Joa, Kumpel meinte eben zu mir nen FuD kannst du trotzdem erkennen sobald er sich aktiviert hat. Nehmen wir mal an ich hätte einen RAT auf dem Rechner, nun meinte mein Freund mein AV (Bitdefender) würde merken wenn der Virus versucht rumzuspinnen und mir eine Warnung zeigen.

Zitat:

Zitat von Criunk

Joa, Kumpel meinte eben zu mir nen FuD kannst du trotzdem erkennen sobald er sich aktiviert hat. Nehmen wir mal an ich hätte einen RAT auf dem Rechner, nun meinte mein Freund mein AV (Bitdefender) würde merken wenn der Virus versucht rumzuspinnen und mir eine Warnung zeigen.

Das ist Unfug. FUD wird bei diesen einschlägigen Programmen meist dadurch erzeugt, dass sie durch bestimmte Packer so 'komprimiert' oder 'verschlüsselt' werden, dass sie für manche Antiviren Scan Engines z.B. wie random noise aussehen. Solche gepackten Schädlinge zeichnen sich aber immer durch eine Entropie aus, die durch die Decke geht und jedes halbwegs vernünftige Analyseprogramm, welches entweder Packing Header oder Entropie mit in die Bilanz, nimmt wird dir dort immer eine entsprechende Warnung zu ausgeben, auch wenn das Ding nicht läuft, denn im Arbeitsspeicher gibt es diese Entropie nicht mehr, dort liegt es entpackt vor.

Das sieht dann beispielhaft so aus:

Code: Alles auswählenAufklappen

ATTFilter

Hash[boese.exe] = 0bfe83d28d7e6569fac1f6ec1f1a73e108be720d[*] File <boese.exe>
- Offset    : 0
- Entropy   : 7.82792 (97.8489%)
- Redundancy: 2.15105%
- A. Mean   : 1824
- StdDev    : 1612.58
         

Entropie nahe 100% = zwei mal überlegen was die Datei da wohl drin hat...
Ich hörte davon es gäbe Heuristik Module, die können solche Überlegungen auch anstellen

Kaspersky hat zum Beispiel mal jede UPX gepackte EXE als schädlich eingestuft, aber ich glaube von dem Trip sind sie wieder runter und dort gibt es jetzt nur noch Warnungen ohne Autoclean.

Dazu kommt wie cosinus schon sagte, dass du technisch gesehen sowieso verloren hast, wenn das Teil einmal im Arbeitsspeicher läuft, denn man kann dort nicht mehr nachvollziehen ob es schon etwas angestellt hat bevor das AV Programm zuschlug oder eben nicht (außer man schließt danach die entsprechende Systemanalyse an, die dann aber nicht auf das AV Programm zurückgreift..).