Kannst Du mir wenigstens in Delphi ein Code Injecting aus dem Stehgreif hier aufzaubern, und zwar eins was betriebssystemunabhaengig (also auch unter Win98) funktioniert ?

Delphi ist zwar nich meine Hauptprogrammiersprache, aber fuer sowas sollte es noch reichen

als nativer compiler ist delphi windows abhängig, den code kannst du nicht ohne weiteres nach linux oder so portieren...

nein, jetzt so aus dem stegreif kann ich das nicht, kriege aber mit sicheheit hin wenn ich mich damit beschäftige würde...das werde ich aber nicht machen, ich will jetzt nach c++ umsteigen und dann können wir uns weiter unterhalten, wenn ich bock darauf habe. ich bin niemanden hier irgendwas schuldig, schon gar nicht muss ich mein können unter beweis stellen...aber verlass dich drauf, es wird was von mir kommen was zum thema passt...

Klar, ich akzeptiere das Vampire, von mir kommt dann eine 128 byte oder 96 byte signatur zum Thema

Aber ich denke mal wir muessen uns hier nicht weiter in die Haare kriegen oder ?

Weil egentlich mag ich Dich ja, selbst mit dem tunten bild

oh danke, surprise, ich glaube jetzt kann ich sogar schlafen...

magst du mich eventuell gerade wegen des tuntenbildes...?

Du wir koennen ja mal telefonieren - soll ich dich mal anrufen ? PM'e mir mal Deine Telefonnummer

Ansonsten gute Nacht und Haende auf die Decke ja ?

ach weisst du, mit meiner telefonnummer ziere ich mich noch ein wenig, ich bin kein mann für eine nacht, ich will erobert werden...

freut mich aber, daß wir die friedenspfeife geraucht haben...und mit meiner mannes kraft muss ich etwas haushalten, darum sind meine hände sowieso über der decke..

Hat Dir schon mal jemand gesagt dass du wunderschoene Augen hast ? (zumindest auf dem RB Avatar)

Telefonnummer ?
Achja... Ich bin in festen (weiblichen) haenden... Darf ich Dich trotzdem anrufen ? BITTTTTTTTTTTTTTTTTTTTAAAAAAAAAAAAAAAEEEEEEEEEEE

ach komm, das sagst du doch nur so... [img]graemlins/huepp.gif[/img]

na schön, wenn du mich sooo lieb darum bittest werde ich dir meine nummer irgendwann mitteilen...

ich freue mich, dass ihr euch auf ner humoristischen ebene wiedergetroffen habt. das ist auch für alle anderen der zeitpunkt es mit humor zu nehmen und vor allem wieder aufs thema zurückzukommen.

.cruz

@DocSeltsam:

Du hast gschriebn, dass du noch was über die poly-levels schreibst...
also, ich warte

grüsse,
Mario

Jo sorry - meine Freundin kam fgestern ... und da hatte ich dann ... *hüstel* ... anderes zu tun *g*. Ich reich das heute morgen nach [img]smile.gif[/img] .

da der doc immer lange pennt hab ich mal gegooglet

</font><blockquote>Zitat:</font><hr />
Vesselin Bontchev, ein Anti-Viren Hersteller hat einmal eine Tabelle
aufgestellt, über die Verschiedenen Level der Polymorphie:

1. Mehrere Decryptoren, von denen einer ausgesucht wird
2. Variable Instruktionen für jedes Teilstück
3. Garbage / Junk Code
4. Veränderbare Reihenfolge
5. 2+3+4
---------------------------------------------------------
6. Permutation
</font>[/QUOTE]diesen teil findet ihr in diesem (h**p://www.snake-basket.de/d/poly.txt) tutorial
(für alle suchfaulen-&gt;das war an erster stelle in google!)

ansonsten is der thread ja sehr lustig zu lesen *untermtischliegentunvorlachen* aber so laaaangsam könnt ihr damit aufhören

@iron
wo finde ich dein tagebuch von dem jojo sprach? *g*

</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla:

@iron
wo finde ich dein tagebuch von dem jojo sprach? *g*</font>[/QUOTE]Schau mal auf seiner Homepage nach Tip: Es gibt da einen Knopf in der Leiste über jedem seiner Postings
Para

Ok ... dann mal die bereits versprochenen Informationen zu den polymorphic levels:

Level 1 (Oligomorph):
Der Virus benutzt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu).

