[S] - Wie hexxe ich meinen Server(Ohne Av Devil?)

[Hu5eL]

also bei mir gabs das prob auch ma... ka wie es wegging, ist auch ewig her meine troja-zeit... aber ich hatte das auch. also kann dich verstehen (scannt der nur bei bestimmten datein so langsam?)

[Fa-Na-Ti-Cs]

Muss ich mal schauen ...

Added after 2 minutes:

Nur bei der Bestimmten Datei...

[Hu5eL]

ja genau das hatte ich auch :-) aber sorry kann dir nicht genau weiterhelfen...scann erst ne datei die schnell geht und dann die andere, ohne zu schließen oder so... irgendwie ging das

[Fa-Na-Ti-Cs]

Muss ich vllt was umstellen?

Added after 4 minutes:

Ok ich probiere es mal aus xD

Added after 5 minutes:

Mit Av Devil Macht der Nur mein Antivirus Programm weg oder auch andere?

[Phantom]

Hi Fanatics !


Probier mal folgendes:

Wenn Du mit AVDevil & AntiVir scannst, dann klick bei Erkennung von AntiVir NICHT auf "Zugriff verweigern", sondern auf "In Quarantäne verschieben".
Dann sollte auch der Scan weitergehen und evtl. weitere Offsets gefunden werden.


P.S. Ansonsten wenn alles bei Dir nichts hilft, gibt es noch die Alternative, das Du Dich manuell den Offsets näherst. Das ist allerdings eine wesentlich langwierigere Prozedur. Dabei gehtst Du folgendermaßen vor:

1. Zuerst mal eine Sicherheitskopie Deiner Datei anlegen.

2. Das zu scannende File in einzelne Teile zerlegen, z.B. in Häppchen von 100kB - oder kleiner, jenach Größe Deiner Datei. (Tools hierfür gibts im Netz wie Sand am Meer).

3. Dann läßt Du AntiVir die einzelnen Dateistücke scannen.

4. Schlägt er bei einem oder zwei von ihnen an, dann teilst Du diese wiederum in kleinere Stücke. Das Ganze machst Du solange, bis Du nur noch relativ kleine Dateistücke übrig hast und somit die Signatur von AntiVir ziemlich eingegrenzt ist.

5. Jetzt gehst Du mit einem Hex-Editor manuell an die Arbeit und änderst den Code erst einmal Zeilenweise um (in was, ist bei den Vortests erstmal einmal völlig egal).
Kann hierfür HIEW sehr empfehlen, da hier nicht nur der Hex-Code erkennbar ist, sondern auch die wirklichen Assemblerbefehle zu sehen und zu editieren sind. Das bieten nämlich die wenigsten Hex-Editoren, dadurch läßt sich der zu ändernde Befehl auch gezielt in einen anderen, evtl. ähnlichen Befehl abändern. Somit ist die Gefahr wesentlich geringer, dass die Datei danach Schrott ist.
(Und nicht wie bei "normalen" Hex-Editoren, wo man den Wert einfach blind in einen anderen Wert ändert und nicht genau weiß, welchen neuen Assemblerbefehl man damit erzeugt hat).

6. Irgendwann erwischst Du dann die betreffende Code-Zeile in der AntiVir anspringt. Dann gehst Du nur noch Byteweise vor, indem Du nur noch einzelne Bytes editierst.

7. Wenn Du dann die Offsetadressen hast, notierst Du Dir diese und nimmst wieder das komplette File (natürlich auch eine Kopie nehmen). Dann änderst Du die betreffenden Assemblerbefehle in andere Befehle um (wenn Du keine Maschinensprachebefehle kennst, mach Dich im Netz etwas schlau), alternativ kannst Du auch den NOP-Befehl versuchsweise einsetzen (Hex90 - No Operation). Das bedeutet, dass das Byte welches diesen Befehl enthält, an dieser Stelle NICHT ausgeführt und somit übersprungen wird.
Allerdings ist das kein Allheilmittel. Hier sind halt etliche Versuche angesagt und es gibt kein Patentrezept was man Dir mit auf den Weg geben könnte.

HINWEIS: Ich rate dringlichst ab, die so erstellten Dateien auf diverse Online-AV's hochzuladen. Meist ist es dann nur noch eine Frage der Zeit, bis alle AV's die Signatur kennen. Es sollte daher im eigenen Interesse liegen, dies zu unterlassen. Umso länger bleiben dann die eigenen Dateien FUD.

Hoffe, das Dir das etwas weiterhilft.


Gruß Phantom_1

[Kan!]

Av Devil geht doch gar nicht mehr ?!

Av Devil als es noch ging, hat das gescannte AV weggemacht + noch ein paar andere.

[Fa-Na-Ti-Cs]

Achso und was benutzt ihr now?!?

[Phantom]

Av Devil geht doch gar nicht mehr ?!

Av Devil als es noch ging, hat das gescannte AV weggemacht + noch ein paar andere.

1. Das ist definitiv falsch, AV-Devil geht nach wie vor.
2. Und es hat auch kein AV "weggemacht".

Es dient lediglich zum Auffinden der Offset-Signaturen. Nicht mehr und auch nicht weniger......alles andere gehört ins Land der Märchen & Sagen ;-)

@Fanatics
Hast Du das mal probiert, was ich Dir im letzten Posting geschrieben habe!?


Phantom_1

[laest]

Also cih werde heute ncoh ein Videotut posten, mit dem man seinen server zu 95% UD machen kann, wobei nur 3/36 erkennen und das auch nur mit suspicious file^^
ich stell den link dann rein

[Fa-Na-Ti-Cs]

WO stellst du denn rein? video Section oder hier?!?