![[HaBo]](/styles/default/logoklein.png){kind=small}
Files für AV undetectet machen
- Themenstarter Skyliner
- Beginndatum
R
Rushjo
Guest
@Skyliner
Klaro, AV-Software arbeitet nach dem Prinzip der Erkennung bestimmter heurestischer
Signatur. D.h.
Wenn Du nun die Abfolge der Bytes in der Datei änderst, sodass Sie nicht mehr der
Signatur entspricht, dann wird sie auch nicht erkannt, die Frage ist nur, ob der
"Virus" dann noch arbeitet??!
MfG Rushjo
Klaro, AV-Software arbeitet nach dem Prinzip der Erkennung bestimmter heurestischer
Signatur. D.h.
Wenn Du nun die Abfolge der Bytes in der Datei änderst, sodass Sie nicht mehr der
Signatur entspricht, dann wird sie auch nicht erkannt, die Frage ist nur, ob der
"Virus" dann noch arbeitet??!
MfG Rushjo
G
gelöscht
Guest
Hab zwar keine Ahnung von sowas, aber ich würde mal auf Hex-Editor tippen.
Sorry falls ich vollkommend falsch liege.
Sorry falls ich vollkommend falsch liege.
R
Rushjo
Guest
@TimeShock
Also, so ein Virus ist auch nichts anderes als eine Abfolge von "computer befehlen",
egal ob nun in Assembler gecodet oder wie die meisten "modernen Würmer" in
C/C++. Wenn Du nun mit einem Hex-Editor einfach den Source änderst, haste
eine gute Chance, dass hinter ganz nichts mehr funktioniert. Das Einzige, was
wirklich Sinn macht, ist die bekannte Datei-Signatur durch "neu schreiben"; Einfügen
von "source bestandteilen", die zwar kompilt werden, aber keine Funktion haben;
oder komprimieren, z.B. mit upx, asp etc., verändern. Nur dafür sollte man,
erstens wissen, was man da macht und zweitens den "source" der Virus besitzen.
Anmerkung am Rande: Meinen Erkenntnissen nach, ist das "reine Programmieren"
eines Virus nicht strafbar, ABER die Verbreitung, egal ob gewollt oder aus
Versehen. Das Ganze nennt sich dann vor Gericht: Computer Sabotage.
MfG Rushjo
Also, so ein Virus ist auch nichts anderes als eine Abfolge von "computer befehlen",
egal ob nun in Assembler gecodet oder wie die meisten "modernen Würmer" in
C/C++. Wenn Du nun mit einem Hex-Editor einfach den Source änderst, haste
eine gute Chance, dass hinter ganz nichts mehr funktioniert. Das Einzige, was
wirklich Sinn macht, ist die bekannte Datei-Signatur durch "neu schreiben"; Einfügen
von "source bestandteilen", die zwar kompilt werden, aber keine Funktion haben;
oder komprimieren, z.B. mit upx, asp etc., verändern. Nur dafür sollte man,
erstens wissen, was man da macht und zweitens den "source" der Virus besitzen.
Anmerkung am Rande: Meinen Erkenntnissen nach, ist das "reine Programmieren"
eines Virus nicht strafbar, ABER die Verbreitung, egal ob gewollt oder aus
Versehen. Das Ganze nennt sich dann vor Gericht: Computer Sabotage.
MfG Rushjo
G
gelöscht
Guest
@Rushjo
Aber rein theoretisch könnte es klappen oder liege ich da falsch?
Aber rein theoretisch könnte es klappen oder liege ich da falsch?
R
Rushjo
Guest
@TimeShock
Rein theoretisch, wenn Du zum Beispiels nur "NOP" einfügst, ja. Aber nur unter
der Bedingung, das Du nicht gerade einen Befehl auseinander "pflückst".
@Skyline
Soweit ich weiss, werden aktuelle "servu.ini's" nicht als "virus" erkannt. Sondern
nur ältere wie Servu2.5 etc. Ausserdem kannst Du Deinem "AV" auch sagen, er soll
sie nicht weiter beachten, d.h. von der Suche ausschliessen. Ich würde Dir nach
diesem Postings hier und auch diesem hier so oder so nur noch zum Einsatz
von Versionen höher als ServU 5.0.3. Die werden soweit ich weiss auch nicht als
"Virus" erkannt.
MfG Rushjo
Rein theoretisch, wenn Du zum Beispiels nur "NOP" einfügst, ja. Aber nur unter
der Bedingung, das Du nicht gerade einen Befehl auseinander "pflückst".
@Skyline
Soweit ich weiss, werden aktuelle "servu.ini's" nicht als "virus" erkannt. Sondern
nur ältere wie Servu2.5 etc. Ausserdem kannst Du Deinem "AV" auch sagen, er soll
sie nicht weiter beachten, d.h. von der Suche ausschliessen. Ich würde Dir nach
diesem Postings hier und auch diesem hier so oder so nur noch zum Einsatz
von Versionen höher als ServU 5.0.3. Die werden soweit ich weiss auch nicht als
"Virus" erkannt.
MfG Rushjo
benutz einfach AVDevil - das proggi sucht die offsets der datei die du undetected haben willst, wenn du sie gefunden hast öffnest du die datei mit nem hexeditor und suchst nach dem offset- wenn du es gefunden hast musst du nur ein byte abändern, aber so das die datei auch noch funzt.
wer das proggi braucht- bitte einfach ne kleine pm
mfg methmx
wer das proggi braucht- bitte einfach ne kleine pm
mfg methmx