Polymorphismus

[$_staX]

Wie ist das bei antivirenprogrammen, lesen die ein script Stück für Stück ein, oder führen sie es aus und schauen dann, was passiert? Wenn sie ersteres machen könnte man das ganze Script dann nicht einfach verschlüsseln und beim Ausführen entschlüsseln?

[Darkraiser]

@ Noctem thx wieder wat gelernt .. für mich sind das halt trotzdem exe Files ob sie sich entpacken oder nicht spielte für mich keine Rolle, waren halt sonst .pl dateien also script sprache.

@ staX

erstmal haben Virenscanner so eine art zwischen Dateisystem und dem Process also er arbeited im Hintergrund und alles was gelesen oder geschrieben wird, muss erstmal durch dieses Modul also wenn du den Virus startest wird er erstmal wie bei einem Debugger komplett geöffnet und nach merkmalen durchsucht wie Blackberry vorher geschrieben hat von Trashcode her mit mov eax, 1234. es gibt für Virenscanner 1000nde an Signaturen woran sie Viren erkennen. Daher kann es auch sein, dass Potenziel ungefähliche Programme als Heuristik fehler erkannt werden können

mfg

[$_staX]

Ja, aber dann würde der Virus doch nicht detected werden wenn er verschlüsselt vorliegt, und am ende eine funktion den virus entschlüsselt und den entschlüsselten code dann ausführt

[Darkraiser]

Ja so funktionieren auch Crypter. Aber auch Crypter werden durch signaturen erkannt.. nicht jeder aber viele.

mfg

[$_staX]

Kann man das Prorgramm dann nicht auch einfach mit base64 oder ähnlichem verschlüsseln, oder können Antivirenprogramme das dann entschlüsseln

[Z o D]

die datei wird dann spätestens beim ausführen erkannt