nicht angemeldet
Virusprogrammierung
Hi,
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
Ich stelle mir das so vor, dass der Virus aus mdst. zwei Codebloecken besteht, wobei der eine fuer die Ent- und Verschluesselung des "Aktionscodes" bereitsteht, waehrend der "Aktionscode" dann u.a. seine Weitervermehrung betreibt.
Der Ent- und Verschluesselungscode muesste sich ebenfalls jeweils leicht modifizieren, so dass Muster nicht entstehen.
Primitives Leben soz. - Geht so etwas?
Gruss,
Lude
-
Hi,
hihi,
Primitives Leben soz. - Geht so etwas?
selbst wenn ich es wüste , würde ich es dir nicht sagen *g*
Gruss,
Ludesafety first ;-)
susi
-
hi
Primitives Leben soz. - Geht so etwas?
irgendwie bestimmt.
so long
ole
(8-)> -
Wo wir gerade dabei sind, wie plane ich am besten einen Banküberfall?
-
Mein Nachbar schuldet mir noch Geld!!!!
Wo bekommt man eine Panzerfaust her?
-
-
Hi,
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
Ich stelle mir das so vor, dass der Virus aus mdst. zwei Codebloecken besteht, wobei der eine fuer die Ent- und Verschluesselung des "Aktionscodes" bereitsteht, waehrend der "Aktionscode" dann u.a. seine Weitervermehrung betreibt.
Geht!
Ohne Probleme sogar!
Zu Deinen Studien ich hab zwar allen möglichen Quatsch gefunden (sogar ne Studie über die Möglichkeiten des Vertriebes von Staubsaugern im Internet) aber nichts zum Thema Hardware bzw. Leasing.Sorry :-)
Tom
-
Hi
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
Ja klar, kann man das, wenn man sich nen Code selber ausdenkt...und keine "registrierten" Codeblöcke verwendet.
Ich empfehle aber auf jeden Fall ASM.
"Black Book of Computer Viruses is copyright 1996 by Mark A. Ludwig"
würde ich unbedingt lesen, da man wenn man weiss wie, auch ASM Viren übers Netz verbreiten kann.Da ich aber nicht vollkommen dämlich bin, werde ich niemals in einem Forum erzählen, wie das geht, das ist nämlich eine strafbare Handlung und wird geandet...
Viele Grüsse, Black-ASM-Coder
Ich stelle mir das so vor, dass der Virus aus mdst. zwei Codebloecken besteht, wobei der eine fuer die Ent- und Verschluesselung des "Aktionscodes" bereitsteht, waehrend der "Aktionscode" dann u.a. seine Weitervermehrung betreibt.
Der Ent- und Verschluesselungscode muesste sich ebenfalls jeweils leicht modifizieren, so dass Muster nicht entstehen.
Primitives Leben soz. - Geht so etwas?
Gruss,
Lude -
hi,
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
das dürfte der virus was nicht haben? genau, ein erkennbares muster.
Der Ent- und Verschluesselungscode muesste sich ebenfalls jeweils leicht modifizieren, so dass Muster nicht entstehen.
dazu reicht eine _leichte_ selbst-modifizierung aber nicht aus.
gute virenscanner sind in der lage, code auch auf _ähnlichkeit_ mit dem vorgegebenen muster zu prüfen, stichwort "heuristik".es gab allerdings schon diverse viren, die versucht haben, so etwas umzusetzen.
gruss,
wahsaga -
Hi Lude
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
Mit Sicherheit, das wir uns wöchentlich demonstriert. Die Muster werden immer erst nach den Viren bekannt.
Ich stelle mir das so vor, dass der Virus aus mdst. zwei Codebloecken besteht, wobei der eine fuer die Ent- und Verschluesselung des "Aktionscodes" bereitsteht, waehrend der "Aktionscode" dann u.a. seine Weitervermehrung betreibt.
