DFTT! Mehr fällt mir dazu nicht ein.

ciao

@Bitmaster: Wenn ich irgendwelche infos zum programmieren oder ähnliche infos brauche, dann schreib ich es ganz sicher nicht hier her. Ich habe schließlich viele andere Kontake, die ein bisschen "liberaler" sind als die meisten Leute hier (was natürlich nicht heißt, dass das hier kein tolles Board ist, sondern dass das hier ein SECURITY-Board ist). Was meine anderen Sachen angeht, kann dir das wirklich mal schön egal sein. Außerdem wie soll jemand meine Seite finden, wenn er sich nicht ein bisschen auskennt. Und wenn sich jemand auskennt, dann wird der wohl nicht meine viren in .txt format von der homepage laden. Und überhaupt sind diese "viren" eigentlich nicht wirklich gut fähig, sich zu verbreiten, da ich mich dafür genau nicht interessiere. Vielmehr geht es mir um neue Techniken oder alte, gut bekannte Techniken zu verbessern. Solang ich keinen Scheiss dreh (und das mach ich nu wirklich nimma [wennst's glaubt: gut. Wenn nicht, kann mir auch egal sein]), brauchst du dich nicht immer so künstlich aufregen.
Es sprechen eigentlich zwei Gründe, für meine "Anliegen", für dieses: 1.) Hier kenne ich die Leute scho ziemlich lange, und weiß auch von wem ich eine sachliche Antwort erwarten kann und vom wem nicht. Und 2.) Ich weiß, dass hier viele verdamt gute Leute sitzen, die sowas zu ihrem Beruf gemacht haben, und daher ein exzellentes Wissen über die Thematik haben.

@blablabla: "Behavior Scnning" gibt es nicht! Davon hat schon DrSeltsam geschwärmt. Doch es gibt zwei Sachen, die dagegen sprechen:
1.) Der enorme technische Aufwand
2.) Behavior Scanning hat eigentlich keine direkten Vorteile gegenüber dem altbewehrem normalem Scannen.

@vampire: Scheinst dich ja in deiner Zone (Script-Kiddie-Lounge) gut auszukennen [img]smile.gif[/img] Dann sag mir bitte mal, wie ein unentdeckter Trojaner funktionieren soll! Es gibt zwar einen Virus, den AVs 4 Monate langnicht erkennen haben können, doch dass ist dann schon eine Annäherung an die technische Unmöglichkeit. Es wird (fast) immer einige Konstante Bytes geben. Oder zB die Größe der Datei bleibt gleich. Oder wie meinst du wird ein verschlüsselter Virus ausgeführt? Der muss (ca. 99.996%-ig) eine Entschlüsslungroutine haben. Also, es ist unmöglich einen undetectable virus zu machen. (ich hoffe, die großen Denker unter euch wiedersprechen mir nicht).
Und vielleicht willst du jetz, wenn du das überhaupt kennst, mit metamorphismus agumentieren: Es gibt auf der großen, schönen Welt genau drei Leute, die sowas machen können, und wenn sie es nicht verbreiten, und das machen sie nicht, ist es auch kein Problem.

mit etwas verwirrten grüssen,
Mario

PS: @CyberFred: und warum???

