Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 33
  1. #1
    Der Jesus der Informatik
    Registriert seit
    01.12.2007
    Beiträge
    216

    Standard Advanced EXE Modding Appendix: Bypassing BitDefender's Emulator

    Hallo!
    Da ja einige an einem Appendix bezüglich Emulator interessiert waren und ich vor kurzem wieder damit konfrontiert wurde, habe ich es nun fertig geschrieben.
    Es geht um das Bypassen von BitDefender's Emulator. Die verwendete Methode sollte allerdings auch bei anderen Emulatoren wirken.

    DL: http://rapidshare.com/files/39028443...s_Emulator.pdf

    BITTE FEEDBACK GEBEN!

    MfG DizzY_D
    Geändert von DizzY_D (25.05.2010 um 10:36 Uhr)






  2. #2
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Super :'D
    Wurde auchmal Zeit dass es kommt.

    Mache gleich Feedback

    [Edit:] Habe es eben mal überflogen und find es echt interessant wie sich emulatoren mit einer Schleife austricksen lassen.
    Wünsche mir aber trotzdem noch einpaar weitere Bypassing Tuts
    Geändert von gf0x (13.08.2009 um 14:48 Uhr)

  3. #3
    W32.Lovgate Avatar von g4$one
    Registriert seit
    18.01.2008
    Beiträge
    316

    Standard

    Cool vielen Dank
    Meine Signatur war zu groß und ist nun hier zu finden: http://nopaste.info/f699fbaa7b.html

  4. #4
    Anfänger Avatar von rogger
    Registriert seit
    21.03.2009
    Beiträge
    17

    Standard

    Ich würd mich freuen, wenn es jemand reuppen könnte...
    Wurde schon 10mal heruntergeladen.

  5. #5
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Jo ich reuppe gleich mal.

    Eine Frage hab' ich da noch.
    Undzwar sagst du am Anfang des Textes, dass wenn der Emulator die Datei startet und danach abbricht - er der Grund ist warum die Datei als Virus angesehen wird.

    Wie sollte man dann vorgehen wenn der Emulator nicht daran Schuld ist?
    Bzw. wo liegt dann der Grund ? Heurisitik|Signatur whatever?!

  6. #6
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    Wenn der Emulator nicht durchgelaufen wird und man die Exe nicht ausführt, bleibt wohl nur noch die Heuristik/Signaturerkennung .
    Bei "Ausführungserkennung" können es allerdings noch z.B Hooks auf bestimmte APIs sein oder "Triggered" Memoryscan (Speicher der Anwendung wird bei einem bestimmten Ereignis/API Aufruf/whatever gescannt).
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5

  7. #7
    W32.Lovgate
    Registriert seit
    05.11.2008
    Beiträge
    367

    Standard

    Ich würde mir das tut auch gerne mal ansehen, hat nich einer lust das nochmal hoch zu laden ? Hab schon lange auf nee fortsetzung gewartet

  8. #8

  9. #9
    W32.Lovgate
    Registriert seit
    05.11.2008
    Beiträge
    367

    Standard

    Bitte löschen!!! Doppelpost
    Geändert von Freak1936 (13.09.2009 um 23:26 Uhr) Grund: Automerged Doublepost

  10. #10
    Bad Times Virus
    Registriert seit
    14.03.2009
    Beiträge
    579

    Standard

    i like. nett erklärt und auch für asm-nabs verständlich.
    als idee für trash code: winapi. zB ne msgbox mit der falschen parameter anzahl aufrufen. sollte den emu schön austricksen^^
    Geändert von wacked (14.08.2009 um 19:08 Uhr)

Seite 1 von 4 123 ... LetzteLetzte

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •