|
Hi an alle! Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann? ich meine, wie viele verscheidene varianten es davon geben kann?? Dann noch eine frage: Haben heutzutage polymorphe viren eigentlich noch eine chance gegen die AV programme. Ich meine, dauert die analyse länger als bei normalen? Und noch was: Wie werden polymorphe viren gefunden? Wird der "key" gesucht, dann entschlüsselt und gescannt, oder anders??? Fragen über Fragen, die snooby nicht ruhen lassen :cool: :cool: schöne grüsse und vielen Dank für Antworten, Mario |
Definiere doch erstmal, was du unter STARK verstehst. Was hat deiner Meinung nach die Eigenschaft der Polymorphie direkt oder indirekt mit der Funktionalität eines Virus zu tun? Ein Virus hat eine primäre und potenziell mehrere sekundäre Aufgaben. Primär: Selbstreplikation, also Verbreitung Sekundär: Datenmanipulation oder Zerstörung Polymorphie ist doch lediglich der Versuch, sich vor der Entdeckung zu schützen. Zweifellos hängt der Erfolg dieses Versuchs zum einen ganz wesentlich vom Können des Programmierers ab, zum anderen aber natürlich auch vom Können und der Reaktionsgeschwindigkeit der AV-Hersteller. Dass es immer mal wieder ein Virus schaffen kann, sich erfolgreicher zu verbreiten als ein anderer, steht außer Frage. Ebenso aber auch, dass nichts so förderlich für die Verbreitung eines wie auch immer gearteten Schädings ist wie die Unvorsichtigkeit, Naivität und Unwissenheit der Normal-User. |
Da außerdem hinreichend bekannt ist, warum Snooby immer wieder solche Fragen stellt, sollten wir ihn nicht noch mit vielleicht verwertbaren Infos füttern. Jedem Anderen würde ich vielleicht glauben, daß die Frage rein informativ sei. Snooby hat allerdings seine 385 Chancen verspielt und schreibt weiterhin fleissig Malware (die er selbstverständlich nicht selbst verbreitet, sondern nur offen zum Download stellt ) |
a) ohne snooby auf den schlips treten zu wollen, aber ich glaube nicht dass er in der lage ist eine polymorphe engine zu schreiben die den Av-Entwicklern kopfschmerzen bereiten könnte ;) also is deine "angst" glaube ich unberechtig (@bitmaster) b) der meiste polymorphe code wird von emulatoren erfolgreich emuliert und entweder tauchen danach feste bytefolgen auf oder es wird einfach nach verhalten gescannt (behaviour scanning) |
</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla: oder es wird einfach nach verhalten gescannt (behaviour scanning)</font>[/QUOTE]davon höre ich zwar immer, aber welcher scanner setzt denn wirklich behaviour-scanning ein? ansonsten: ACK .cruz [ 06. März 2003, 21:55: Beitrag editiert von: cruz ] |
freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden... |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben? .cruz |
er nun wieder... [img]graemlins/huepp.gif[/img] das soll heissen: die evolution macht auch vor rats nicht halt. schlicht und ergreifend, ne feststellung, sonst nix... |
</font><blockquote>Zitat:</font><hr />Original erstellt von cruz: </font><blockquote>Zitat:</font><hr />Original erstellt von vampire: freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]kühne these...und wieso nimmst du das an? weil es die programmierer derselbigen gesagt haben? .cruz</font>[/QUOTE]ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne). Windows Root Kits a Stealthy Threat Hackers are using vastly more sophisticated techniques to secretly control the machines they've cracked, and experts say it's just the beginning. By Kevin Poulsen, SecurityFocus Mar 5 2003 5:12AM Barron Mertens admits to being puzzled last January when a cluster of Windows 2000 servers he runs at an Ontario university began crashing at random. The only clue to the cause was an identical epitaph carved into each Blue Screen of Death, a message pointing the blame at a system component called "ierk8243.sys." He hadn't heard of it, and when he contacted Microsoft, he found they hadn't either. "We were pretty baffled," Mertens recalls. "I don't think that cluster had bluescreened since it was put into production two years ago." Mertens didn't know it at the time, but the university network had been compromised, and the mysterious crashes were actually a lucky break -- they gave away the presence of an until-then unknown tool that can render an intruder nearly undetectable on a hacked system. Now dubbed "Slanret", "IERK," and "Backdoor-ALI" by anti-virus vendors, experts say the tool is a rare example of a Windows "root kit" -- an assembly of programs that subverts the Windows operating system at the lowest levels, and, once in place, cannot be detected by conventional means. Also known as "kernel mode Trojans," root kits are far more sophisticated than the usual batch of Windows backdoor programs that irk network administrators today. The difference is the depth at which they control the compromised system. Conventional backdoors like SubSeven and BO2K operate in "user mode", which is to say, they play at the same level as any other application running on the compromised machine. That means that other applications -- like anti-virus scanners -- can easily discern evidence of the backdoor's existence in the Window's registry or deep among the computer's files. ... mehr auf http://www.securityfocus.com/news/2879 Heiko |
</font><blockquote>Zitat:</font><hr />Original erstellt von AddBlocker: ist vielleicht nicht die *passende* antwort, bin aber heute über einen interessanten artickel bei securityfocus gestolpert. handelt um (kommende) root kits unter windows (war bisher eher eine unix domäne).</font>[/QUOTE]mir gings eher um das scannen eines neuen, unbekannten binaries, nicht um schon kompromitierte systeme. .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]*gähn* Das wird aus Scriptkiddiekreisen schon seit Jahren propagiert... wizard |
ok, dann mal danke an die antworten der frage nummer 2 und 3! das hab ich mir schon wieder gedacht, aber, was solls! @blablabla: wie kommst du eigentlich aus die idee, dass ich ein poly engine schreiben will?? davon gibt es nun wirklich schon mehr als genug! die frage war für mich nun wirklich, obs ihr glaubt oder nicht, nur informativ! @iron: also, die erste frage wegen der stärke: wie viele varianten kann ein poly virua haben! grüsse, Mario |
</font><blockquote>Zitat:</font><hr />Original erstellt von snooby: Weiß irgendwer von euch, wie "stark" ein polymorpher virus sein kann?</font>[/QUOTE]Damals zu Doszeiten gab es mal einen Zoo-Virus, der sehr stark Polymorph war. Ich erinnere mich noch wage, das KAV da7 Sek. am Scannen war, bevor er ihn erkannt hat. KAV und DR.Web waren AFAIK die einzigen, die ihn "emulieren"(nennt man das so?) konnten. Die anderen AV-Firmen sind einfach hingegangen und haben fuer jedes Sample welches sie bekamen eine eigene Signatur erstellt. War auch nicht besonders aufwendig, da das Ding so buggy war, das er sich nur unter ganz bestimmten bedingungen vermehrt hat. Ich habe nur diese Beschreibung noch gefunden. http://www.viruslist.com/eng/viruslist.html?id=2638 Es gab noch eine andere, die sich mehr mit dem Polymorphen teil diese Virus beschaeftigte, aber die kann ich nicht mehr finden. |
hey raman! voll cool! danke für den link, wirklich interessant! grüsse, Mario |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: freut euch nicht zu früh...</font>[/QUOTE]Wer schreibt hier was von "freuen"? Nur weil ein paar fehlgeleitete Coder was Neues ausbrüten, muss ein Verehrer derselbigen doch nicht gleich prophetierend herumunken. LOL...Klasse Statement vampire... |
DFTT! Mehr fällt mir dazu nicht ein. ciao |
@Bitmaster: Wenn ich irgendwelche infos zum programmieren oder ähnliche infos brauche, dann schreib ich es ganz sicher nicht hier her. Ich habe schließlich viele andere Kontake, die ein bisschen "liberaler" sind als die meisten Leute hier (was natürlich nicht heißt, dass das hier kein tolles Board ist, sondern dass das hier ein SECURITY-Board ist). Was meine anderen Sachen angeht, kann dir das wirklich mal schön egal sein. Außerdem wie soll jemand meine Seite finden, wenn er sich nicht ein bisschen auskennt. Und wenn sich jemand auskennt, dann wird der wohl nicht meine viren in .txt format von der homepage laden. Und überhaupt sind diese "viren" eigentlich nicht wirklich gut fähig, sich zu verbreiten, da ich mich dafür genau nicht interessiere. Vielmehr geht es mir um neue Techniken oder alte, gut bekannte Techniken zu verbessern. Solang ich keinen Scheiss dreh (und das mach ich nu wirklich nimma [wennst's glaubt: gut. Wenn nicht, kann mir auch egal sein]), brauchst du dich nicht immer so künstlich aufregen. Es sprechen eigentlich zwei Gründe, für meine "Anliegen", für dieses: 1.) Hier kenne ich die Leute scho ziemlich lange, und weiß auch von wem ich eine sachliche Antwort erwarten kann und vom wem nicht. Und 2.) Ich weiß, dass hier viele verdamt gute Leute sitzen, die sowas zu ihrem Beruf gemacht haben, und daher ein exzellentes Wissen über die Thematik haben. @blablabla: "Behavior Scnning" gibt es nicht! Davon hat schon DrSeltsam geschwärmt. Doch es gibt zwei Sachen, die dagegen sprechen: 1.) Der enorme technische Aufwand 2.) Behavior Scanning hat eigentlich keine direkten Vorteile gegenüber dem altbewehrem normalem Scannen. @vampire: Scheinst dich ja in deiner Zone (Script-Kiddie-Lounge) gut auszukennen [img]smile.gif[/img] Dann sag mir bitte mal, wie ein unentdeckter Trojaner funktionieren soll! Es gibt zwar einen Virus, den AVs 4 Monate langnicht erkennen haben können, doch dass ist dann schon eine Annäherung an die technische Unmöglichkeit. Es wird (fast) immer einige Konstante Bytes geben. Oder zB die Größe der Datei bleibt gleich. Oder wie meinst du wird ein verschlüsselter Virus ausgeführt? Der muss (ca. 99.996%-ig) eine Entschlüsslungroutine haben. Also, es ist unmöglich einen undetectable virus zu machen. (ich hoffe, die großen Denker unter euch wiedersprechen mir nicht). Und vielleicht willst du jetz, wenn du das überhaupt kennst, mit metamorphismus agumentieren: Es gibt auf der großen, schönen Welt genau drei Leute, die sowas machen können, und wenn sie es nicht verbreiten, und das machen sie nicht, ist es auch kein Problem. mit etwas verwirrten grüssen, Mario PS: @CyberFred: und warum??? |
</font><blockquote>Zitat:</font><hr />Original erstellt von snooby: @vampire: Scheinst dich ja in deiner Zone (Script-Kiddie-Lounge) gut auszukennen [img]smile.gif[/img] Dann sag mir bitte mal, wie ein unentdeckter Trojaner funktionieren soll! </font>[/QUOTE]ich vermute du wärst froh wenn du über die kenntnisse mancher script-kiddie's verfügen würdest...!!! die undetectable trojaner funzen auf dieselbe art und weise wie die detectables. was hast du denn gedacht...? warscheinlich aber willst du wissen wie man einen polymorphen algorithmus schreibt. da du aber nicht mal in der lage bist deine fragen richtig zustellen halte ich eine antwort für überflüssig, du würdest sie doch nicht verstehen. </font><blockquote>Zitat:</font><hr /> Es gibt zwar einen Virus, den AVs 4 Monate langnicht erkennen haben können, doch dass ist dann schon eine Annäherung an die technische Unmöglichkeit. Es wird (fast) immer einige Konstante Bytes geben. Oder zB die Größe der Datei bleibt gleich. Oder wie meinst du wird ein verschlüsselter Virus ausgeführt? Der muss (ca. 99.996%-ig) eine Entschlüsslungroutine haben. Also, es ist unmöglich einen undetectable virus zu machen. </font>[/QUOTE]ich spreche nicht von einem virus sondern von einem server, ein kleiner aber feiner unterschied... soso, du bist also der meinung, daß die AVscanner ein programm an seinen konstanten und an seiner grösse als schädling identifizieren können...aha..!!! dem inhalt und der ausführung deines beitrages entnehme ich, daß du persönlich nicht programmieren kannst. vielleicht bist du schon mal an VB gescheitert, das könnte sein, aber mehr trau ich dir nicht zu. auf mich wirkt dein text so als würdest du nachplappern was andere dir vorplappern. das ist aber kein grund zu verzagen, immer dran bleiben kleiner, das wird schon, es ist noch kein meister von himmel gefallen... |
>1.) Der enorme technische Aufwand Der Aufwand ist nicht wirklich groß. Einen Emulator hast Du so oder so - und ob Du nun die bei der Emulation geänderten Speicherbereiche scannst oder aber einen entsprechenden binären log ... . >2.) Behavior Scanning hat eigentlich keine >direkten Vorteile gegenüber dem altbewehrem >normalem Scannen. Abgesehen davon das die Masse der Daten die effektiv gescannt werden muss deutlich geringer ist, es unanfällig gegen "Patching" ist und es auch mit Metamorphen Viren zurecht kommt - ja - keine Vorteile *lol*. >Es wird (fast) immer einige Konstante Bytes >geben. Nach der Entschlüsselung - ja. Davor? Nicht immer. Bei Polylevel eins oder zwei vielleicht noch. Ab 4 oder 5 - vergiss es. >Oder zB die Größe der Datei bleibt gleich. Bei nem geringen Polylevel ja, ansonsten vergiss es *g*. >Der muss (ca. 99.996%-ig) eine >Entschlüsslungroutine haben. Also, es ist >unmöglich einen undetectable virus zu machen. Die aber nicht statisch sein muss. Besser wäre eine Aussage wie: Das Betriebssystem muss in der Lage sein ihn auszuführen - also ihn zwangsläufig auch entschlüsseln kann. Folglich ist auch ein Emulator der AV Programme dazu in der Lage. >Es gibt auf der großen, schönen Welt genau drei >Leute, die sowas machen können, und wenn >sie es nicht verbreiten, und das machen sie >nicht, ist es auch kein Problem. Na des können schon noch mehr - aber wozu? Die Emulatoren sind gut genug und der Metamorphielevel ist viel zu gering um damtt einen Virus wirklich dauerhaft verstecken zu können. Da versteh ich es eher das die Leute sich auf ELF (Linux) stürzen bzw. auf EPO. Polymorphie gilt beim ELF Dateiformat ja bislang noch als unmöglich *g*. |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: freut euch nicht zu früh, es sind trojaner server in arbeit ( polymorph natürlich) die undetectable bleiben werden...</font>[/QUOTE]Nun ... ohne jetzt Haare spalten zu wollen ... ein polymorpher Trojaner ist per Definition schon nicht möglich. Polymorph bedeutet das ein Virus bei jeder Generationsstufe (sprich Infektion) eine andere Gestalt hat. Trojaner bedeutet ein Programm das etwas tut was es nicht soll, sich aber nicht SELBSTSTÄNDIG weiterverbreiten kann. Wie soll es bei nicht selbstständiger Verbreitung verschiedene Generationen geben? Das der Trojaner undetected wäre würde ich aber bezweifeln. Polymorph bedeutet letztlich das es einen statischen Virenkörper gibt der mit hilfe eines variablen/statischen Verschlüsselungsalgorithmus verschlüsselt wird und mit einem stets neu gewählten oder generierten Entschlüsselungsstub versehen wird. Der Decryptor ist dabei genau der selbe wie bei Viren - da greift problemlos der Emulator der AV Programme. Schwieriger wäre es wenn der Server Generator defacto ein "Source Code" Generator wäre der dann mit einem freeware Compiler wie dem FPC oder GCC oder ähnlichem compiliert werden könnte. Dadurch könnte man den Herstellern wirklich HEFTIGST Kopfschmerzen bereiten. Siehe auch NGVCK ... . |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: Polymorph bedeutet das ein Virus bei jeder Generationsstufe (sprich Infektion) eine andere Gestalt hat. </font>[/QUOTE]komm ich noch drauf... </font><blockquote>Zitat:</font><hr /> Trojaner bedeutet ein Programm das etwas tut was es nicht soll, sich aber nicht SELBSTSTÄNDIG weiterverbreiten kann. Wie soll es bei nicht selbstständiger Verbreitung verschiedene Generationen geben? </font>[/QUOTE]also zunächst: 95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..??? es gibt einen der sich selbstständig wie ein virus über outlook verbreitet. der ist allerdings nicht polymorph... [QOUTE] Das der Trojaner undetected wäre würde ich aber bezweifeln. Polymorph bedeutet letztlich das es einen statischen Virenkörper gibt der mit hilfe eines variablen/statischen Verschlüsselungsalgorithmus verschlüsselt wird und mit einem stets neu gewählten oder generierten Entschlüsselungsstub versehen wird. Der Decryptor ist dabei genau der selbe wie bei Viren - da greift problemlos der Emulator der AV Programme. Schwieriger wäre es wenn der Server Generator defacto ein "Source Code" Generator wäre der dann mit einem freeware Compiler wie dem FPC oder GCC oder ähnlichem compiliert werden könnte. Dadurch könnte man den Herstellern wirklich HEFTIGST Kopfschmerzen bereiten. Siehe auch NGVCK ... [/QUOTE] jetzt enttäuscht du mich aber ein bißchen... die weitaus meisten trojaner sind mit einer editserver.exe versehen. die datei dient dazu den server mit port, PWD, startmethode, notify usw. zu editieren. man trifft also seine entscheidungen und saved die daten in den schon vorhandenen server ab. etwas anders funzt das z.b. mit assasin 1.1 es gibt keinen schon vorhanden server...!!! da ist die editserver datei in den client integriert. man trifft also die gleichen entscheidungen, clickt "make server" und ein völlig neues exemplar wird compiliert. diese methode ,polymorph kultiviert, erstellt mit jedem server auch gleichzeitg die nächste generation. das heisst der server wäre eben doch undetect. die selbstständige weiterverbreitung ist in diesem kontext ein weiterer luxus aber nicht bedingung. ich behaupte nicht, daß ich jetzt so ohne weiteres in der lage wäre ein solches programm zu schreiben. ( bin delphi programmierer) aber es gibt mit sicherheit eine ganze reihe von personen die das sehrwohl können. einen davon kenn ich... ps: lccWin32 ist "in" momentan... [ 08. März 2003, 12:27: Beitrag editiert von: vampire ] |
</font><blockquote>Zitat:</font><hr />95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend...und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..???</font>[/QUOTE]Betriebsblind? :D Damit ist gemeint, dass sich ein RAT, sofern es zu unlauteren Zwecken ohne Wissen des potenziellen Opfers verbreitet wird, sich als etwas anderes ausgibt, ja ausgeben MUSS, als es wirklich ist. Nur so kann ja, wie du weißt, ein solcher Mensch überhaupt dazu verleitet werden, eine entsprechende Datei zu starten. Ein sich selbst verbreitendes RAT müsste also nicht nur den Trojanerserver sondern auch dessen Tarnung neu schreiben und ggf. anpassen. Nicht, dass ich bezweifle, dass das technisch möglich wäre. Aber um mal in dir verständlichem Deutsch zu formulieren: Freu dich bloß nicht zu früh ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von snooby: Ich habe schließlich viele andere Kontake, die ein bisschen "liberaler" sind als die meisten Leute hier...</font>[/QUOTE]Warum fragst Du die dann nicht? wizard |
Also Polymorph hin oder her. Für jede Technik gibet immer eine Gegen-Technik (ja ich weiß is ´ne bescheidene Wortschöpfung) mit der man die andere Technik umgehen oder austricksen kann. Also so richtige undetecable malware wird es wohl so schnell nicht geben wohl auch nicht in Zukunft. Vorallem nicht in der RAT Szene. Wie schon erwähnt gab es zwar mal einen Virus der sich recht schwierig erkennen ließ, selbst sehr gute AV Programm brauchten ihre Zeit zum erkennen dieser malware, jedoch die AV Programme waren später in der lage auch diesen zuerkennen. Es ist also immer eine Frage der Zeit und in wie gut die AV Leute darauf reagieren. Im Moment bleiben die Trojaner mehr oder weniger berechenbar und sind leicht zu kriegen, jedoch wenn sie per API Hooking, per Ring Infection, so ´ne Obfuscation vollziehen oder halt auch auf LSP technology benutzen sich einnisten wir es vielleicht öhm haarig..na ja wie auch immer, wie sachte nochmal der Kaiser?! "Schaun mer ma´" |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Ein sich selbst verbreitendes RAT müsste also nicht nur den Trojanerserver sondern auch dessen Tarnung neu schreiben und ggf. anpassen. </font>[/QUOTE]wer träumt denn von sich selbstverbreitenden rats..? ich nicht...! dann bleibt der spaß doch auf der strecke... ;) ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" [img]graemlins/lach.gif[/img] ) und alle beteiligten wären zufrieden... |
</font><blockquote>Zitat:</font><hr />ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" ) und alle beteiligten wären zufrieden...</font>[/QUOTE]hihi pass auf vampire...sonst bekommst du noch einen Eintrag ins Tagebuch von Iron |
LOL...träum weiter. So weit isses bei dir schon...mei mei...dass das mal nur nicht ne fixe Idee wird. Wäre echt schade um deine Freizeit [img]graemlins/lach.gif[/img] @ JoJo: Du sagst es...das mach'n mer doch gleich mal... [ 08. März 2003, 15:46: Beitrag editiert von: IRON ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Du sagst es...das mach'n mer doch gleich mal...</font>[/QUOTE]ich glaub der IRON hat mich richtig lieb... [img]graemlins/crazy.gif[/img] |
Nee...du als Person bist du mir gleichgültig, weil für mein Leben nicht relevant. Deine Meinungen und Äußerungen bieten freilich Grund zum Lachen...oder Weinen...wie man's nimmt. |
hab den eintrag von 08.03.03 gerade gelesen...danke, vielen dank, womit habe ich diese ehre verdient... [img]graemlins/knuddel.gif[/img] so ganz gleichgültig kann ich dir nicht sein, [img]graemlins/lach.gif[/img] das ist ja schon das zweite mal ,daß du mich erwähnst...am 05.02.03 hast du schonmal an mich gedacht... um dir eine enttäuschung zu ersparen teile ich dir mit, daß ich es vorziehe mit frauen zu knuddeln und zu kuscheln... [img]graemlins/lach.gif[/img] [ 08. März 2003, 16:15: Beitrag editiert von: vampire ] |
@vampire: loooooooooooooooooool... ich bin froh, dass ich nicht (mehr) über solche 1-Dimensionalen Blickwinkel verfüge. Wenn du glaubst, ich weiß nicht, wie man poly-sachen macht, dann schau auf meine HomePage. Und wenn du mich schon mit allen mitteln versuchst anzugreifen, dann informiere dich doch zuerst ein wenig über mich. Sonst schaffst du es vielleicht noch ein paar mal, dich derartig vor mir zu blamieren. ;) Also: bevor du nochmal etwas gegen mich schreibst, schau auf meine HP, ok?? @wizard: weil ich nicht informationen über das erstellen solcher sachen haben will, sondern nur nur Informationen über den derzeitigen Stand des Möglichen. (ich glaube, dass hab ich oben mit ca 5 zeilen schon beschreiben). Nomal: ich weiß, dass ich mit den hier gewonnenen information kein poly-engine schreiben kann -> Ich will kein poly-engine schreiben. @DrSeltsam: Es ist nach der Theorie schon möglich, poly-trojans zu machen (der trojan muss sich nur nach jeder ausführung selbst ersetzen, und wie ein poly-virus sich verändern) Nur bringt das genau NICHTS. Dann wegen dem behavior scanning: wie erkennt KAV zB den "MetaPHOR" von Mental Driller?? Ist metamorph, wird trotzdem erkannt. >Nach der Entschlüsselung - ja. Davor? Nicht immer. Bei Polylevel eins oder zwei vielleicht noch. >Ab 4 oder 5 - vergiss es. Naja, aber wenn auch der decrypter variable ist, wird auch die größe irgendwann mal enorm in die Höhe schießen. >Das Betriebssystem muss in der Lage sein ihn auszuführen - also ihn zwangsläufig auch entschlüsseln kann. >Folglich ist auch ein Emulator der AV Programme dazu in der Lage. Ich nehme an, du weißt was trute-force encryption ist. Es wird kein schlüssel gespeichert. Der virus versucht alle möglichen schlüssel durch. Da kann ein emulator dann, wenn die verschlüsslung gut ist, schon verdamt lange brauchen. >Na des können schon noch mehr - aber wozu? Ich habe gemeint, es haben bisher 3 leute gemacht. >Siehe auch NGVCK ... . Die letzte version ist vor mehr als einem jahr erschiehnen, und noch immer nicht erkannt. hab ich recht? Das wär ja was für dich, Doc! ;) mal ne schöne, interessante und sicher nicht leichte übung. Könntest ja dann den source des A-NGVCK an die AVs verkaufen ;) nochmal @vampire: >komm ich noch drauf... Pseudo.... ;) >95% aller mir bekannten trojaner versehen ihren dienst sehr zufriedenstellend... >und wie kommst du darauf, daß trojaner etwas tun was sie nicht sollen..??? >es gibt einen der sich selbstständig wie ein virus über outlook verbreitet. der ist allerdings nicht polymorph... pooooaaa... +kopf-ganz-viel-schüttel+ ein trojaner, der sich über outlook verbreitet ;) das ist ja dann noch ein trojaner, richtig?! >ein guter polymorpher server ( vielleicht noch ne "Infect_IRON_Function" ) >und alle beteiligten wären zufrieden... Glaubs mir, mit ihm würd ich mich nicht anlegen. Geht SICHER nich gut aus für dich! (siehe April-Mai 2002) @JoJo: >Für jede Technik gibet immer eine Gegen-Technik Ganz meine Ansicht!! von vampire noch ganz verblüffte Grüsse, Mario |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: so ganz gleichgültig kann ich dir nicht sein...