</font><blockquote>Zitat:</font><hr />Original erstellt von wizard:
Jein. Es wird der Header nach dem "Dateityp" geprüft und dann entschieden, ob und wo in der Datei gescannt wird.</font>[/QUOTE]Wo in der Datei gescannt wird ist von Scanner zu Scanner kaum unterschiedlich.
Du kannst dies mit folgendem testen:

COPY /B clean.exe+virus.exe SIMPLEJOIN.EXE

Dann lass den Scanner drueber rauschen und 90% aller (guten) Scanner finden den Virus.

Sie lesen den Exe Header aus der Clean Datei aus und stellen fest es handelt sich um ein ausfuehrbares PE Programm.

Wenn die noch festlegen wuerden AB WO der Virus (offset) gescannt wird dann wuerden 90% das nicht finden.
Das funktioniert uebrigens auch, wenn man den 2. PE Header der Virus Datei weglaesst - man also nur den PE Header der uninfizierten Datei inside hat. Was veranschaulicht, das bei den meisten Viren der Einsprungspunkt aus dem Header voellig irrelevant ist.

</font><blockquote>Zitat:</font><hr />Ich hatte erwartet, dass wir solche Malware öfter sehen, aber scheinbar ist NTFS immer noch nicht interessant/weit verbreitet genug für Malwarecoder. Proof-of-concepts gab es dazu ja genug.</font>[/QUOTE]Es wird immer zuerst das genutzt, was am weitesten verbreitet ist und so ziemlich ueberall funktioniert.

Ein hausuebliches Win98, WinME kann kein NTFS.
Um es fuer alles lauffaehig zu machen (den Schaedling) muss man dementsprechend auf solche "Scherze" verzichten.
Mit steigendem Einsatz von NT basierenden Systemen (XP) wird sich dies allerdings vermutlich aendern.
ADS zu scannen ist weiss Gott keine Schwierigkeit vom Scanner her gesehen.

Gladiator

"Kaspersky Labs announces the release of its regularly scheduled cumulative update (Oct. 11, 2002):

new functions for handling the CAB archive format
improved procedure for handling Inno and BZIP archives
improved procedure for handling the following compressed file types: CHM, HXS, PE-Shield, FSG, NoodleCrypt, WinCrypt
Kaspersky Anti-Virus users can download this update automatically using the built-in Updater module or manually by clicking here.

The cumulative update contains all previous cumulative releases, including weekly and daily updates."

Ich glaube, dass Forge77 an der Implementierung von WinCrypt "Schuld" ist. Auch NoodleCrypt haben wohl "wir=das Packer/Crypter Projekt" entdeckt. Bitmaster kann bestimmt Genaueres dazu sagen.

Falls noch wer mitmachen mag...es lohnt sich!

Jason, Manman & Co. kochen bestimmt schon vor Wut...

Gruss Nautilus

EDITED: Verbesserung -- Bitmaster hatte von Noodlecrypt schon berichtet.

[ 12. Oktober 2002, 10:37: Beitrag editiert von: Nautilus ]

Hmmm - ich finds immer wieder lustig ...

ANTS und GAV sind keine Konkurenten. GAV ist eine ANTIVIRUS SOFTWARE - ANTS eine Anti-Trojaner Software. Ist nur meine Meinung zu dem Thema gewesen.

Oder ist Antworten auf Beiträge jetzt verboten?

Seltsam:

Natürlich ist Antworten nicht verboten. Ohnehin würde das Verbot nicht in meinen Kompetenzbereich fallen.

Im Gegenteil, ich fände es immer noch sehr schön, wenn Du und Gladiator uns die Funktionsweise eines Scanners im Detail erklären würden. Aber besser in einem separaten Thread (ein Vorschlag) und tunlichst so, dass weder Du noch Gladiator dabei das Gesicht verlieren (noch ein Vorschlag, um Streit zu vermeiden).

Gruss Nautilus

&gt;Wo in der Datei gescannt wird ist von Scanner zu
&gt;Scanner kaum unterschiedlich.

Da gibts ganz erhebliche Unterschiede. Intelligente Scanner lesen bedeutend weniger von der Datei ein als andere.

&gt;Dann lass den Scanner drueber rauschen und 90%
&gt;aller (guten) Scanner finden den Virus.

Dann sind sie nicht gut, sondern dumm ;o). Allerdings haben viele Scanner über Section Table Checks solche Funktionen implementiert. Ansonsten müsste man den "redundanten Scan" aktivieren.

&gt;Wenn die noch festlegen wuerden AB WO der
&gt;Virus (offset) gescannt wird dann wuerden 90%
&gt;das nicht finden.

99% der Scanner scannen keine Ressourcen und ausschließlich die Bereiche die ausgeführt werden (wozu gibts Emulatoren?). Eigentlich kenn ich nur Gladiator der die komplette Datei scannt wenn ich ehrlich sein soll.

&gt;Was veranschaulicht, das bei den meisten Viren
&gt;der Einsprungspunkt aus dem Header voellig
&gt;irrelevant ist.

Es gibt nur wenige Viren, die den EIP nicht ermitteln um ihn zu modifizieren. MTX z.B. ). Andere patchen Imports. Sind aber die Seltenheit.

@Seltsam Ein ähnlicher Thread wurde wg. Streitgefahr in einem anderen Forum beendet.

Könntet ihr evt. die Diskussion auch hier in einen anderen Thread verlagern? Als Threadnamen schlage vor: Der TheoretischGuteAberNiemalsFertigWerdendeAnts3Scanner vs. Der ZwarFunktionsfähigeAberTotalDoofProgrammierteGladiatorScanner vor

Gruss Nautilus

Schon alleine fuer Deine Frechheit hin die Du Dir weiter oben erlaubt hast Nautilus hat sich damit fuer mich das Thema erledigt.