Hm... IMHO sollte ein Virus noch eine Routine enthalten, die Schaden anrichtet. Ansonsten würde man das ganze AFAIK Wurm nennen.
Der Ent- und Verschluesselungscode muesste sich ebenfalls jeweils leicht modifizieren, so dass Muster nicht entstehen.
Gänzliches Verhindern von Mustern stelle ich mir ziemlich schwer vor. So ein Virus wäre wohl gegen jeden Scanner resistent.
Im Internet findest du bestimmt Analysen oder zumindest den Quelltext von mehr und weniger erfolgreichen Viren. Google ist dein Freund.MfG
Tom2
--
SELF-Code: (http://emmanuel.dammerer.at/selfcode.html)
ss:| zu:) ls:& fo:) de:] va:) ch:] sh:( n4:& rl:° br:> js:| ie:% fl:( mo:}-
Hi,
kann man einen Virus programmieren, der nicht von Virenscannern anhand eines Musters erkannt werden kann?
Mit Sicherheit, das wir uns wöchentlich demonstriert. Die Muster werden immer erst nach den Viren bekannt.
ich meinte natuerlich einen Virus, und ich zitiere mich selbst, der "nicht von Virenscannern anhand eines Musters erkannt werden kann". Also kein Muster liefert; das war ja die Aufgabenstellung.
Hm... IMHO sollte ein Virus noch eine Routine enthalten, die Schaden anrichtet. Ansonsten würde man das ganze AFAIK Wurm nennen.
Ich wollte einen Gutvirus, der die Menschheit weiterbringt, entwickeln. ;-)
Gruss,
Lude-
Hi
ich meinte natuerlich einen Virus, und ich zitiere mich selbst, der "nicht von Virenscannern anhand eines Musters erkannt werden kann". Also kein Muster liefert; das war ja die Aufgabenstellung.
Versuche mal ein Programm zu schreiben, dass bei jedem Start ein Programm mit derselben Funktion generiert, aber jedes mal auf einem anderen Algorithmus basiert... klingt irgendwie paradox. Ich kann mir momentan nicht vorstellen, wie das möglich sein soll, aber ich werde mir mal den Kopf zerbrechen...
Ich wollte einen Gutvirus, der die Menschheit weiterbringt, entwickeln. ;-)
Weiss ich doch. Aber das wird nicht funktionieren, da man Gutviren am 'format c:\ | echo j' erkennt ;-)
MfG
Tom2
--
SELF-Code: (http://emmanuel.dammerer.at/selfcode.html)
ss:| zu:) ls:& fo:) de:] va:) ch:] sh:( n4:& rl:° br:> js:| ie:% fl:( mo:} -
Holladiewaldfee,
ich meinte natuerlich einen Virus, und ich zitiere mich selbst, der "nicht von Virenscannern anhand eines Musters erkannt werden kann". Also kein Muster liefert; das war ja die Aufgabenstellung.
Es gibt durchaus Viren, die ständig ihre Form wechseln und somit kaum über Muster erkannt werden können. Damals, zu DOS und Win95 Zeiten waren das die sog. Stealth-Viren. Heute gibt's ja aber eigentlich nur noch Würmer, die Sicherheitslöcher nutzen - einen "klassischen" Virus, der ernsthaft Verbreitung erlangt hätte habe ich schon lange nicht mehr gesehen.
Ich wollte einen Gutvirus, der die Menschheit weiterbringt, entwickeln. ;-)
Bedenke, daß jemand Deinen Virus trotzdem entdecken könnte und ihn mit einer Schadensroutine ausstattet. Dank Deiner genialen Routine, auf die kein Virenscanner anspricht, wird dann ein kaum zu entdeckender Schädling die Runde durch's Netz machen. Willst Du das wirklich.
Und vor allem: Kannst Du der Versuchung widerstehen, den Virus auch für Deine Zwecke - wie immer die aussehen mögen - einzusetzen?