</font>[/QUOTE]Du vermischt da unzulässigerweise zwei Dinge, nämlich deine Person und deine Ansichten. Deine Ansichten sind es, die mir nicht gleichgültig sind. Ob DU die äußerst oder irgend ein anderer Vertreter deiner "Zunft", ist gehupft wie gesprungen. Namen sind Schall und Rauch. |
Also jetzt mal Baelle flach halten Vampire und Snoopy :D Ihr "ruehmt" Euch hier mit Dingen die ihr nicht mal selber gemacht habt geschweige denn ueberhaupt in der Lage waert sie tiefgruendig zu verstehen so dass man Euch beide ernst nehmen (muss). ;) Vampire, bist Du der Typ aus dem RAT Board mit dem Tunten Bild ? Es amuesiert mich immer wenn ich dort lese "ja bestimmt lesen hier auch AV Hersteller mit" - das ist grundlegend falsch - die posten dort sogar auch ! :D Der Etap aka Mental Driller hat einen verschluesselten Textstring (fuer eine Messagebox) drin die *nur* die Groesse der Buchstaben zufaellig aendert - sprich ein kleines m wird mal Gross geschrieben oder mal klein - je nachdem. Der erste Ansatz waere hier bsw. diesen encrypted section zu suchen und ueber ein TOUPPER zu jagen was dann NUR IN GROSSBUCHSTABEN resultiert womit man dann den Vergleich starten koennte - es gibt aber auch noch wesnetlich andere Wege ;) Der Virus nutzt beispielsweise auch EPO wo die Heuristik anschlagen sollte ;) Michael ;) |
@Gladiator: Ich schreibe über polymorphismus, und das habe ich sehr wohl schon selber gemacht! nochmal der tipp: bevor jemand einen Flamewar beginnt, zuerst über den andern informieren! Mario |
Ich wuerde mir nie anmassen das zu tun ;) |
ein witziger thread! vampire und snooby streiten sich darum, wer nun das größere script-kiddie ist *fg* leute, das thema ansich ist eigentlich interessant, also lasst doch das geflame. .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green Vampire, bist Du der Typ aus dem RAT Board mit dem Tunten Bild ? </font>[/QUOTE]ja, ich bin vampire vom ratboard... aber "tunten bild"..????...könntest du ein paar erklärende worte nachliefern..? @cruz, charaktere wie IRON (gross geschrieben...!!!!) und snooby sind berechenbar, das heisst man kann sie an und ausknipsen wie das licht, gibt kein flamewar... [ 08. März 2003, 18:22: Beitrag editiert von: vampire ] |
Genau. Gerade haste mich eingeknipst. Inwiefern bin ich berechenbar? Insofern, dass ich dagegenhalte, wenn ein Script-Kiddie Dummfug postet? Insofern, dass ich ein Diskussionsforum so nutze, wie beabsichtigt, nämlich aktiv, also indem ich etwas zur Diskussion beitrage? Na dann knips mal schön. Weißte, Trolle zu füttern, kann manchmal ganz lustig sein, wenn, wie in deinem Fall der Troll schmatzt und ihm die Krümel aus dem Mund fallen. Wie cruz schon schrieb: Solange snooby und du derart unterhaltsam seid, lass ich mich gerne mal anknipsen. |
na dann ist die welt ja in ordnung... :D |
wer sich noch für das eigentliche thema interessiert (und nen bisl englisch kann) http://securityresponse.symantec.com...e/metamorp.pdf |
>95% aller mir bekannten trojaner versehen ihren >dienst sehr zufriedenstellend...und wie kommst >du darauf, daß trojaner etwas tun was sie nicht >sollen..??? *ROFL* ... alsooooooo ... Ein Trojaner ist ein Programm das etwas tut was das Opfer nicht erwartet. Der User erwartet ein Spiel und in Wirklichkeit installiert sich ein Backdoor. Verstanden? Das ist es auch warum man bei einem BEWUSSTEN Einsatz von RAT's nicht von Malware sprechen kann. >es gibt einen der sich selbstständig wie ein >virus über outlook verbreitet. der ist allerdings >nicht polymorph... Das ist aber kein Trojaner mehr sondern ein Hybrid. >etwas anders funzt das z.b. mit assasin 1.1 >es gibt keinen schon vorhanden server...!!! Doch - als binäre Ressource im Clienten *lol*. >da ist die editserver datei in den client integriert. >man trifft also die gleichen entscheidungen, >clickt "make server" und ein völlig neues >exemplar wird compiliert. *lol* ... na gut wenn du das glaubst *g*. Armer Troll ... . >diese methode ,polymorph kultiviert, erstellt mit >jedem server auch gleichzeitg die nächste >generation. das heisst der server wäre eben >doch undetect. Ahja - Assassin 1.1 ist undetected? *g* Träum weiter. Defacto extrahiert der Client den Server aus den ressourcen, packt da dir Konfiguration rein und das wars. Nix compilieren. - nix undetected. >aber es gibt mit sicherheit eine ganze reihe von >personen die das sehrwohl können. einen >davon kenn ich... In der RAT Szene? Na das wage ich mal zu bezweifeln. In der Viirus Szene - ok - aber RAT Szene? Die meisten bekommen es nicht einmal hin für die WinSock Kommunikation nicht die VCL Routinen zu nehmen, was dann in 400 KB Servermonstern endet. |
>@DrSeltsam: Es ist nach der Theorie schon >möglich, poly-trojans zu machen (der trojan >muss sich nur nach jeder ausführung selbst >ersetzen, und wie ein poly-virus sich verändern) >Nur bringt das genau NICHTS. Das wäre bereits eine Selbstverbreitung. Wäre schon kein Trojaner mehr sondern ein Hybrid. >Dann wegen dem behavior scanning: wie >erkennt KAV zB den "MetaPHOR" von Mental >Driller?? Ist metamorph, wird trotzdem erkannt. Je nachdem wie "metamorph" der Virus ist greifen noch andere Suchverfahren. Siehe den Link von Tobias. >Naja, aber wenn auch der decrypter variable ist, >wird auch die größe irgendwann mal enorm in >die Höhe schießen. Nö. Kannst die größe ja begrenzen [img]smile.gif[/img] . >Ich nehme an, du weißt was trute-force >encryption ist. Es wird kein schlüssel >gespeichert. Der virus versucht alle möglichen >schlüssel durch. Da kann ein emulator dann, >wenn die verschlüsslung gut ist, schon verdamt >lange brauchen. Jo ... oder der emulator ist so intelligent das er mit bekommt das er in nem true force decryptor steckt ... . Du hast nicht wirklich eine Vorstellung wie schnell gute Emulatoren so sind. 80 - 90 Millionen Instruktionen pro Sekunde sind da keine Seltenheit. >Ich habe gemeint, es haben bisher 3 leute >gemacht. Dann schreib das auch *g* >Die letzte version ist vor mehr als einem jahr >erschiehnen, und noch immer nicht erkannt. hab >ich recht? Das wär ja was für dich, Doc! ;) mal >ne schöne, interessante und sicher nicht leichte >übung. Könntest ja dann den source des >A-NGVCK an die AVs verkaufen ;) Doch ... IKARUS erkennt so ziemlich alle Varianten via Heuristik (hatte damals 30.000 samples mit unterschiedlichen Optionen erstellt und compiliert sowie repliziert. Wurden alle erkannt ;o). |