</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
@vampire: Scheinst dich ja in deiner Zone (Script-Kiddie-Lounge) gut auszukennen [img]smile.gif[/img] Dann sag mir bitte mal, wie ein unentdeckter Trojaner funktionieren soll!
</font>[/QUOTE]ich vermute du wärst froh wenn du über die kenntnisse mancher script-kiddie's verfügen würdest...!!!
die undetectable trojaner funzen auf dieselbe art und weise wie die detectables. was hast du denn gedacht...?
warscheinlich aber willst du wissen wie man einen polymorphen algorithmus schreibt. da du aber nicht mal in der lage bist deine fragen richtig zustellen halte ich eine antwort für überflüssig, du würdest sie doch nicht verstehen.
</font><blockquote>Zitat:</font><hr />
Es gibt zwar einen Virus, den AVs 4 Monate langnicht erkennen haben können, doch dass ist dann schon eine Annäherung an die technische Unmöglichkeit. Es wird (fast) immer einige Konstante Bytes geben. Oder zB die Größe der Datei bleibt gleich. Oder wie meinst du wird ein verschlüsselter Virus ausgeführt? Der muss (ca. 99.996%-ig) eine Entschlüsslungroutine haben. Also, es ist unmöglich einen undetectable virus zu machen.
</font>[/QUOTE]ich spreche nicht von einem virus sondern von einem server, ein kleiner aber feiner unterschied...
soso, du bist also der meinung, daß die AVscanner ein programm an seinen konstanten und an seiner grösse als schädling identifizieren können...aha..!!!

dem inhalt und der ausführung deines beitrages entnehme ich, daß du persönlich nicht programmieren kannst. vielleicht bist du schon mal an VB gescheitert, das könnte sein, aber mehr trau ich dir nicht zu.
auf mich wirkt dein text so als würdest du nachplappern was andere dir vorplappern.

das ist aber kein grund zu verzagen, immer dran bleiben kleiner, das wird schon, es ist noch kein meister von himmel gefallen...

&gt;1.) Der enorme technische Aufwand

Der Aufwand ist nicht wirklich groß. Einen Emulator hast Du so oder so - und ob Du nun die bei der Emulation geänderten Speicherbereiche scannst oder aber einen entsprechenden binären log ... .

&gt;2.) Behavior Scanning hat eigentlich keine
&gt;direkten Vorteile gegenüber dem altbewehrem
&gt;normalem Scannen.

Abgesehen davon das die Masse der Daten die effektiv gescannt werden muss deutlich geringer ist, es unanfällig gegen "Patching" ist und es auch mit Metamorphen Viren zurecht kommt - ja - keine Vorteile *lol*.

&gt;Es wird (fast) immer einige Konstante Bytes
&gt;geben.

Nach der Entschlüsselung - ja. Davor? Nicht immer. Bei Polylevel eins oder zwei vielleicht noch. Ab 4 oder 5 - vergiss es.

&gt;Oder zB die Größe der Datei bleibt gleich.

Bei nem geringen Polylevel ja, ansonsten vergiss es *g*.

&gt;Der muss (ca. 99.996%-ig) eine
&gt;Entschlüsslungroutine haben. Also, es ist
&gt;unmöglich einen undetectable virus zu machen.

Die aber nicht statisch sein muss. Besser wäre eine Aussage wie:

Das Betriebssystem muss in der Lage sein ihn auszuführen - also ihn zwangsläufig auch entschlüsseln kann. Folglich ist auch ein Emulator der AV Programme dazu in der Lage.

&gt;Es gibt auf der großen, schönen Welt genau drei
&gt;Leute, die sowas machen können, und wenn
&gt;sie es nicht verbreiten, und das machen sie
&gt;nicht, ist es auch kein Problem.

Na des können schon noch mehr - aber wozu? Die Emulatoren sind gut genug und der Metamorphielevel ist viel zu gering um damtt einen Virus wirklich dauerhaft verstecken zu können. Da versteh ich es eher das die Leute sich auf ELF (Linux) stürzen bzw. auf EPO.

Polymorphie gilt beim ELF Dateiformat ja bislang noch als unmöglich *g*.

</font><blockquote>Zitat:</font><hr />Original erstellt von vampire:
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]Nun ... ohne jetzt Haare spalten zu wollen ... ein polymorpher Trojaner ist per Definition schon nicht möglich.

Polymorph bedeutet das ein Virus bei jeder Generationsstufe (sprich Infektion) eine andere Gestalt hat.

Trojaner bedeutet ein Programm das etwas tut was es nicht soll, sich aber nicht SELBSTSTÄNDIG weiterverbreiten kann.

