[HaBo]

Skyliner · 28.02.04, 18:20

Hi,

hab mal ne Frage: Wie kann man z.b. eine .ini so abänder, das Norton oder nen AV proggi sie nicht mehr erkennt und einsackt??

Thx schonmal

28.02.04, 19:05

@Skyliner

Klaro, AV-Software arbeitet nach dem Prinzip der Erkennung bestimmter heurestischer
Signatur. D.h.

Zitat:

zitat
Die Heuristik arbeitet nach dem Prinzip, daß Viren normalerweise bestimmte "Tricks"
oder Infektionsmethoden verwenden, und wenn ein Programm danach aussieht als
benutze es solche Tricks, dann besteht die Möglichkeit, daß dieses Programm ein
Virus ist.

Wenn Du nun die Abfolge der Bytes in der Datei änderst, sodass Sie nicht mehr der
Signatur entspricht, dann wird sie auch nicht erkannt, die Frage ist nur, ob der
"Virus" dann noch arbeitet??! :-)

MfG Rushjo

Anzeige

- Anzeige -

Skyliner · 28.02.04, 23:12

Zitat:

Wenn Du nun die Abfolge der Bytes in der Datei änderst, sodass Sie nicht mehr der

Wie kann man die denn ändern?

29.02.04, 09:35

Hab zwar keine Ahnung von sowas, aber ich würde mal auf Hex-Editor tippen.
Sorry falls ich vollkommend falsch liege.

29.02.04, 10:48

@TimeShock

Also, so ein Virus ist auch nichts anderes als eine Abfolge von "computer befehlen",
egal ob nun in Assembler gecodet oder wie die meisten "modernen Würmer" in
C/C++. Wenn Du nun mit einem Hex-Editor einfach den Source änderst, haste
eine gute Chance, dass hinter ganz nichts mehr funktioniert. Das Einzige, was
wirklich Sinn macht, ist die bekannte Datei-Signatur durch "neu schreiben"; Einfügen
von "source bestandteilen", die zwar kompilt werden, aber keine Funktion haben;
oder komprimieren, z.B. mit upx, asp etc., verändern. Nur dafür sollte man,
erstens wissen, was man da macht und zweitens den "source" der Virus besitzen.

Anmerkung am Rande: Meinen Erkenntnissen nach, ist das "reine Programmieren"
eines Virus nicht strafbar, ABER die Verbreitung, egal ob gewollt oder aus
Versehen. Das Ganze nennt sich dann vor Gericht: Computer Sabotage.

MfG Rushjo

Skyliner · 29.02.04, 11:29

Also es handelt sich genau zu sein um die ServU.ini die wird immer von Norton bei mir erkannt....deswegen möcht ich wissen wie man diese .ini verändern muss, dass Norton sie nich mehr erkennt

29.02.04, 11:29

@Rushjo
Aber rein theoretisch könnte es klappen oder liege ich da falsch?

29.02.04, 12:06

@TimeShock

Rein theoretisch, wenn Du zum Beispiels nur "NOP" einfügst, ja. Aber nur unter
der Bedingung, das Du nicht gerade einen Befehl auseinander "pflückst".

@Skyline

Soweit ich weiss, werden aktuelle "servu.ini's" nicht als "virus" erkannt. Sondern
nur ältere wie Servu2.5 etc. Ausserdem kannst Du Deinem "AV" auch sagen, er soll
sie nicht weiter beachten, d.h. von der Suche ausschliessen. Ich würde Dir nach
diesem Postings hier und auch diesem hier so oder so nur noch zum Einsatz
von Versionen höher als ServU 5.0.3. Die werden soweit ich weiss auch nicht als
"Virus" erkannt.

MfG Rushjo

Raptor · 29.02.04, 13:07

Zitat:

Original von Skyliner

Zitat:

Wenn Du nun die Abfolge der Bytes in der Datei änderst, sodass Sie nicht mehr der

Wie kann man die denn ändern?

