Ergebnis 1 bis 5 von 5
  1. #1
    Anfänger
    Registriert seit
    08.12.2010
    Beiträge
    12

    Standard Virus o.ä. in Bulider erkennen?

    Hey,
    ich hab das mal hier reingeschrieben weil es ja mit erkennen von Viren zu tun hat. (Sufu war nicht so erfolgreich).

    Und zwar gehts um folgendes:
    Wenn man nen Bulider (Shark, Bitfrost etc.) runterlädt und installiert kommt ja ständig ne Warnung von wegen "Achtung Virus!" Ist ja auch versändlich da sie ja nen Virus erstelln. Ich wollte mal fragen ob es ne Möglichkeit gibt zu prüfen ob der Builder mit einer server.exe infiziert ist oder ob der an sich clean ist.
    (Meine ne Andere Möglichkeit wie einfach nen V-PC einzurichten und dort die server erstellen.)

    MFG

  2. #2
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    (Meine ne Andere Möglichkeit wie einfach nen V-PC einzurichten und dort die server erstellen.)
    Ja. Disassembler & PE-Editoren.
    Erfordern allerdings einige Kenntnisse sowie Aufwand. Man muss wissen, wie "normale" Exen aussehen, welche Win-API Aufrufe "normal" sind und ähnliche Sachen.
    Zudem nicht 100% sicher. Bei modernen Programmen, mit mehreren hundert KBs an Code und Daten ist die Chance etwas zu übesehen recht hoch.
    Sobald der "böse" Inhalt zur Laufzeit entschlüsselt wird (sowie WinAPIs dynamisch aufgerufen werden) kommt man mit dem Disassembler alleine auch nicht weiter, sondern muss sich einen Decrypter schreiben. Bei obfusziertem NET Code wird man noch viel mehr Spass haben, es statisch zu analysieren.
    Grundsätzlich gilt: um ein Programm zuverlässig mit Debugger/Disassembler analysieren zu können, muss man i.R in der Lage sein, ein ähnliches zu schreiben

    Abgesehen davon: SandBox und Co. Könnte man aber auch (in dem Kontext) als eine Art V-PC betrachten, wobei Sandboxen imho deutlich unsicherer sind.
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

  3. #3
    Fortgeschrittener
    Registriert seit
    01.07.2009
    Beiträge
    30

    Standard

    Ich lade mir eig. alle Rats (cybergate, bifrost.. ) hier ausm Board runter.
    Sind immer clean aber wenn du iwo anders Runterladest würde ich das tuen was EBFE sagt .

    lg

  4. #4
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    Zitat Zitat von lol Beitrag anzeigen
    Sind immer clean aber wenn du iwo anders Runterladest würde ich das tuen was EBFE sagt .
    Der EBFE macht das aber auch über VM . Zum einen ist der Aufwand zum "Prüfen" recht hoch, zum anderen traue ich mir persönlich auch nicht zu, Infektionen 100% zu erkennen
    Es ist schon ein Unterschied, festzustellen, ob etwas zu 99% infiziert oder ob es tatsächlich "virenfrei" ist. Denn beim letzteren fragt man sich immer, ob man nicht etwas übersehen hat. Vor allem wenn man weiß, dass ein simpler verschlüsselter Downloader samt Decodingroutine unter 500 Bytes benötigt und man damit bei 100KB bis mehrere MB Exen sehr sehr viele Verstecke dafür hat
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

  5. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    luxury11 (10.12.2010), Salimox (10.12.2010)

  6. #5
    NoClose Wurm Avatar von VincentSX
    Registriert seit
    19.09.2007
    Beiträge
    188

    Standard

    Es gibt so verdammt viele möglichkeiten...
    Man könnte zb. mit einem externen Sniffer überprüfen ob und wohin das infizierte programm eine verbindung aufbaut. Das wäre schonmal die halbe Miete. Praktisch ist hierfür z.b. ein Fritzbox router oder ähnliches. Falls man diesen nicht hat, könnte man sich eine Linux-firmware aufflashen in der ein Sniffer enthalten ist. Ein externer Sniffer ist Klasse ,denn auf einem infizierten System zu sniffen könnte unter umständen nichts bringen da der internet-verkehr versteckt werden kann.

    Man könnte auch mit tools (SysMon tools u.ä.) verschiedene Dinge des Systems hooken lassen und dann überprüfen was vom Programm aufgerufen wird. Wie EBFE schon aufzählte:

    + "Api calls"
    + werden Dateien oder registry schlüßel erstellt?
    + Gibt es im verdächtigen programm etwas wie eine "Anti Sandbox/VM" prozedur? oder andere Pseudo-Anti-codes?
    + Zeigt die exe anzeichen auf verschlüßelten c0de und Datenverkehr?
    Die meisten oder üblichen verschlüßelten stellen im programm lassen sich z.b. mit PEiD und speziellem Plugin gut finden. Verschlüßelter Datenverkehr z.b. mit RADAR.Gerade letzteres wäre in einem normalen Programm doch schon recht auffällig.


    greetZ
    -V-
    -> mein Blog.: http://maymag.tk
    -- c0ding is passioN --

Ähnliche Themen

  1. Wie 64-bit erkennen ?
    Von LASTXHOPE im Forum Hardware
    Antworten: 7
    Letzter Beitrag: 12.09.2010, 12:21
  2. Grafikkarte erkennen ?!
    Von Solaro im Forum Hardware
    Antworten: 7
    Letzter Beitrag: 10.07.2009, 14:52
  3. php bot befehle erkennen
    Von echoslider im Forum PHP
    Antworten: 7
    Letzter Beitrag: 26.06.2009, 15:24
  4. Trojaner erkennen?
    Von Tinu im Forum Sicherheit
    Antworten: 4
    Letzter Beitrag: 30.01.2007, 15:36

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •