Polymorphismus

**Darkraiser** · 23.02.2009, 23:03

@ Noctem

thx wieder wat gelernt .. für mich sind das halt trotzdem exe Files ob sie sich entpacken oder nicht spielte für mich keine Rolle, waren halt sonst .pl dateien also script sprache.

@ staX

erstmal haben Virenscanner so eine art zwischen Dateisystem und dem Process also er arbeited im Hintergrund und alles was gelesen oder geschrieben wird, muss erstmal durch dieses Modul also wenn du den Virus startest wird er erstmal wie bei einem Debugger komplett geöffnet und nach merkmalen durchsucht wie Blackberry vorher geschrieben hat von Trashcode her mit mov eax, 1234. es gibt für Virenscanner 1000nde an Signaturen woran sie Viren erkennen. Daher kann es auch sein, dass Potenziel ungefähliche Programme als Heuristik fehler erkannt werden können

mfg

**$_staX** · 23.02.2009, 23:08

Ja, aber dann würde der Virus doch nicht detected werden wenn er verschlüsselt vorliegt, und am ende eine funktion den virus entschlüsselt und den entschlüsselten code dann ausführt

**Darkraiser** · 23.02.2009, 23:13

Ja so funktionieren auch Crypter. Aber auch Crypter werden durch signaturen erkannt.. nicht jeder aber viele.

mfg

**$_staX** · 23.02.2009, 23:14

Kann man das Prorgramm dann nicht auch einfach mit base64 oder ähnlichem verschlüsseln, oder können Antivirenprogramme das dann entschlüsseln

**Z o D** · 23.02.2009, 23:32

die datei wird dann spätestens beim ausführen erkannt

**blackberry** · 23.02.2009, 23:37

Zitat von noctem

Würden eure asm-Beispiele so funktionieren? So würden doch die ganzen Adressen innerhalb des Programms falsch werden!?

Da keine Adressen verwendet werden würden diese Beispiele so funktionieren.
Dass man nicht so einfach in die .code-Sektion einer EXE reinschreiben kann ist absolut richtig.
Danke für die Ergänzung

mfG. BlackBerry

Thema: Polymorphismus

Themen-Optionen

Anzeige

Stichworte

Berechtigungen