Hallo,

Aus Recherchegründen habe ich vor eine exe Datei zu öffnen,
in der aber ca. 20 Trojaner zu finden sind. (Nach Analyse mit auf virustotal.com)

Wenn ich einen alten PC in der Ecke stehen hätte... würde ich diesen
PC dafür nutzen. Habe ich aber nicht. Ich bin dann auf SANDBOXIE
gestoßen. Jedoch stoße ich im Internet auf unterschiedliche Aussagen
was die Sicherheit angeht.

Gerade bei Files die wirklich viele Trojaner erhalten habe ich da meine bedenken.
Ich habe Screenshots gesehen wo "schädliche Anwendungen" rot markiert
sind... und man sieht ob sie ein einer isolierten Sanbox Umgebung sind.

Frage: Wie sicher ist Sandbox wirklich. gerade wenn man das Programm an
die Grenzen bringen will. bzw... bewusst Trojaner Versuchte Files öffnet.

Wenn es nicht 100% sicher ist, zeigt das Programm einen an wenn
ein Trojaner auf das eigentliche System übergegriffen ist?
(will nicht nach jeder Sandbox Aktion einen kompletten Systemscan durchführen)

Gruß
Markus

Nachtrag:

Sehe gerade das es diverse Online Sanboxen gibt.
Wie zum Beispiel:
threatexpert.com
vicheck.ca
malwr.com

Es werden sogar Screenshot gezeigt. Genau darum geht es mir.
Es geht um den künstlerischen Aspekt der Cracking Szene.
Von den 80er, C64, ... wo kleine Programme vor den eigentliche
Programmen geschrieben wurden. (Intros). Es geht um Musik und
und Grafik.
Ich kann mich auch erinnern das es vor ca. 10 Jahren Programme
wie "Oscar2000" gab. Auch, glaube ich, mit Musik. genau solche
Programme möchte ich ausführen. Auch ältere.


Meine Frage: Wenn man das Programm zuerst in einer Online Sandbox
ausführt. Lässt sich damit schon erkennen ob evtl. vorhandene Viren in
der Exe Datei selbst... auf das System übergreifen könnten.
Oder arbeitet jede Sandbox anders? (eine Online Sandbox anders, als
Sandboxie?)


Ich weiß das Fragen zu keygen, cracks, usw... eigentlich verboten sind.
Aber dennoch gibt es ja da auch eine "Crackkultur"... die mich interessiert.

Es gibt ja auch sportliche Veranstaltungen wo Haustürschlösser (Fahradschlösser, usw) geknackt werden. Und die Leute die das Veranstalten sind ja keine Einbrecher.
Naja. Sollte ich mit meinen Frage Forenregeln verletzen, dann tut es mir leid.
Das würde ich dann gerne aber wissen. Von mir aus können meinen Beiträge
Dann auch gelöscht werden. Vielleicht kann man mir ja dennoch
irgendwie weiter helfen, oder einen Tipp geben.

Hi,

Zitat:

in der aber ca. 20 Trojaner zu finden sind. (Nach Analyse mit auf virustotal.com)

Das ist so schonmal recht fragwürdig diese Aussage.
Es mag vllt sein, dass bei Virustotal zwanzig Virenscanner anspringen. Das bedeutet aber noch nicht, dass gleich zwanzig verschiedene Schädlinge in dieser einen ausführbaren Datei sein sollen.

Ist dir nicht bekannt, dass die Virenscannerhersteller gleiche Schädlingsfamilien unterschiedlich benennen?

Abgesehen davon leuchtet es ja ein, dass unterschiedliche Softwareprodukte unterschiedliche Scanergebnisse liefern.