Level 2:
Der zweite Level unterscheidet sich vom ersten dadurch, daß es keinen statischen Decryptor mehr gibt sondern der Decryptor jedes mal neu generiert wird. Der Decryptor nutzt aber immer die selben Befehle, die nur jeweils immer eine unterschiedliche Reihenfolge haben. Beispiel hierfür HWF oder WordSwap.

Level 3:
Vom 3. Level spricht man, wenn zw. den einzelnen Befehlen sinnlose Instruktionen eingestreut werden. Beispiele dafür wären Flip und Tequila.

Level 4:
Beim 4. Level werden dann noch zusätzlich die Befehle ausgetauscht, die für die Entschlüsseluig nicht von Relevanz sind.

Level 5:
Das ist jetzt eigentlich der Level der den AV Leuten so extreme Kopfschmerzen bereitet (hat). Der 5. Level ist eine Kombination aus Level 2, 3 und 4. Die Befehle werden durcheinander gewürfelt, Datenschrott wird eingestreut und die austauschbaren Befehle werden durch andere ersetzt.

Level 6 (Permutating):
Der 6. Level arbeitet nach einem der 3 folgendem Prinzipien:

Der Virus zerstückelt sich selbst in kleine Teile und bringt sie an unterschiedlichen Teilen des Wirtscodes unter. Danach wird eine Routine hinzugefügt, die die einzelnen Stücke wieder zusammenfügt sobald der infizierte Wirt gestartet wird.

Der Virus bringt sich irgendwo im Wirt in einer unzerstückelten Form unter und fügt mehrere (polymorphe) Lademodule ein. Diese Lademodule tun nichts anderes als bestimmte Register zu laden und dann jeweils zum nächsten Lademodul zu springen bis man dann irgendwann nach einigen 100 - 1000 Sprüngen zum wirklichen Decryptor kommt.

Der Decryptor wird zerstückelt im Wirt verteilt. Der Virus wird dann über mehrere im Wirt eingefügte (polymorphe) Lademodule, die nichts anderes tun als sinnlose Operationen durchzuführen und jeweils einen anderen Teil des Decryptors anzuspringen, entschlüsselt.

Beispiele für Permutierende Viren: One_Half, Bad_Boy, Fly, Leech oder Commander Bomber.

Es ist mir noch eine Virenfamilie bekannt die eine Art Mix aus Permutation und Level 5 Polymorphism darstellt. Das ist Uruguay.

Die Uruguay Virus Familie hat - sofern ich das beurteilen kann - die beste Mutation Engine die es für DOS Viren gab. Zumindest hab ich noch keine bessere gesehen. Die Mutation Engine an sich ist Level 5 polymorph.

Die Uruguay Familie infiziert nur COM Dateien. EXE Dateien die kleiner sind als 64 kb werden vorher in COM Dateien umgewandelt.

Der eigentliche Decryptor für den polymorph verschlüsselten Viruskörper wird ans Dateiende angehängt. Der Sprung zum Virus am Datei Anfang wird ebenfalls polymorph erstellen (erinnert stark ans Permutating).

Der am Anfang eingefügte polymorphe Sprung besteht dabei nicht nur aus einem "einfachen" Sprung (jmp) sondern kann auch direkt über Register oder auch indirekt über mehrere Zwischenstopps ausgeführt werden.

Das Problem ist die Tatsache, das das AV Programm diesen Sprungcode "auslösen" muss um zum richtigen Decryptor zu kommen.

Den Decryptor am Ende der Datei suchen ist nicht möglich. Wie gesagt ist der Virus Level 5 polymorph, wieshalb der Decryptor eine variable Länge aufweist.

Hoffe snooby und allen anderen Interessierten einen kleinen Einblick in die verschiedenen "Qualitätsstufen" gegeben zu haben. Man kann sich aber grade bei den Poly Leveln viel Streiten. Wie so oft in der AV Branche gibt es unterschiedliche Betrachtungsweisen [img]smile.gif[/img] .

Na endlich mal was interessantes...könnte jemand vielleicht seinen Beitrag auf der ersten Seite editieren und mit einen direkten Link hierhin verweisen..sodass man nicht den ganzen Bullshit der von Seite 3 bis 7 reicht noch mitlesen muß.