Wie soll es bei nicht selbstständiger Verbreitung verschiedene Generationen geben?

Das der Trojaner undetected wäre würde ich aber bezweifeln. Polymorph bedeutet letztlich das es einen statischen Virenkörper gibt der mit hilfe eines variablen/statischen Verschlüsselungsalgorithmus verschlüsselt wird und mit einem stets neu gewählten oder generierten Entschlüsselungsstub versehen wird.

Der Decryptor ist dabei genau der selbe wie bei Viren - da greift problemlos der Emulator der AV Programme.

Schwieriger wäre es wenn der Server Generator defacto ein "Source Code" Generator wäre der dann mit einem freeware Compiler wie dem FPC oder GCC oder ähnlichem compiliert werden könnte. Dadurch könnte man den Herstellern wirklich HEFTIGST Kopfschmerzen bereiten. Siehe auch NGVCK ... .

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Polymorph bedeutet das ein Virus bei jeder Generationsstufe (sprich Infektion) eine andere Gestalt hat.
</font>[/QUOTE]komm ich noch drauf...
</font><blockquote>Zitat:</font><hr />
Trojaner bedeutet ein Programm das etwas tut was es nicht soll, sich aber nicht SELBSTSTÄNDIG weiterverbreiten kann.

Wie soll es bei nicht selbstständiger Verbreitung verschiedene Generationen geben?
</font>[/QUOTE]also zunächst:
95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..???
es gibt einen der sich selbstständig wie ein virus über outlook verbreitet. der ist allerdings nicht polymorph...

[QOUTE]
Das der Trojaner undetected wäre würde ich aber bezweifeln. Polymorph bedeutet letztlich das es einen statischen Virenkörper gibt der mit hilfe eines variablen/statischen Verschlüsselungsalgorithmus verschlüsselt wird und mit einem stets neu gewählten oder generierten Entschlüsselungsstub versehen wird.

Der Decryptor ist dabei genau der selbe wie bei Viren - da greift problemlos der Emulator der AV Programme.

Schwieriger wäre es wenn der Server Generator defacto ein "Source Code" Generator wäre der dann mit einem freeware Compiler wie dem FPC oder GCC oder ähnlichem compiliert werden könnte. Dadurch könnte man den Herstellern wirklich HEFTIGST Kopfschmerzen bereiten. Siehe auch NGVCK ...

[/QUOTE]

jetzt enttäuscht du mich aber ein bißchen...

die weitaus meisten trojaner sind mit einer editserver.exe versehen. die datei dient dazu den server mit port, PWD, startmethode, notify usw. zu editieren.
man trifft also seine entscheidungen und saved die daten in den schon vorhandenen server ab.

etwas anders funzt das z.b. mit assasin 1.1
es gibt keinen schon vorhanden server...!!!

da ist die editserver datei in den client integriert. man trifft also die gleichen entscheidungen, clickt "make server" und ein völlig neues exemplar wird compiliert.

diese methode ,polymorph kultiviert, erstellt mit jedem server auch gleichzeitg die nächste generation. das heisst der server wäre eben doch undetect. die selbstständige weiterverbreitung ist in diesem kontext ein weiterer luxus aber nicht bedingung.

ich behaupte nicht, daß ich jetzt so ohne weiteres in der lage wäre ein solches programm zu schreiben. ( bin delphi programmierer)
aber es gibt mit sicherheit eine ganze reihe von personen die das sehrwohl können. einen davon kenn ich...

ps: lccWin32 ist "in" momentan...

[ 08. M&auml;rz 2003, 12:27: Beitrag editiert von: vampire ]

</font><blockquote>Zitat:</font><hr />95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..???</font>[/QUOTE]Betriebsblind?

Damit ist gemeint, dass sich ein RAT, sofern es zu unlauteren Zwecken ohne Wissen des potenziellen Opfers verbreitet wird, sich als etwas anderes ausgibt, ja ausgeben MUSS, als es wirklich ist. Nur so kann ja, wie du weißt, ein solcher Mensch überhaupt dazu verleitet werden, eine entsprechende Datei zu starten.

