplettscan, und dieser umfässt im Idealfall wenn der Entwickler der Software nicht Mist baut alle Ordner + Zusätzliche Speichermedien die zum Zeitpunkt des Scans angeschlossen sind.
Das ist korrekt.


Da werden sogar die Temp & Wiederherstellungsspeicherorte von Windows durchscannt dann
Das ist nicht korrekt, denn auch ein AV kann nur die Laufwerke untersuchen, die auch tatsächlich eingebunden (gemountet) worden sind. Hierzu zählt zwar der Temp-Ordner, allerdings nicht die Receoverypartition (das meintest du doch, oder?)



Das man spezfisch Orte vom Scan ausschließen kann, ändert jetzt nichts an meiner Aussage^^
Ich sagte lediglich, dass es möglich ist Ordner vom Scan auszuschließen. Und das hat deine Aussage

Ums kurz zu machen - nein, gibt es nicht. Antivirensoftware sucht das gesamte Laufwerk (+alle angesteckten usbsticks,festplatten usw) durch.
Da gibts keinen Ordner der nicht durchsucht wird.
widerlegt. ;) Habe dir ja aber Recht gegeben, dass standardmäßig tatsächlich kein Ordner ausgelassen wird, sich dies aber konfigurieren lässt.



Denn.. sind wir mal ehrlich - welche Person deaktiviert bewusst Orte die durchscannt werden sollen wenn er nen Komplettscan macht?
Praxisbeispiele:

Person X besitzt eine externe Festplatte, welche nicht gescannt werden soll, weil diese bereits einen Tag vorher gescannt worden ist. Der AV-Hersteller gibt Person X also die Möglichkeit diese Festplatte auszuschließen.
Person X bearbeitet gerne hochauflösende Fotos und speichert diese in einem Ordner ab, in welchem Augenscheinlich nur Dateien im PNG-Format liegen. Dieser Ordner ist aber sehr groß und es dauert lange diesen zu scannen. Also sagt Person X, dass er diesen Ordner anstatt täglich nur wöchentlich scannen möchte. Er schließt ihn von einem Komplettscan aus.



[...]und dafür ist es glaube ich logisch das man auch den Komplettscan komplett macht, und nicht irgendwelche Ordner ausschließt (eben genau aus solchen Gründen das sich die Malware genau dort vllt verstecken könnte).
Gebe ich dir Recht, allerdings möchte ich hier nochmal auf die obigen Praxisbeispiele verweisen. Die Wahrscheinlichkeit, dass sich ein Trojaner oder Ähnliches in einem Ordner ablegt, den ich selber erstellt und benannt habe, ist schwindend gering. Aber für den Otto-Normal-Anwender ist es selbstverständlich besser die Einstellungen für einen Komplettscan vom Standard so beizubehalten.



Und da man ohnehin nicht weiß welche Ordner nun von einem Benutzer ausgeschlossen werden für einen Scan, kann man es Praktisch gesehen auch nicht benutzen um damit Dinge vor dem Scan zu verstecken. Dafür müsste man evlt rausfinden wie die Einstellungen der Software gespeichert werden, das auslesen (regelmäßig), dann dort die Datei reinkopieren usw usf.[...]
Lies meinen Vorschlag bitte noch einmal. Ich sagte ja bereits, dass er physischen Zugriff auf den Rechner benötigt. Und dann weiß er sehr wohl welcher Ordner ausgeschlossen wird, denn er legt ihn ja selber fest. ;)


Nimm ein bischen Geld in die Hand und kauf dir ein ordentlichen Crypter, dann hast du keine Problem mit AV.
Diese Aussage unterstütze ich völlig. ;)

Viele Grüße,

Barny

also das mit dem .sfx archiv ergibt schon sinn,ist ja fast FUD.
ich suche einen ordner weil:
wenn ich in dem archiv den entpackungspfad z.b. %AppData% eingebe dann wird der troja (benutze übrigens darkcomet) erkannt von 16/57 antivierenprogramme
auf virustotal.com.
auf vielen pfaden wird mein troja schon mehr als 5/57 erkannt,aber bei manchen ordnern auch nur 5/57.
deswegen hatte ich einen neuen ordner gesucht wo wenig gescannt wird oder der sehr unbekannt ist.

Der Trick ist eben das File nicht auf die Festplatte zu entpacken sondern wie sp1nny und barny dir empfohlen haben einen Crypter zu verwenden. Dieser entpackt den Code im RAM, das kann zwar auch detected werden, ist aber wesentlich sicherer weil eben nichts vom Schadcode auf der Festplatte landet. Vergiss das mit dem SFX Archiv, das bekommst du prinzipbedingt niemals FUD.

Vergiss das mit dem SFX Archiv, das bekommst du prinzipbedingt niemals FUD.

War / ist es nicht ohnehin so, das manche Heuristiken das SFX entpacken ohnehin detecten?
Also dieser Automatische Entpacker in SFX Form wo am Ende ne .exe bei rauskommt?
Meine das des zumindestens damals in gewissen Heuristik erkannt wurde (weil halt "unsichtbar" Files entpackt werden konnten + es in Form einer .exe daherkam).

Weil falls das immer noch so sein sollte, wärs eh vergebene Mühe da weiter zu versuchen.. da sollte man wie schon erwähnt nen Crypter nehmen..
Weil spätestens nachdem die File ausm SFX Archiv entpackt wurde (und sie detected is), wird die ja eh beim Scan erkannt.

grüße

War / ist es nicht ohnehin so, das manche Heuristiken das SFX entpacken ohnehin detecten?
Also dieser Automatische Entpacker in SFX Form wo am Ende ne .exe bei rauskommt?
Meine das des zumindestens damals in gewissen Heuristik erkannt wurde (weil halt "unsichtbar" Files entpackt werden konnten + es in Form einer .exe daherkam).


joa da könntest du recht haben.
der troja wird von meinen wie schon gesagt 5/57 antivieren programmen erkannt am anfang,
aber nicht als trojaner,
bei jeden steht nur irgendwas mit "malware" und irgendwelchen zahlen dahinter.erst wenn mein troja verbreitet ist steht überall "Trojan ScryptKD"
mit irgendwelchen zahlen dahinter.
bin gerade selber am lernen zu programmieren...aber für einen crypter reichen die kentnisse (NOCH NICHT) aus.
aber wenn man den trojaner gut verteilt hat man auch mit der sfx methode viele opfer,halt nur nicht so lange im troja,aber es gibt auch
viele die garkein antivirus programm haben.mich erreichen immer wieder mal zwischendurch wieder vics von meinen troja , den ich schon laaange vor nen halben jahr verteilt habe.
und auch so....bei mir kommen jede 15 min. mindestens 2 neue opfer im troja an am tag wenns gut läuft,in der nacht logischerweise weniger....
also ich kann die sfx methode für anfänger jedenfalls emphelen.
es ist schon seit august keine neue winrar version mehr rausgekommen und sonst immer alle paar wochen....
weiss jemand ob die version WinRar - 4.50 die final version ist?
also wird dadran noch gearbeitet und es weiterentwickelt?
warum kommt da keine neue version mal raus?
dann kann man nämlich wieder fast jeden pfad für troja auswählen bei neuer version.


gruß:)