Zu deiner Frage:
Auch in der Sandbox würde ich das nur machen, wenn ich ein komplettes Backup vorher erstellt hätte. Wenn du noch mehr Abschottung willst, installierst du dir Virtual Box von Oracle und erstellst eine virtuelle Maschine, die du mit Windows installierst. Da kannst du im Prinzip gefahrlos jeden Schrott ausführen, die Gefahr, dass dadurch dein "echtes" OS verseucht tendiert gegen Null. Bedenke aber, dass auch eine VM als simulierter vollwertiger PC als Spamschleuder funktionieren kann. D.h. dein Provider könnte dir den Versand von E-Mails (Port 25 ausgehend) sperren auch wenn nur deine VM rumspammt.

Zitat:

Ich weiß das Fragen zu keygen, cracks, usw... eigentlich verboten sind.
Aber dennoch gibt es ja da auch eine "Crackkultur"... die mich interessiert.

Was genau interessiert dich denn daran?
Sind die Früchte so interessant weil sie verboten sind?
Was willst du primär erreichen, willst du ein System analysieren vor und nach dem Crack? Oder einfach nur ohne Lizenzgebühren Programme in vollem Umfang nutzen?

Zitat:

Es gibt ja auch sportliche Veranstaltungen wo Haustürschlösser (Fahradschlösser, usw) geknackt werden. Und die Leute die das Veranstalten sind ja keine Einbrecher.

Wenn es dir wirklich darum geht, dann dekompiliere das Zeug, wirf den Interpreter an und studiere den Programmcode - die interessanteste "Crackerkultur" haben übrigens die Russen: Die lassen sich erst gar nicht auf Hexzahlen ein, sondern gehen direkt bis auf Maschinensprache runter - kann ich dir auch empfehlen, denn das ist sehr lehrreich.....

Liebe Grüße, Alois

Post © Alois 2015 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden!

Ohne Ahnung bringt dir das Nichts. Aber du könntest mal den Virustotal-Link posten, damit sich ein paar Experten das mal anschauen können. Auch könntest du die EXE-Datei mal irgendwo zu einem Freehoster hochladen und den Link posten. Wenn du z.B. Linux nutzt kannst du die EXE-Datei zwar nicht ausführen aber immerhin kann nichts passieren. Bilde auch die Checksumme (MD5, SHA256, ...) und poste diese Fingerabdruck. Sollte aber auch bei Virustotal angegeben werden. Damit kann man jede Datei überall eindeutig wiederfinden. Suche entsprechend die Checksumme bei der Suchmaschine deines Vertrauens.

Danke für die Info!
Ja, mir wurde dann auch klar... das es nicht 20 Trojaner sind,
sondern ja "nur" 2,3 .. die dann unterschiedlich benannt werden.
Mit "online sandboxen" konnte ich schon sehen ob Das Programm
überhaupt noch ausgeführt wird.

Was mich an der "Crackkultur" interessiert ist nicht der Code. Da kenne
ich mich viel zu wenig aus. Ich selbst bin mit der "Demoszene" groß geworden,
die aus der Cracking Szene entstanden ist. Mein Bereich lag da eher an Pixelgrafiken
und 3D. Ich habe immer mal wieder Vorträge über die Demoscene gehalten,
will mich jetzt aber auch mehr mit der Crackingszene beschäftigen.
Da primär nicht der Code, das Hacking selbst, sondern das drum herum.
Grafiken, Musik + "Szene".

Virtual Box ist mir zu aufwendig. (Auch wenn es da bestimmt Anleitungen gibt)
Backup von Win7 habe ich gestern erstellt. Werde die Tage jetzt mal diverse
Cracks in der Sandbox öffnen,.. und nach ner Woche mal mein System scannen..
und Notfall backup aufspielen.

Ist das ein neuer Trend unter den Hipstern?

Zitat:

Zitat von Alois S

die interessanteste "Crackerkultur" haben übrigens die Russen: Die lassen sich erst gar nicht auf Hexzahlen ein, sondern gehen direkt bis auf Maschinensprache runter

Hexzahlen sind doch Maschinensprache und stehen doch für Maschinenbefehle wie etwa "mov r10, rcx"?

Oder habe ich etwas verpasst? Klar, man kann bestimmt die Hexwerte binär darstellen..doch was gewinnt man? Oder redest du von Microcode?