DocSeltsam: >Du hast nicht wirklich eine Vorstellung wie >schnell gute Emulatoren so sind. Sehr richtig. Hab sowas noch nie gemacht. Kann mir nur vorstellen, wie sowas funktioniert. KAV zB hab einen Emulator für mein erstes programm geschreiben (kann in der Virenliste als Crypt.BWG gefunden werden). Hab da mal getestet, wie schnell der ist, und es werden 20 Viren in 21 sek.(!!!) durchsucht. Weiß nicht, ob sie es jetzt verändert haben, jedenfalls ist der wert früher wirklich extrem gewesen. >Doch ... IKARUS erkennt so ziemlich alle Varianten via Heuristik (hatte damals 30.000 samples >mit unterschiedlichen Optionen erstellt und compiliert sowie repliziert. Wurden alle erkannt ;o). Ich hab mir IKARUS noch gar nicht angeschaut. Hab nur mit KAV und TrendMicro getestet. Und da ist nichts erkannt worden. ;) Und solange es nur von der Heuristic erkannt wird, ist es nicht wirklich erkannt. (my opinion) Noch was: Was meinst du mir Polymorphismus Stufen? Hast von 5 verschiedenen geschrieben? Kannst die mal aufzählen? Ich kann mir nähmlich nur 2 vorstellen (Code durchmixen und variabel verschlüsseln) ein, alle beiträge gegen ihn ignorierender, Mario ;) |
@ andreas haak, glaubst du wirklich ich wüsste nicht, daß assasin von jedem scanner entdeckt wird...??? ich habe lediglich spekuliert was möglich wäre wenn jeder server mit polymorphen algorithmus neu compiled werden würde... es ist völlig egal ob du ein sich selbstverbreitendes programm trojaner oder hybrid nennst, solche unterscheidungen sind nur für den fachmann von interesse, was wirklich zählt ist das ergebnis... du willst mich mißverstehen und unterliegst damit der auf diesem board herrschenden gruppendynamik. hier ist noch jede interessante diskussion mit ignoranter arroganz kaputtgemacht worden. das ist schade und damit tut ihr euch keinen gefallen. so verpasst ihr die chance den wirklich zahlreich hier erscheinenden besuchern echte information und aufklärung über ein brisantes thema zubieten... |
>glaubst du wirklich ich wüsste nicht, daß >assasin von jedem scanner entdeckt wird...??? Dann bring ein richtiges Beispiel bzw. sag das es theoretischer Natur ist. >ich habe lediglich spekuliert was möglich wäre >wenn jeder server mit polymorphen algorithmus >neu compiled werden würde... EIN SERVER WIRD VON EINEM SERVEREDITOR GENERELL NICHT COMPILIERT. COMPILIERT WIRD QUELLTEXT - UND ERGEBNIS IST EIN BINÄRES PROGRAMM. WENN DU EIN BINÄRES PROGRAMM NEU GENERIERST DANN LÄSST DU ES MUTIEREN, MANIPULIERST ES ODER VERSCHLÜSSELST ES - ABER DU COMPILIERST ES GARANTIERT NICHT. Das ist ein ELEMENTARER Unterschied. Ich will Dir auch nochmal das was Du geschrieben hast in Erinnerung rufen: die weitaus meisten trojaner sind mit einer editserver.exe versehen. die datei dient dazu den server mit port, PWD, startmethode, notify usw. zu editieren. man trifft also seine entscheidungen und saved die daten in den schon vorhandenen server ab. etwas anders funzt das z.b. mit assasin 1.1 es gibt keinen schon vorhanden server...!!! da ist die editserver datei in den client integriert. man trifft also die gleichen entscheidungen, clickt "make server" und ein völlig neues exemplar wird compiliert. diese methode ,polymorph kultiviert, erstellt mit jedem server auch gleichzeitg die nächste generation. das heisst der server wäre eben doch undetect. die selbstständige weiterverbreitung ist in diesem kontext ein weiterer luxus aber nicht bedingung. Sag Du mir mal wo ein normaler Leser dort erkennen soll das es sich nur um ein fiktives Beispiel handeln soll? Es ist schlichtweg nicht ersichtlich. >es ist völlig egal ob du ein sich >selbstverbreitendes programm trojaner oder >hybrid nennst, solche unterscheidungen sind >nur für den fachmann von interesse, was >wirklich zählt ist das ergebnis... Du wirst mir recht geben das wir wenn wir uns über ein Thema unterhalten wir bestimmte elementare Begriffe festmachen müssen. Und der Unterschied zw. Virus/Wurm und Trojaner ist nunmal die Tatsache das er sich eben NICHT weiter verbreitet. Du kannst natürlich einen Trojaner mit einer Selbstreplizierung ausrüsten. Das Ergebnis wäre ein Wurm/Virus mit Trojanerkomponente (oder kurz ein Wurm/Virus-Trojaner Hybrid) - kein Trojaner. Das ist ein Fakt. Die Idee an sich ist auch nichts Neues - siehe Hybris, Randon, Sockets de Troje usw. . >du willst mich mißverstehen und unterliegst >damit der auf diesem board herrschenden >gruppendynamik. Das ist Schwachsinn. Wenn Du ein theoretisches Beispiel bringen willst wie Du es nach eigener Aussage wolltest bei Asassin, dann solltest Du es auch als solches Kennzeichen. Ansonsten wird Dich jeder für einen Spinner halten der Asassin kennt. Weil Asassin eben absolut gar nichts compiliert. >hier ist noch jede interessante diskussion mit >ignoranter arroganz kaputtgemacht worden. Nein. Hier sind einige Leute nur nicht in der Lage sich so auszudrücken das sie von anderen auch verstanden werden. Das ist ein kleiner aber feiner Unterschied. >so verpasst ihr die chance den wirklich zahlreich >hier erscheinenden besuchern echte >information und aufklärung über ein brisantes >thema zubieten... Es wurden eine Fülle von Informationen geliefert. Ich werde auch gleich noch ein paar Informationen zu den Polymorhphic Leveln nachreichen. |
Um Andreas Aussauge noch mal zu untermalen, und zwar so dass es auch das letzte Script Kiddie versteht: Ein Server Editor der Server erstellt EXTRAHIERT (das ist der Fachausdruck) diesen VORKOMPILIERTEN Server. Ist dieser gepackt - (bsw. UPX) dann wird die Server Konfig AM ENDE DES SERVERS einfach dazu gehangen. Beastdoor nutzt das bsw. die Server werden dort nicht neu kompiliert - sondern NUR EXTRAHIERT. Dann wird die Config mit einer laecherlich leicht zu knackenenden Routine am Ende Angehangen. Sprich man kann mit etwas Erfahrung nachgucken welche ICQ Num dort bsw. eingetragen wurde. Ich wuensche Euch aber bei dem grandiosen Fachwissen was ihr hier an den Tag legt noch viel Spass mit Andreas hier der scheint naemlich grade Zeit zu haben Vampire und Snoopy ;) |
ach komm...ist das wirklich wahr..?? |
ja echt wahr *g*. |
Ja denkst Du ich erzaehle das hier zur Volksbelustigung ? Mal sehen wenn ich mehr Zeit habe machen wir mal einen Einsteiger Kurs fuer RATS gemeinsam Vampire gell ? :D Weil wenn Du nachher siehst was Eure "Helden" auch so fuer einen Scheiss fabrizieren wuerde ich nicht mal ueber NAV lachen :D |
über NAV zulachen kannst du dir auch nicht leisten, gelle...*fg* |
Ich wuerde mir auch nie erdreisten ueber das "neue" NAV mit der Unpack Engine zu lachen da ich weiss das Peter Ferrie ein ausgesprochener Experte auf diesem Gebiet ist ;) Aber das kriegt ihr schon noch frueh genug mit :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green guy: Aber das kriegt ihr schon noch frueh genug mit :D </font>[/QUOTE]Vermutlich, denn Symantec wird sich das ganze sicherlich wieder patentieren lassen und dann raumposaunen, dass sie die Erfinder dieser Technologie sein... ;) wizard |
@ Wizard LOL ! [img]graemlins/aplaus.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green guy: Mal sehen wenn ich mehr Zeit habe machen wir mal einen Einsteiger Kurs fuer RATS gemeinsam Vampire gell ? :D </font>[/QUOTE]nee, keinen bock... ausserdem, wer das nicht allein hinkriegt dem ist nicht zuhelfen... </font><blockquote>Zitat:</font><hr /> Weil wenn Du nachher siehst was Eure "Helden" auch so fuer einen Scheiss fabrizieren wuerde ich nicht mal ueber NAV lachen :D </font>[/QUOTE]gute und schlechte gibt es überall... kann man das "neue" NAV teil schon ziehen oder ist das ne insider info über die du verfügst...? @snooby, poste doch mal den link zu deiner seite, würd ich mir schon gern mal anschauen... |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: @snooby, poste doch mal den link zu deiner seite, würd ich mir schon gern mal anschauen...</font>[/QUOTE]Ne, lieber nicht, sonst kann ich mich nicht länger zusammenreissen und fange an zu flamen! |