Fuer einen solchen Zweck gibt es Decompiler.
Damit kannst du deine Datei dekompilieren.
Jedoch erhaelst du als Produkt dann nicht z.B. einen Code in c++, sondern in assembler.
Diesen kannst du dann ggf. manipulieren

5pike · 29.02.04, 23:41

Man könnte die Datei mit UPX Packen. Da wird die Datei gepackt und erst beim ausführen im Speicher kommt der richtige code zum vorschein. Aber ich glaube das ist mehr arbeit als wenn du ne neue version installierst.

methmx · 12.07.04, 17:52

benutz einfach AVDevil - das proggi sucht die offsets der datei die du undetected haben willst, wenn du sie gefunden hast öffnest du die datei mit nem hexeditor und suchst nach dem offset- wenn du es gefunden hast musst du nur ein byte abändern, aber so das die datei auch noch funzt.

wer das proggi braucht- bitte einfach ne kleine pm

mfg methmx

Anzeige

- Anzeige -

28.02.04, 18:20	#1 (permalink)
Skyliner Registriert seit: 25.02.04 Likes: 0	Files für AV undetectet machen Anzeige Hi, hab mal ne Frage: Wie kann man z.b. eine .ini so abänder, das Norton oder nen AV proggi sie nicht mehr erkennt und einsackt?? Thx schonmal

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
TAR-Files	doeme89	Code Kitchen	3	21.03.07 13:08
Löschen der Files!	Bruno1983	Internet Allgemein	3	08.02.04 20:15
Bob files!	Marc98	Downloads	13	19.12.03 20:48
aol passwort files	FASTer	Cryptography & Encryption	12	30.11.03 20:26
*.ram files O.o	darktemplar	Windows	2	24.10.03 22:07

29.02.04, 09:35	#4 (permalink)
gelöscht Guest Likes:	Hab zwar keine Ahnung von sowas, aber ich würde mal auf Hex-Editor tippen. Sorry falls ich vollkommend falsch liege.

29.02.04, 10:48	#5 (permalink)
Rushjo Guest Likes:	@TimeShock Also, so ein Virus ist auch nichts anderes als eine Abfolge von "computer befehlen", egal ob nun in Assembler gecodet oder wie die meisten "modernen Würmer" in C/C++. Wenn Du nun mit einem Hex-Editor einfach den Source änderst, haste eine gute Chance, dass hinter ganz nichts mehr funktioniert. Das Einzige, was wirklich Sinn macht, ist die bekannte Datei-Signatur durch "neu schreiben"; Einfügen von "source bestandteilen", die zwar kompilt werden, aber keine Funktion haben; oder komprimieren, z.B. mit upx, asp etc., verändern. Nur dafür sollte man, erstens wissen, was man da macht und zweitens den "source" der Virus besitzen. Anmerkung am Rande: Meinen Erkenntnissen nach, ist das "reine Programmieren" eines Virus nicht strafbar, ABER die Verbreitung, egal ob gewollt oder aus Versehen. Das Ganze nennt sich dann vor Gericht: Computer Sabotage. MfG Rushjo

29.02.04, 11:29	#6 (permalink)
Skyliner Themenstarter Registriert seit: 25.02.04 Likes: 0	Also es handelt sich genau zu sein um die ServU.ini die wird immer von Norton bei mir erkannt....deswegen möcht ich wissen wie man diese .ini verändern muss, dass Norton sie nich mehr erkennt

29.02.04, 11:29	#7 (permalink)
gelöscht Guest Likes:	@Rushjo Aber rein theoretisch könnte es klappen oder liege ich da falsch?

29.02.04, 12:06	#8 (permalink)
Rushjo Guest Likes:	@TimeShock Rein theoretisch, wenn Du zum Beispiels nur "NOP" einfügst, ja. Aber nur unter der Bedingung, das Du nicht gerade einen Befehl auseinander "pflückst". @Skyline Soweit ich weiss, werden aktuelle "servu.ini's" nicht als "virus" erkannt. Sondern nur ältere wie Servu2.5 etc. Ausserdem kannst Du Deinem "AV" auch sagen, er soll sie nicht weiter beachten, d.h. von der Suche ausschliessen. Ich würde Dir nach diesem Postings hier und auch diesem hier so oder so nur noch zum Einsatz von Versionen höher als ServU 5.0.3. Die werden soweit ich weiss auch nicht als "Virus" erkannt. MfG Rushjo

29.02.04, 23:41	#10 (permalink)
5pike Registriert seit: 19.02.04 Likes: 0	Man könnte die Datei mit UPX Packen. Da wird die Datei gepackt und erst beim ausführen im Speicher kommt der richtige code zum vorschein. Aber ich glaube das ist mehr arbeit als wenn du ne neue version installierst.

12.07.04, 17:52	#11 (permalink)
methmx Registriert seit: 12.07.04 Likes: 0	benutz einfach AVDevil - das proggi sucht die offsets der datei die du undetected haben willst, wenn du sie gefunden hast öffnest du die datei mit nem hexeditor und suchst nach dem offset- wenn du es gefunden hast musst du nur ein byte abändern, aber so das die datei auch noch funzt. wer das proggi braucht- bitte einfach ne kleine pm mfg methmx

[HaBo]

Files für AV undetectet machen