Grüsse - Microwave

@ Microwave:

Ich glaube, du verwechselst hier den Maschinencode selbst mit der Syntax desselben - das ist aber in Wahrheit etwas völlig anderes.....

Liebe Grüße, Alois

Kann sein.. Wie gesagt, ausser Microcode kenne ich jetzt nichts Weiteres..
Kläre mich doch bitte mal auf, finde ich ganz interessant, eigentlich!
(Evtl. Link oder so..)
In Wikipedia finde ich jetzt nur, dass der Binärcode anno dazumal direkt über Schalter eingegeben wurde...ich kann mir nicht vorstellen, dass die Russen das so machen..

Grüsse - Microwave

Hi,

also "Wiki" - Artikel reichen hier sicher nicht zum Verständnis - ich versuche es einmal stark vereinfacht auszudrücken:

Es spielt keine Rolle, wie man den Code letztendlich eingibt, denn ein PC versteht ohnehin nur Maschinensprache;
er kann also ohne Probleme auch mit Assembler erstellt sein und danach mit einem Interpreter umgewandelt werden.

Worum es hier geht, ist in etwa folgendes:

Ein Programm besteht nicht nur aus den Argumenten (das, was die Allgemeinheit für den Code hält) - sondern hat auch eine typische Parametrierung, also wie und wann welches Argument zum Einsatz kommt;
und zusätzlich kommt meist noch ein dritter Punkt hinzu, nämlich die mögliche Steuerung über zusätzliche Schnittstellen, wie z.B. über eine Datenbank oder ein "config"-File im Falle von Spielen;
es geht also eigentlich um wesentlich mehr als nur darum, wie die arguments syntaktisch vorliegen....

Liebe Grüße, Alois

Wenn man mit Viren spielen will, dann sollte man das auf einem Testrechner ohne I-net Anbindung machen, danach kann man einfach ein Image zurückspielen.

Ok, aber wie kann ich Code "tiefer" als in Hexwerten im Editor eingeben?
Und die Syntax diktiert ja das Intel i7 Instruction Set?
Da sind die Befehle auch nicht tiefer als in Hexzahlen aufgeführt..
48 steht z.B. für das REX Präfix (-->Longmode Register), EB steht für einen relativen, direkten Sprung <= +-127 Bytes, usw...

Poste doch mal einen Link, wo ich das live sehen oder lesen kann (Auch per PM, denn das hat ja eigentlich wenig mit dem Topic zu tun)...😉


Grüsse - Microwave

Hallo Microwave,

ich kenne leider keinen Link zu diesem Thema und habe mein relativ bescheidenes Wissen auch nicht aus dem Netz - aber ich will versuchen, es zu erklären:

Ein direkt in Maschinencode geschriebenes Programm ist derart komplex, dass es praktisch unmöglich ist, es in verstehbaren Quellcode umzuwandeln.

Es ist lediglich möglich, es zu assemblieren und in einem langwierigen Prozess mit Assembler zu versuchen, das Ding zu verstehen.

Cracker suchen nun im Assembler Code nach Kopierschutzereignissen und machen Versuche, diese umzuleiten bzw. zu löschen;
dazu müssen sie das Programm annähernd verstehen und andere Programme darauf abstimmen, indem sie neue Schnittstellen erschaffen.

Und genau das ist dieses sog. "Reverse-Engineering" - allerdings hat der Cracker auch hier keinen 100%igen Einblick in den ursprünglichen Quellcode, weshalb Cracks auch recht häufig zu Fehlfunktionen führen.

Ganz stark vereinfacht könnte man sagen, dass es wie bei allen Sprachen ist - es gibt praktisch keine wirklich fehlerfreien Übersetzungsprogramme für kompliziertere Zusammenhänge.....

Liebe Grüße, Alois

Gängiger Assembler im Standardeinsatz:

vllt wäre auch der hier was => OllyDbg - Download - heise online