[HaBo]

boehmi · 04.11.08, 21:05

Hallo,

ich möchte ein selbst geschriebenes Tool schützen indem ich es crypte.
Allerdings springt danach AntiVir an und meldet einen Heuritischen Treffer im Sinne von "Achtung - Verdächtig! Hier wurde gecrypted".

Es sagt zwar nicht direkt dass hier ein Virus ist, und auch die Option "Löschen" steht nicht zur Verfügung... es empfiehlt nur in Quarantäne zu schieben und ihnen zur genaueren Analyse zu schicken.
Aber die Meldung an sich sorgt ja schon für Misstrauen was die meisten abschreckt.

Ich habe mehrere Tools ausprobiert, die Namen weiß ich jetzt leider nicht mehr, weil ich dass nur mal schnell nebenbei probiert habe ;)

Kann mir da jemand helfen?
Kennt wer ein Tool bei dem Antivir nicht anspringt? (Wie es bei anderen Scannern aussieht weiß ich nicht)

Vielen Dank

xrayn · 04.11.08, 21:41

Nimm einen kommerziellen Protector und am besten einen, der den Code virtualisiert, denn die sind afaik am schwersten zu Debuggen.

Anzeige

- Anzeige -

90nop · 05.11.08, 08:12

Zitat:

EXE Crypter

Bevor du einen frei erhälltlichen Packer verwendest, würde ich auf einschlägigen Boards (zur Not auch mit Google) nach UnPackern für eben deinen Packer suchen. Es bringt dir nämlich nix, wenn man deine gepackte exe mit 2 Klicks wieder entpacken kann.

Zitat:

Es sagt zwar nicht direkt dass hier ein Virus ist,

Naja, um bekannte Malware wieder zu stealthen, werden ab und an auch crypter verwendet. Diese erschweren 1. die analyse des Codes und 2. geht die Malware Definitions ID flöten. Daher haben die meisten AVs etwas gegen gecryptete Tools.Und Skriptkiddies greifen gerne auf freeware Produkte zurück.

boehmi · 05.11.08, 21:07

Zitat:

Original von 90nop
Daher haben die meisten AVs etwas gegen gecryptete Tools.

Also wird der Alarm bei kommerziellen Tools wohl auch ausbrechen?

Macht es Sinn den Execrypter selber zu schreiben?
Ich habe zwar absolut keinen Plan davon^^ aber das kann man ja ändern.

xblax · 05.11.08, 21:52

Kannst ja mal schauen ob auf dieser Wikipedia-Liste noch was findest:
http://de.wikipedia.org/wiki/Kompres...rogrammdateien

90nop · 06.11.08, 08:55

Zitat:

Also wird der Alarm bei kommerziellen Tools wohl auch ausbrechen?

Abgesehen davon dass diese manchmal auch als Warez rumgeistern, kommen die Kiddies nicht so einfach an die ran, daher werden sie weniger verwendet. Die Change ist so grösser, dass es keinen Fehlalarm gibt. Aber wenn gewisse code Stellen als bekannte crypto-funktionen erkennbar sind, wird das trotzdem die Heuristik anspringen lassen.

Zitat:

Macht es Sinn den Execrypter selber zu schreiben?
Ich habe zwar absolut keinen Plan davon^^ aber das kann man ja ändern.

Dazu must du gute asm Kentnisse und viel Erfahrung auf dem Gebiet haben. Das lernt man nicht so an 3 weekend's.

Wenn du deinen Crypter "nur für dich behällst" und dein Tool nicht allzubekannt ist, wird es wohl vor Kiddies sicher sein.

Aber evtl. gibt es einen anderen Weg dein Tool zu schützen, oder ein anderes Vertriebskonzept?

Anzeige

- Anzeige -

04.11.08, 21:05	#1 (permalink)
boehmi Registriert seit: 11.08.05 Likes: 0	EXE Crypter löst Virenalarm aus Anzeige Hallo, ich möchte ein selbst geschriebenes Tool schützen indem ich es crypte. Allerdings springt danach AntiVir an und meldet einen Heuritischen Treffer im Sinne von "Achtung - Verdächtig! Hier wurde gecrypted". Es sagt zwar nicht direkt dass hier ein Virus ist, und auch die Option "Löschen" steht nicht zur Verfügung... es empfiehlt nur in Quarantäne zu schieben und ihnen zur genaueren Analyse zu schicken. Aber die Meldung an sich sorgt ja schon für Misstrauen was die meisten abschreckt. Ich habe mehrere Tools ausprobiert, die Namen weiß ich jetzt leider nicht mehr, weil ich dass nur mal schnell nebenbei probiert habe ;) Kann mir da jemand helfen? Kennt wer ein Tool bei dem Antivir nicht anspringt? (Wie es bei anderen Scannern aussieht weiß ich nicht) Vielen Dank

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Crypter coden	Späßer	Code Kitchen	3	13.10.09 21:00
Wie funktioniert ein Crypter in C/C++?	st0rmy_w4ters	Code Kitchen	7	22.04.09 15:34
Java - Eclipse löst Funktionsparameter falsch auf	bitmuncher	Code Kitchen	9	12.08.08 14:06
Wie löst man crackMes?	Berserker	Hacks & Crackmes	5	16.03.06 20:38
Exe-Crypter	nuKin	(In)security allgemein	1	08.08.04 19:22

04.11.08, 21:41	#2 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Nimm einen kommerziellen Protector und am besten einen, der den Code virtualisiert, denn die sind afaik am schwersten zu Debuggen.

05.11.08, 21:52	#5 (permalink)
xblax Registriert seit: 23.03.05 Likes: 22	Kannst ja mal schauen ob auf dieser Wikipedia-Liste noch was findest: http://de.wikipedia.org/wiki/Kompres...rogrammdateien

[HaBo]

EXE Crypter löst Virenalarm aus