EXE Crypter löst Virenalarm aus

boehmi

New member
Hallo,

ich möchte ein selbst geschriebenes Tool schützen indem ich es crypte.
Allerdings springt danach AntiVir an und meldet einen Heuritischen Treffer im Sinne von "Achtung - Verdächtig! Hier wurde gecrypted".

Es sagt zwar nicht direkt dass hier ein Virus ist, und auch die Option "Löschen" steht nicht zur Verfügung... es empfiehlt nur in Quarantäne zu schieben und ihnen zur genaueren Analyse zu schicken.
Aber die Meldung an sich sorgt ja schon für Misstrauen was die meisten abschreckt.

Ich habe mehrere Tools ausprobiert, die Namen weiß ich jetzt leider nicht mehr, weil ich dass nur mal schnell nebenbei probiert habe ;)

Kann mir da jemand helfen?
Kennt wer ein Tool bei dem Antivir nicht anspringt? (Wie es bei anderen Scannern aussieht weiß ich nicht)


Vielen Dank
 

xrayn

New member
Nimm einen kommerziellen Protector und am besten einen, der den Code virtualisiert, denn die sind afaik am schwersten zu Debuggen.
 

90nop

New member
Bevor du einen frei erhälltlichen Packer verwendest, würde ich auf einschlägigen Boards (zur Not auch mit Google) nach UnPackern für eben deinen Packer suchen. Es bringt dir nämlich nix, wenn man deine gepackte exe mit 2 Klicks wieder entpacken kann.

Es sagt zwar nicht direkt dass hier ein Virus ist,
Naja, um bekannte Malware wieder zu stealthen, werden ab und an auch crypter verwendet. Diese erschweren 1. die analyse des Codes und 2. geht die Malware Definitions ID flöten. Daher haben die meisten AVs etwas gegen gecryptete Tools.Und Skriptkiddies greifen gerne auf freeware Produkte zurück.
 

boehmi

New member
Original von 90nop
Daher haben die meisten AVs etwas gegen gecryptete Tools.
Also wird der Alarm bei kommerziellen Tools wohl auch ausbrechen?

Macht es Sinn den Execrypter selber zu schreiben?
Ich habe zwar absolut keinen Plan davon^^ aber das kann man ja ändern.
 

90nop

New member
Also wird der Alarm bei kommerziellen Tools wohl auch ausbrechen?
Abgesehen davon dass diese manchmal auch als Warez rumgeistern, kommen die Kiddies nicht so einfach an die ran, daher werden sie weniger verwendet. Die Change ist so grösser, dass es keinen Fehlalarm gibt. Aber wenn gewisse code Stellen als bekannte crypto-funktionen erkennbar sind, wird das trotzdem die Heuristik anspringen lassen.

Macht es Sinn den Execrypter selber zu schreiben?
Ich habe zwar absolut keinen Plan davon^^ aber das kann man ja ändern.
Dazu must du gute asm Kentnisse und viel Erfahrung auf dem Gebiet haben. Das lernt man nicht so an 3 weekend's.

Wenn du deinen Crypter "nur für dich behällst" und dein Tool nicht allzubekannt ist, wird es wohl vor Kiddies sicher sein.

Aber evtl. gibt es einen anderen Weg dein Tool zu schützen, oder ein anderes Vertriebskonzept?
 
Oben