Sag mal geht's Dir eigentlich noch ganz gut ?
Sorry wenn ich das so direkt frage, aber entwickel selber einen Scanner, dann darfst Du Dir vielleicht als Diskussionsgrundlage solche Aeusserungen erlauben.

Gladiator

Gladiator: Ich bitte um Entschuldigung!

Es handelt sich um ein Missverständnis. Meine Bemerkung war ironisch gemeint. Ich wollte mich in diesem Fall eigentlich gerade auf DEINE Seite schlagen, weil es mir nicht gefallen hat, dass die Gladiator Scan-Engine unnötig schlecht gemacht wurde. Es tut mir leid, dass ich mich so schlecht verständlich ausgedrückt habe. Ich respektiere Dein Projekt.

Du hast auch vollkommen richtig geschrieben, dass ich nicht in der Lage wäre, eine vernünftige Scan-Engine zu programmieren. Nochmal...sorry!

Nautilus

[ 12. Oktober 2002, 15:38: Beitrag editiert von: Nautilus ]

Zu einem Scanner gehoert weit mehr als nur eine Scan Engine.

Um es genau zu sagen der eigentliche Scanner ist eher laecherlich als der Aufwand, den man betreibt um schnell und unkompliziert Aktualisierungen machen zu koennen.

Ich habe hier quasi ein ganzes Client / Server Netzwerk mit Systemdiensten, Databases etc. selbst entwickelt und aufgebaut wo der "Normaluser" nicht mal weiss das sowas im entferntesten Sinne quasi unumgaenglich ist - er sieht davon im Scanner allerdings nichts.

Hier mal beispielsweise ein Screenshot aus dem "GCC" - dem Gladiator Control Center - in dem Fall der Virus Database Editor.

---&gt; Gladiator Control Center -&gt; Database Editor &lt;---

Gladiator

Nachtrag: Sorry das ich auch etwas ueberhastet "Luft" gemacht habe ein gewisser Herr hat es als Notwendigkeit angesehen in meinem Forum diese Nacht ueber die Zubereitung von Entenbraten zu diskutieren sowie absolut oberduemmliche Diskussionen ueber Flughuehner, Moorhuehner und weiss der Teufel was angeleiert.

[ 12. Oktober 2002, 17:30: Beitrag editiert von: My name is Gladiator ]

Das war wohl der gefürchtete "Mende/Merk"-Troll, der auch hier und bei Blue sein Unwesen trieb. Scheinst ja kurzen Prozess mit ihm gemacht zu haben

Nautilus

Na hoer mal zu, also wenn einer Emails mit dem Wunsch ueber Kochrezepteverfeinerung fuer Entenbraten an andere schickt und solchen Muell - und jawohl es ist wirklich Muell - postet,
dann scheint der nicht alle Steine auf der Schleuder zu haben. Wie gesagt - fuer eine echte Familienfeier waere es der Brueller - aber im Forum eine absolute Belaestigung.

Zumal man diesen Muell auch sofort wegloeschen muss bevor es Diskussionen dazu gibt.

Gladiator

</font><blockquote>Zitat:</font><hr />Original erstellt von My name is Gladiator:
dann scheint der nicht alle Steine auf der Schleuder zu haben. </font>[/QUOTE]Vielleicht war es Fred Feuerstein *scnr*

Hallo @ all,

ich weiß nicht, ob das ursprüngliche Ziel dieses Threads noch so weiter verfolgt wird... ich habe nämlich einen Packer, der jede beliebige Datei on-demand-scanfest macht (nicht on-access). Ich habe nur KAV4, vielleicht sollte man das mit anderen Scannern auch mal probieren.

Das ist für all jene eine Gefahr, die sich "dank" ihres Server-e-mail-Scanns (SaverSurf...) völlig sicher wähnen und keinen guten, aktuellen lokalen on-access-Scanner betreiben.

Gruß Hendrik

</font><blockquote>Zitat:</font><hr />ich weiß nicht, ob das ursprüngliche Ziel dieses Threads noch so weiter verfolgt wird... </font>[/QUOTE]Im Prinzip ist daraus das Projekt "Scheinsicherheit" geworden. [img]smile.gif[/img]
Vielleicht nicht ganz so, wie ursprünglich gedacht, aber wir sind nach wie vor an unbekannten Packern/Cryptern interessiert, um sie an AV-Hersteller weiterzuleiten.

</font><blockquote>Zitat:</font><hr /> ich habe nämlich einen Packer, der jede beliebige Datei on-demand- scanfest macht (nicht on-access). </font>[/QUOTE]Das hört sich aber mehr nach einer Art selbst-entpackenden Archiv an, das die Datei erst auf der Festplatte auspackt und anschließend ausführt.
Laufzeit-gepackte Malware wird dagegen direkt ins RAM entpackt und kann deshalb auch von einem On-Access-Wächter nicht erkannt werden, wenn schon der On-Demand-Scanner versagt.

Du kannst mir das Tool trotzdem gerne mal schicken. Zumindest Kaspersky scheint auch an solchen "Packern" interessiert zu sein... [img]smile.gif[/img]

[ 22. Januar 2003, 21:21: Beitrag editiert von: forge77 ]

ich vermute es kann sich dabei auch um einen bestimmten 'crypter' handeln, der halt malware vor On-Demand scans "schützt", aber nicht vor On-Access scans. Ich kenne da so einen.