@Vampire: Du findest dort groesstenteils BAT "Viren" :D @Bitmaster: [img]graemlins/aplaus.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Bitmaster: lieber nicht, sonst kann ich mich nicht länger zusammenreissen und fange an zu flamen! </font>[/QUOTE]nachdem sich die wortführer hier aufführen als hätten sie die weisheit mit löffeln gefressen und ihre postings wären der weisheit letzter schluss, ist das auch noch egal... also: flame doch, gib richtig gas, der sonntagabend ist eh langweilig... |
@ vampire: Im RAT-Board gelingt es dir, dich ganz sympathisch darzustellen. Warum nicht auf dem Trojaner-Board? Die "Wortführer", wie du sie nennst, haben womöglich gar Schöpfkellen benutzt, als du noch mit Strohhalmen experimentiertest. Ach macht das Spaß. |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: @ vampire: Im RAT-Board gelingt es dir, dich ganz sympathisch darzustellen. Warum nicht auf dem Trojaner-Board? </font>[/QUOTE]looool, jaaa, das muss man dir lassen, du pflegst deine seite... </font><blockquote>Zitat:</font><hr /> Die "Wortführer", wie du sie nennst, haben womöglich gar Schöpfkellen benutzt, als du noch mit Strohhalmen experimentiertest. Ach macht das Spaß.</font>[/QUOTE]computertechnisch trifft das auf dich ganz sicher nicht zu, kann gar nicht anders sein... anfang der 80ziger war die DDR technisches "dritte welt land", ich meine, ein telefonat nach erfurt war nicht drin, denn ab helmstett wurde getrommelt...*g* ich habe zu dem zeitpunkt mit nem C64 experimentiert und war mit nem 300 baud akkustikkoppler schon online...jedenfalls nannte sich das so? |
@ Vampire: ... geht´s auch ohne Beleidigungen??? Was willst Du eigentlich wirklich? Ist Dir tatsächlich so langweilig oder warum provozierst Du ständig? Keiner wollte/will Dir hier etwas Böses antun, aber Du reagierst ständig, als sei man Dir mit Gewalt auf die Füße getreten. Ich habe die entsprechenden Threads nur lesend mitverfolgt, kann aber mit Gewissheit und aus der Neutralität heraus sagen, dass dem nicht so war. Irgendwann ist´s mal gut. Lebe mit der Gemeinschaft hier oder lass´ es doch einfach. Aber dann ohne gleich persönlich zu werden - bzgl. Deines Vorposts... Geht das? Ja? Trabant http://home.arcor.de/monsvocat/Again...Log01Small.gif |
@ Trabant: Natürlich will er provozieren und beleidigen. Man sieht ja, was passiert, wenn die "Wortführer" ihm mit Wissen kommen: Er wird ganz schnell ganz leise. @ vampire: Dafür, dass du ein paar Jahre Vorsprung hattest, hast du aber nicht viel draus gemacht. Nebenbei: Rate mal, wer in der Grenzkompanie Harbke (13.GK) Wache schieben durfte und sich statt aufzupassen, während des Streifendienstes schlafend in eine unbeobachtete Ecke des Grenzlandes zurückzogs. Übrigens haben unsere Funkgeräte und Telefone prima funktioniert, solange Strom floss. [ 09. März 2003, 19:59: Beitrag editiert von: IRON ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: nachdem sich die wortführer hier aufführen als hätten sie die weisheit mit löffeln gefressen und ihre postings wären der weisheit letzter schluss, ist das auch noch egal...</font>[/QUOTE]Wenn ich mir die Postinghäufigkeit in diesem Thread anschaue, kann ich mir nicht den Eindruck verwehren, daß Du hier der "Wortführer" bist... |
@trabant, was willst du denn jetzt von mir?...halt...jetzt versteh ich...du auch...lol also pass auf: mit sticheleien arbeitet IRON ununterbrochen, das muss er verkraften können und kann er auch, ich meine...wer ist denn hier IRON der eiserne, hee...? hast du den eindruck er könnte nicht selber kontern...? um deinen abend etwas aufzulockern und abwechslungsreich zu gestalten schlage ich dir folgende übung vor: du setzt dich in den lotussitz, atmest tief ins hara-zentrum ( die gegend um den bauchnabel, alles klar..?) und jetzt stellst du dir vor du wärest nicht trabbi... äh...trabant, sondern und jetzt kommts: ICH BIN VAMPIRE... lass diesen gedanken einfach zu und sonst nichts...! dann lies den ganzen thread noch mal durch und siehe da: plötzlich verstehst du mich.... wenn du damit fertig bist kannst du den zustand noch etwas geniessen und eventuell auf den balkon hinaustreten um die sich mittlerweile eingefundenen, kreischenden jungen mädchen zu begrüssen und eins in deine wohnung einzuladen... aber irgendwann solltest du den powertrip beenden, denn es nicht leicht vampire zusein, das ist nicht einfach ein nick, sondern ne eigenschaft... |
@Trabbi: Du besorgst den Knoblauch und ich den Holzpflock... :D [img]graemlins/kloppen.gif[/img] ciao [img]graemlins/daumenhoch.gif[/img] |
Insbesondere zum letzten post von v. Das Denken ist nicht stets parat, mancher schreibt auch, wenn er keines hat. W. Busch [ 09. März 2003, 20:31: Beitrag editiert von: manticore ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: mit sticheleien arbeitet IRON ununterbrochen</font>[/QUOTE]Ich "arbeite" nicht mit Sticheleien. Du erhältst lediglich die Antworten, die du verdienst. Übrigens gibt es deutliche Unterschiede zwischen meinen Äußerungen zu deinen Ideen und der Beleidigung eines Landes oder seiner Bewohner durch dich, ganz egal, wie sehr sie rein inhaltlich stimmen oder nicht. Interessant wäre mal, inwiefern deine vorgeschlagene Meditationsübung jemandem weiterhelfen sollte, dich zu verstehen. Viel einfacher wäre es doch, deine Äußerungen im RAT-Board zu lesen, um dich zu verstehen. Was muss man denn mehr über dich wissen? Nimm dir mal allmählich an anderen RAT-Boardern, die hier posten, ein Beispiel. Wie dir vielleicht auffällt, wird nicht jeder von ihnen von mir kritisiert. |
aaach maaan jungs, was seid ihr langweilge bürokraten...keine spur von humor oder gar leichtigkeit... verbissene computer-junkie's und sonst nix.... wie frustrierend... :( |
@IRON, ob du mich kritisierst oder nicht ist mir im grunde völlig wurscht... |
@ vampire: ... siehst Du. Beleidigen kannst Du. Sonst nix. Sogar mich, der Dir bislang noch in keinster Weise irgendwie dumm gekommen ist. Dass IRON sich selbst verteidigen kann, davon gehe ich mal dringendst aus. Dass ich aber hier wenn jemand sukzessive immer mehr beleidigt wird auch nicht mehr still bin, das hake ich dann mal als mein Recht auf demokratische Meinungsäußerung ab. Aber was anderes als unqualifizierte Posts kriegst Du anscheinend nicht hin. Ich finde es schade. Am Anfang hatte ich durchaus den Eindruck, dass Du über ein gutes Fachwissen verfügst, welches Du in fachlichen Diskussionen weitergeben willst. Aber nein! Zoff war angesagt und zwar mit jedem, der nicht in Dein enges Weltbild passt. Das wiederum zeigt Dein echt geniales Qualitätsposting an mich. So richtig schön mit Yoga, Weibern usw. Dicker, merkst Du eigentlich nicht, dass Du Dich hier wegen mir so langsam zum Kasper machst? Du springst echt auf jeden Brocken, den man Dir hinwirft. Es scheint so langsam schon Deine Mission zu sein, ach nee, entschuldige eine Deiner Eigenschaften *gg* zu sein, hier aus jeder Mücke einen Elefanten zu zimmern. Also vielleicht jetzt zum letzten Mal im Guten: nimm uns doch einfach wie wir sind und wenn du Stress brauchst dann mach doch meine Yoga-Übungen zum Abkühlen, oder hacke etwas Holz oder hilf mir bei den Vielen Teenies die schon vor meinem Balkon stehen und kreischen. Und falls Du wieder so unwahrscheinlich gehaltvoll zurückposten willst, überlege doch bitte vorher, auf welches Niveau Du Dich begibst. Ich gehöre nicht zu Deinem Bekanntenkreis, dass Du so mit mir umspringen kannst oder sollst. Aber das soll ich bestimmt Dir überlassen, wie Du mit mir redest, von wegen demokratischer Meinungsfreiheit und so. Trabant aka Dr. van Helsing http://www.smilies.nl/dieren/blackbat.gif http://www.smilies.nl/dieren/blackbat.gif http://www.smilies.nl/dieren/blackbat.gif |
Das will ich nach deinem gestrigen kläglichen Versuch, dich in mein GB einzutragen, nicht so recht glauben. [img]graemlins/aplaus.gif[/img] Meine sonstigen Hobbies sind übrigens Malerei, Astronomie und Literatur. So langweilig und verbissen, wie du dir das einredest, bin ich nicht. Und was den Humor betrifft, liegst du gänzlich daneben. Deine Menschenkenntnis wirkt etwas angestaubt. |
