|
hey, voll cool, Doc! Aber mir scheint, du hast da was nichtbeachtet, vielleciht war es auch deine Absicht: Was ist mit der veränderung von Variablen (zB in PERL, JavaScript, PHP,...) Wenn diese Variablen den code verschlüsslen, und sich selbst verändern, (sowie beim Poly-Engine von kefi), dann ist es auch polymorph! grüsse, Mario |
Also damit wir mal wieder zum Thema zuerueck finden, jeder der meint er habe was zum Thema polymorphe Viren zu sagen der bewaffne sich jetzt mit einem Debugger und wir debuggen gemeinsam einen polymorphen Virus ohne Source so dass wir dann anschliessend wissen was der tut. Notfalls kann auch in auswegloser Situation disassembliert werden. Vampire du faengst an - suche Dir einen polymorphen Virus aus den Du debuggen kannst - mein Softice und Disassembler stehen bereits Gewehr bei Fuss. Nun zeig mal mal was Du wirklich kannst. Ich warte. |
ich habe weder polymorphe noch herkömmliche viren auf meiner platte und einen debugger lediglich in meiner delphi umgegebung, mit einem disassembler kann ich allerdings dienen... der source eines poly viruses würde mich aber interessieren... |
Kannst du optimierten Assembler ? |
assembler kann ich überhaupt nicht, wusste auch nicht das diese sprache noch zu optimieren wäre... geht das wirklich oder willst du mich verschaukeln? |
Sag mal willst Du mich verarschen ? Du ich bin Chefentwickler bei Message Labs falls Du von denen schon mal was gehoert hast. |
Ändert sich das Script selbst oder wird es nur immer wieder anders durch einen Generator generiert? Bei ersterem sollte man problemlos das Level Prinzip das ich dargestellt habe übertragen können. Das Ändern der Variablenbezeichnung IST ja nunmal das Austauschen von Codestücken die für die Entschlüsselung an sich nicht essentiell sind - wäre also Level 4 nach Brunnstein und meiner Einteilung (bzw. laut Bontchev Level 2). |
moin liebe leute... :D ok, ich gebe gern zu, daß ich mich gestern sehr unklar audgedrückt habe ( assasin), es ist natürlich ein gewaltiger unterschied ob ein datei compiled oder generiert wird. natürlich hat der andreas recht wenn er sagt, daß man viren , würmer und trojaner streng voneinander unterscheiden muss, weil völlig anderer code am arbeiten ist. ich hätte gestern noch die eine oder andere frage gestellt. das hat sich nach den letzten postings aber erledigt. und jetzt will ich nicht weiter stören...macht weiter jungs... |
der script ändert sich. Man hängt das poly-engine an den virus, schreibt noch die verwendetetn variablen in den poly-engine-code und schon werden sie geändert. wow, 4 ist cool ;) grüsse, Mario |
Heute hab ich mal so richtig gut geschlafen, nach dieser geschichte! :cool: grüsse, Mario |
Oh, daß freut mich aber! |
Bitmasters "GUTENACHTGESCHICHTENFAZIT": Nachdem der Troll gefüttert wurde, überlegte er sich, wie er das gelernte gleich wieder in neue Malware umsetzen konnte. Leider glaubte er, AV Hersteller würden noch auf Bäumen schlafen, aber er hatte sich getäuscht! Sie schliefen in richtigen Betten und warfen auch nicht mit Kokosnüssen. Später, als er ein richtig großer Troll war, kamen Männer in Uniformen und nahmen ihn mit. Sie sagten, daß man große Trolle nun in den Kerker werfen kann. Bei Wasser und Brot und ohne Internetanschluß wurde dem Troll im laufe der Zeit ganz mulmig und er schwor sich, nie wieder ein böser Troll zu sein. Und die Moral von der Geschicht: Troll zu sein, daß lohn sich nicht. |
Rootkits sind doch nichts anderes als Device Treiber, auch die kann man finden. *.sys ;) Alle verstecke sind auffindbar ;) |
Müssen nicht mal Treiber sein ;o) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board