Ein sich selbst verbreitendes RAT müsste also nicht nur den Trojanerserver sondern auch dessen Tarnung neu schreiben und ggf. anpassen. Nicht, dass ich bezweifle, dass das technisch möglich wäre. Aber um mal in dir verständlichem Deutsch zu formulieren: Freu dich bloß nicht zu früh

</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
Ich habe schließlich viele andere Kontake, die ein bisschen "liberaler" sind als die meisten Leute hier...</font>[/QUOTE]Warum fragst Du die dann nicht?

wizard

Also Polymorph hin oder her. Für jede Technik gibet immer eine Gegen-Technik (ja ich weiß is ´ne bescheidene Wortschöpfung) mit der man die andere Technik umgehen oder austricksen kann. Also so richtige undetecable malware wird es wohl so schnell nicht geben wohl auch nicht in Zukunft. Vorallem nicht in der RAT Szene. Wie schon erwähnt gab es zwar mal einen Virus der sich recht schwierig erkennen ließ, selbst sehr gute AV Programm brauchten ihre Zeit zum erkennen dieser malware, jedoch die AV Programme waren später in der lage auch diesen zuerkennen. Es ist also immer eine Frage der Zeit und in wie gut die AV Leute darauf reagieren.

Im Moment bleiben die Trojaner mehr oder weniger berechenbar und sind leicht zu kriegen, jedoch wenn sie per API Hooking, per Ring Infection, so ´ne Obfuscation vollziehen oder halt auch auf LSP technology benutzen sich einnisten wir es vielleicht öhm haarig..na ja wie auch immer, wie sachte nochmal der Kaiser?! "Schaun mer ma´"

</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:
Ein sich selbst verbreitendes RAT müsste also nicht nur den Trojanerserver sondern auch dessen Tarnung neu schreiben und ggf. anpassen.
</font>[/QUOTE]wer träumt denn von sich selbstverbreitenden rats..? ich nicht...! dann bleibt der spaß doch auf der strecke...

ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" [img]graemlins/lach.gif[/img] ) und alle beteiligten wären zufrieden...

</font><blockquote>Zitat:</font><hr />ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" ) und alle beteiligten wären zufrieden...</font>[/QUOTE]hihi pass auf vampire...sonst bekommst du noch einen Eintrag ins Tagebuch von Iron

LOL...träum weiter.
So weit isses bei dir schon...mei mei...dass das mal nur nicht ne fixe Idee wird. Wäre echt schade um deine Freizeit [img]graemlins/lach.gif[/img]

@ JoJo:
Du sagst es...das mach'n mer doch gleich mal...

[ 08. M&auml;rz 2003, 15:46: Beitrag editiert von: IRON ]

</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:
Du sagst es...das mach'n mer doch gleich mal...</font>[/QUOTE]ich glaub der IRON hat mich richtig lieb... [img]graemlins/crazy.gif[/img]

Nee...du als Person bist du mir gleichgültig, weil für mein Leben nicht relevant. Deine Meinungen und Äußerungen bieten freilich Grund zum Lachen...oder Weinen...wie man's nimmt.

hab den eintrag von 08.03.03 gerade gelesen...danke, vielen dank, womit habe ich diese ehre verdient... [img]graemlins/knuddel.gif[/img]

so ganz gleichgültig kann ich dir nicht sein, [img]graemlins/lach.gif[/img] das ist ja schon das zweite mal ,daß du mich erwähnst...am 05.02.03 hast du schonmal an mich gedacht...
um dir eine enttäuschung zu ersparen teile ich dir mit, daß ich es vorziehe mit frauen zu knuddeln und zu kuscheln...
[img]graemlins/lach.gif[/img]

[ 08. M&auml;rz 2003, 16:15: Beitrag editiert von: vampire ]