@trabbi, morgen wieder, ich muss mich ablegen sonst komm ich morgen nicht um 5:30h aus dem bett... @iron, das ist ja das schlimme, unsere interessen sind exakt kongruent, literatur... (in den letzten jahren sehr viel wissenschaft, ich wette du auch...)... astronomie, malerei( bin gelernter dekorateur), computer, schach, guter wein und ne freundin ist auch nicht verkehrt... warum kommen wir nicht klar miteinander...? "schmeissfliege" gleich zu anfang musste nun wirklich nicht sein... mach dich ma locker und denk ma drüber nach... cu soon EDIT: sogar das "gästebuch" willst du falsch verstehen, nene, du bist doch gaaaz anders als ich und das ist auch gut so ... [ 09. März 2003, 21:18: Beitrag editiert von: vampire ] |
@ vampire: ... schlaf gut. Wie eigentlich? Mit´m Kopp nach unten hängend am Baum? Kein Wunder, dass Du immer so "gut" drauf bist. Wenn´s Dir anscheinend zu heiß wird - Rückzug. Naja - DFTT und EOD meinerseits. Zanke mit wem Du willst, mehr kommt auf Dauer ohnehin nicht bei Dir rum! Aber nicht mit mir, außer auf etwas qualifizierterer Basis. Trabant |
verdammt, gerade habe ich den ganzen thread nochmal gelesen....und muss feststellen, ich habe ein sehr gutes posting von andreas haak völlig übersehen, echt ärgerlich... das kommt davon wenn man mit mehreren seiten unterwegs ist... ok, aber heute geht es wirklich nicht mehr... man trifft sich, man sieht sich, man sagt sich hallo... |
</font><blockquote>Zitat:</font><hr />Original erstellt von vampire: warum kommen wir nicht klar miteinander...?</font>[/QUOTE]Weil du ein alterndes Script-Kiddy bist und ich nicht? Weil mir meine gute Erziehung und mein Verstand verbieten, deine Ansichten zu teilen? Weil ich dir nichts beweisen musst, du aber mir schon? </font><blockquote>Zitat:</font><hr />"schmeissfliege" gleich zu anfang musste nun wirklich nicht sein...</font>[/QUOTE]Ach du hast das auf dich bezogen? Ooops. Aber im Ernst: Zu meiner guten Erziehung gehört auch Ehrlichkeit. Wen ich für eine Schmeißfliege halte, den nenne ich auch so. Wenn du das also auf dich münzt...bitte sehr. </font><blockquote>Zitat:</font><hr />mach dich ma locker und denk ma drüber nach...</font>[/QUOTE]Bin schon seit etwa 36 Jahren recht locker. Häng man hübsch ab. Gut, dass es noch kein Geruchsplugin für Mozilla gibt. |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Ach du hast das auf dich bezogen? Ooops. Aber im Ernst: Zu meiner guten Erziehung gehört auch Ehrlichkeit. Wen ich für eine Schmeißfliege halte, den nenne ich auch so. Wenn du das also auf dich münzt...bitte sehr. </font>[/QUOTE]gute erziehung...? ...soso, hat man deine verhaltensweise bei euch so genannt, ja..? auf wen sollte es sich sonst beziehen...? </font><blockquote>Zitat:</font><hr /> Bin schon seit etwa 36 Jahren recht locker. Häng man hübsch ab. Gut, dass es noch kein Geruchsplugin für Mozilla gibt. </font>[/QUOTE]du bist nicht locker und das wirst du auch nie sein, steckt nicht in dir... junge,junge, jetzt lässt du die maske aber fallen, was ...? |
Ich ließe eine Maske fallen? In mir steckt im schlimmsten Fall ein Hühnerknochen, wenn ich mich vor Lachen verschlucke. Bei Euch? Wen meinst du? Siehst mich doppelt? Hast schon gehangen, oder? LOL Ach Junge...nu sei doch nicht auch noch so dumm und versuche es derart plump. Gib dir mal Mühe oder nimm dir snoobys Rat zu Herzen. Achja...locker.... Wenn "LOCKER" für dich bedeutet, die demokratischen Freiheiten und Grundrechte der Menschen deines Landes mit Füßen zu treten, indem du RATs verteilst oder dazu Beihilfe leistest oder dies stillschweigend duldest, DANN...ja dann freilich bin ich keineswegs locker. [ 09. März 2003, 22:43: Beitrag editiert von: IRON ] |
</font><blockquote>Zitat:</font><hr /> Du kannst natürlich Meinungsverschiedenheiten mit anderen haben - wir ermutigen zu lebhaften Diskussionen in unseren Foren - aber persönliche Angriffe und Angriffe, die auf der Rasse, der Nationalitätsangehörigkeit, der ethnischen Herkunft, der Religion, dem Geschlecht, der sexuellen Orientierung, einer Behinderung oder sonstigen ähnlichen Unterschieden beruhen, dulden wir nicht. Wenn Du eine Meinungsverschiedenheit mit jemandem hast, bleib sachlich und werde nicht persönlich. </font>[/QUOTE]Quelle Ich persönlich finde es sehr schade, dass über einige Themen nicht sachlich geredet werden kann und es dann immer wieder zu persönlichen Angriffen kommt. Dies ist keine Wertung einzelner Postings, sondern eine allgemeine Aussage, ich bitte, es auch so zu verstehen. Gladiator the green guy schrieb: </font><blockquote>Zitat:</font><hr /> Vampire, bist Du der Typ aus dem RAT Board mit dem Tunten Bild ? </font>[/QUOTE]M. E. verstößt so eine Frage gegen die NUBs, und dabei ist es vollkommen unerheblich, in welchen anderen Foren der Angesprochene sonst noch postet, nur mal nebenbei bemerkt. Na, und nun wird wohl auch auf mich eingeprügelt, vermute ich mal. Na egal, Heike [img]graemlins/teufel3.gif[/img] |
Nein Heike. Nun tust du mir ziemlich leid. Das ist schon alles. |
Heike,wenn Du schon das Sich-zur-Wehr-setzen von einzelnen zitierst, solltest Du auch fairerweise die Ursachen dafür zitieren. Nur mal so beim groben Einsammeln der vorausgegangenen Beleidigungen aufgefallen: S.1 07.03.2003, 01:18 vampire gegen IRON S.2 08.03.2003, 02.24 vampire gegen snooby S.2 08.03.2003, 15.39 vampire gegen IRON S.2 08.03.2003, 16.14 vampire gegen IRON S.4 09.03.2003, 15.10 vampire gegen Gladiator the green guy Noch weitere Fragen? Es hätte mich auch ernsthaft gewundert, wenn sich nicht wer findet, der meint, er müsse mal wieder ein paar Tatsachen verdrehen [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [ 09. März 2003, 23:25: Beitrag editiert von: manticore ] |
manticore, mein Zitat ist nichts, was mit "Sich-zur-Wehr-setzen" zu tun hat, es ist schlicht und ergreifend ein Angriff oder eine Unterstellung an die Adresse eines Posters, die unsachlich ist. Der Zitierte konnte auch nicht persönlich angegriffen worden sein, da es in diesem Thread sein 1. Posting war, aber er hat persönlich angegriffen. </font><blockquote>Zitat:</font><hr /> Es hätte mich auch ernsthaft gewundert, wenn sich nicht wer findet, der meint, er müsse mal wieder ein paar Tatsachen verdrehen </font>[/QUOTE]Was habe ich bitte wie verdreht?? Viele Grüße, Heike [img]graemlins/teufel3.gif[/img] |
Heike, lass gut sein, ja? Du machst es doch nur noch schlimmer. Aber einen hab ich noch: Du schriebst, es sei doch unerheblich, in welchen Foren jemand sonst noch poste. Würdest du das auch dann so sehen, wenn derjenige in einem Kinderporno-Board posten würde? Sollte dir die Frage unfair erscheinen, dann denk mal drüber nach, warum. Denke GRÜNDLICH nach! |
Also was ist jetzt - wollen wir den contest starten oder bist du dazu nicht in der Lage ? Ich mache dafuer auch gehoerig Werbung auf ZDNet wenn dir daran liegt. Nur blamieren darfst Du dich anschliessend nicht :D |
nein , will ich nicht obwohl der gedanke nicht schlecht ist, so wie du dich mir gegenüber verhalten hast...und die firma kenn ich auch nicht, mit sicherheit keine bildungslücke also, zum thema "optimiert" fällt mir "code optimierung" ein, kann ich dazu schalten wenn ich code compile, und soweit ich informiert bin ist das so gut ausgereift, daß anschliessend niemand mehr in der lage ist den code weiter zu optimieren... das ein solches verfahren auch mit assembler möglich ist, wusste ich nicht... |
was hast du denn vor...? ich habe deutlich gesagt, daß delphi meine sprache ist... |
Kannst Du mir wenigstens in Delphi ein Code Injecting aus dem Stehgreif hier aufzaubern, und zwar eins was betriebssystemunabhaengig (also auch unter Win98) funktioniert ? Delphi ist zwar nich meine Hauptprogrammiersprache, aber fuer sowas sollte es noch reichen :D |
als nativer compiler ist delphi windows abhängig, den code kannst du nicht ohne weiteres nach linux oder so portieren... nein, jetzt so aus dem stegreif kann ich das nicht, kriege aber mit sicheheit hin wenn ich mich damit beschäftige würde...das werde ich aber nicht machen, ich will jetzt nach c++ umsteigen und dann können wir uns weiter unterhalten, wenn ich bock darauf habe. ich bin niemanden hier irgendwas schuldig, schon gar nicht muss ich mein können unter beweis stellen...aber verlass dich drauf, es wird was von mir kommen was zum thema passt... |
Klar, ich akzeptiere das Vampire, von mir kommt dann eine 128 byte oder 96 byte signatur zum Thema :D Aber ich denke mal wir muessen uns hier nicht weiter in die Haare kriegen oder ? :D Weil egentlich mag ich Dich ja, selbst mit dem tunten bild :D |
oh danke, surprise, ich glaube jetzt kann ich sogar schlafen... magst du mich eventuell gerade wegen des tuntenbildes...? |
Du wir koennen ja mal telefonieren - soll ich dich mal anrufen ? PM'e mir mal Deine Telefonnummer :D Ansonsten gute Nacht und Haende auf die Decke ja ? :D |
ach weisst du, mit meiner telefonnummer ziere ich mich noch ein wenig, ich bin kein mann für eine nacht, ich will erobert werden... :D freut mich aber, daß wir die friedenspfeife geraucht haben...und mit meiner mannes kraft muss ich etwas haushalten, darum sind meine hände sowieso über der decke.. :D |
Hat Dir schon mal jemand gesagt dass du wunderschoene Augen hast ? (zumindest auf dem RB Avatar) :D Telefonnummer ? :D Achja... Ich bin in festen (weiblichen) haenden... Darf ich Dich trotzdem anrufen ? BITTTTTTTTTTTTTTTTTTTTAAAAAAAAAAAAAAAEEEEEEEEEEE :D |
ach komm, das sagst du doch nur so... [img]graemlins/huepp.gif[/img] na schön, wenn du mich sooo lieb darum bittest werde ich dir meine nummer irgendwann mitteilen... |
ich freue mich, dass ihr euch auf ner humoristischen ebene wiedergetroffen habt. das ist auch für alle anderen der zeitpunkt es mit humor zu nehmen und vor allem wieder aufs thema zurückzukommen. .cruz |
@DocSeltsam: Du hast gschriebn, dass du noch was über die poly-levels schreibst... also, ich warte ;) grüsse, Mario |
Jo sorry - meine Freundin kam fgestern ... und da hatte ich dann ... *hüstel* ... anderes zu tun *g*. Ich reich das heute morgen nach [img]smile.gif[/img] . |
da der doc immer lange pennt hab ich mal gegooglet ;) </font><blockquote>Zitat:</font><hr /> Vesselin Bontchev, ein Anti-Viren Hersteller hat einmal eine Tabelle aufgestellt, über die Verschiedenen Level der Polymorphie: 1. Mehrere Decryptoren, von denen einer ausgesucht wird 2. Variable Instruktionen für jedes Teilstück 3. Garbage / Junk Code 4. Veränderbare Reihenfolge 5. 2+3+4 --------------------------------------------------------- 6. Permutation </font>[/QUOTE]diesen teil findet ihr in diesem (h**p://www.snake-basket.de/d/poly.txt) tutorial (für alle suchfaulen->das war an erster stelle in google!) ansonsten is der thread ja sehr lustig zu lesen *untermtischliegentunvorlachen* aber so laaaangsam könnt ihr damit aufhören ;) @iron wo finde ich dein tagebuch von dem jojo sprach? *g* |
</font><blockquote>Zitat:</font><hr />Original erstellt von blablabla: @iron wo finde ich dein tagebuch von dem jojo sprach? *g*</font>[/QUOTE]Schau mal auf seiner Homepage nach ;) Tip: Es gibt da einen Knopf in der Leiste über jedem seiner Postings ;) Para |
Ok ... dann mal die bereits versprochenen Informationen zu den polymorphic levels: Level 1 (Oligomorph): Der Virus benutzt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu). Level 2: Der zweite Level unterscheidet sich vom ersten dadurch, daß es keinen statischen Decryptor mehr gibt sondern der Decryptor jedes mal neu generiert wird. Der Decryptor nutzt aber immer die selben Befehle, die nur jeweils immer eine unterschiedliche Reihenfolge haben. Beispiel hierfür HWF oder WordSwap. Level 3: Vom 3. Level spricht man, wenn zw. den einzelnen Befehlen sinnlose Instruktionen eingestreut werden. Beispiele dafür wären Flip und Tequila. Level 4: Beim 4. Level werden dann noch zusätzlich die Befehle ausgetauscht, die für die Entschlüsseluig nicht von Relevanz sind. Level 5: Das ist jetzt eigentlich der Level der den AV Leuten so extreme Kopfschmerzen bereitet (hat). Der 5. Level ist eine Kombination aus Level 2, 3 und 4. Die Befehle werden durcheinander gewürfelt, Datenschrott wird eingestreut und die austauschbaren Befehle werden durch andere ersetzt. Level 6 (Permutating): Der 6. Level arbeitet nach einem der 3 folgendem Prinzipien: Der Virus zerstückelt sich selbst in kleine Teile und bringt sie an unterschiedlichen Teilen des Wirtscodes unter. Danach wird eine Routine hinzugefügt, die die einzelnen Stücke wieder zusammenfügt sobald der infizierte Wirt gestartet wird. Der Virus bringt sich irgendwo im Wirt in einer unzerstückelten Form unter und fügt mehrere (polymorphe) Lademodule ein. Diese Lademodule tun nichts anderes als bestimmte Register zu laden und dann jeweils zum nächsten Lademodul zu springen bis man dann irgendwann nach einigen 100 - 1000 Sprüngen zum wirklichen Decryptor kommt. Der Decryptor wird zerstückelt im Wirt verteilt. Der Virus wird dann über mehrere im Wirt eingefügte (polymorphe) Lademodule, die nichts anderes tun als sinnlose Operationen durchzuführen und jeweils einen anderen Teil des Decryptors anzuspringen, entschlüsselt. Beispiele für Permutierende Viren: One_Half, Bad_Boy, Fly, Leech oder Commander Bomber. Es ist mir noch eine Virenfamilie bekannt die eine Art Mix aus Permutation und Level 5 Polymorphism darstellt. Das ist Uruguay. Die Uruguay Virus Familie hat - sofern ich das beurteilen kann - die beste Mutation Engine die es für DOS Viren gab. Zumindest hab ich noch keine bessere gesehen. Die Mutation Engine an sich ist Level 5 polymorph. Die Uruguay Familie infiziert nur COM Dateien. EXE Dateien die kleiner sind als 64 kb werden vorher in COM Dateien umgewandelt. Der eigentliche Decryptor für den polymorph verschlüsselten Viruskörper wird ans Dateiende angehängt. Der Sprung zum Virus am Datei Anfang wird ebenfalls polymorph erstellen (erinnert stark ans Permutating). Der am Anfang eingefügte polymorphe Sprung besteht dabei nicht nur aus einem "einfachen" Sprung (jmp) sondern kann auch direkt über Register oder auch indirekt über mehrere Zwischenstopps ausgeführt werden. Das Problem ist die Tatsache, das das AV Programm diesen Sprungcode "auslösen" muss um zum richtigen Decryptor zu kommen. Den Decryptor am Ende der Datei suchen ist nicht möglich. Wie gesagt ist der Virus Level 5 polymorph, wieshalb der Decryptor eine variable Länge aufweist. Hoffe snooby und allen anderen Interessierten einen kleinen Einblick in die verschiedenen "Qualitätsstufen" gegeben zu haben. Man kann sich aber grade bei den Poly Leveln viel Streiten. Wie so oft in der AV Branche gibt es unterschiedliche Betrachtungsweisen [img]smile.gif[/img] . |
Na endlich mal was interessantes...könnte jemand vielleicht seinen Beitrag auf der ersten Seite editieren und mit einen direkten Link hierhin verweisen..sodass man nicht den ganzen Bullshit der von Seite 3 bis 7 reicht noch mitlesen muß. |
</font><blockquote>Zitat:</font><hr /> Was habe ich bitte wie verdreht?? </font>[/QUOTE]Das fragst Du noch??? Sortiere doch bitte erst mal in Deiner letzten Antwort sämtliche Angriffe, so ist das hoffnungslos unverständlich und wenn Du damit fertig bist, bist Du wohl so freundlich, mir das hier </font><blockquote>Zitat:</font><hr /> es ist schlicht und ergreifend ein Angriff oder eine Unterstellung an die Adresse... </font>[/QUOTE]zu definieren, unter besonderer Berücksichtigung der von Dir explizit erwähnten NUB´s. [ 10. März 2003, 00:06: Beitrag editiert von: manticore ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board