Ciao,
Harry
-
Moin,
Es gibt durchaus Viren, die ständig ihre Form wechseln und somit kaum über Muster erkannt werden können. Damals, zu DOS und Win95 Zeiten waren das die sog. Stealth-Viren.
Nack, du meinst Polymorphe Viren. Stealth ist noch was anderes, nämlich wenn man versucht sich der Entdeckung durch Virenscanner zu entziehen, zum Beispiel indem man deren Zugriffe umbiegt, oder jede Datei einfach vor dem Scannen desinfiziert und anschließend reinfiziert, etc.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Holladiewaldfee,
Nack, du meinst Polymorphe Viren. Stealth ist noch was anderes, nämlich wenn man versucht sich der Entdeckung durch Virenscanner zu entziehen, zum Beispiel indem man deren Zugriffe umbiegt, oder jede Datei einfach vor dem Scannen desinfiziert und anschließend reinfiziert, etc.
Äh ja, verwechselt.
Ich hatte schon bei Schreiben den Verdacht, daß es nicht ganz gestimmt hat, aber nachdem mir ums Verrecken nicht eingefallen ist, wie die Dinger sonst noch gehießen haben könnten hab ich mich dann halt dafür entschieden, daß "Stealth" wohl doch richtig ist ... Dem war wohl nicht so. Danke.Ciao,
Harry
-
-
-
-
-
Hi,
nimms mir nicht uebel... aber ich bezeifel jetzt mal, dass du den virus aus reinen interesse programmieren willst...
ne, sorry... da glaub ich musst dich auf ein bisschen weniger serioesen seiten umschaun...mfg
-WebViper---
ss:| zu:] ls:/ fo:) de:> va:) ch:| sh:} n4:) rl:° br:& js:| ie:| fl:) mo:|
Linux - life is too short for reboots!
This is unix land.
In quiet nights you can hear windows machines reboot. -
Sup!
Klar geht das, Du musst nur einen Virus schreiben, der einen eigenen Compiler enthaelt, der den Virus samt eigenem Compiler immer wieder anders kompilieren kann - damit koenntest Du einen erstklassigen Virus herstellen, der sich ueber Disketten verbreitet oder sich an Programme anhaengt.
Aber diese Zeiten sind vorbei, die Leute tauschen keine Programme mehr, die laden Programme aus dem Netz runter, und darum denke ich, es waere den Aufwand nicht wert, sowas zu schreiben, es sei denn, Dein Virus koennte es schaffen, sich irgendwie auf eine bekannte Downloadseite zu schmuggeln.
Vielleicht faengst Du mit einem Skript-Virus an, der eine der ungepatchten IE-Luecken ausnutzt ;-)
Gruesse,
Bio
--
Elite ist mein zweiter Vorname-
Hi,
Klar geht das, Du musst nur einen Virus schreiben, der einen eigenen Compiler enthaelt, der den Virus samt eigenem Compiler immer wieder anders kompilieren kann - damit koenntest Du einen erstklassigen Virus herstellen, der sich ueber Disketten verbreitet oder sich an Programme anhaengt.
naja, der Compliler muesste aber auch immer wieder modifiziert werden. - Aber Du hast meine Idee erkannt. Ich will den perfekten "MS-Virus", den alle lieb haben.
Aber diese Zeiten sind vorbei, die Leute tauschen keine Programme mehr, die laden Programme aus dem Netz runter, und darum denke ich, es waere den Aufwand nicht wert, sowas zu schreiben, es sei denn, Dein Virus koennte es schaffen, sich irgendwie auf eine bekannte Downloadseite zu schmuggeln.
(In jedem Firmen-LAN haette unser kleiner Freund aber noch viel Spass). Allerdings interessiert mich eigentlich primaer, ob es den von mir skizzierten optimalen Virus (Du darfst ihn auch Wurm nennen) gibt bzw. _geben kann_.
Gruss,
Lude-
Moin,
Allerdings interessiert mich eigentlich primaer, ob es den von mir skizzierten optimalen Virus (Du darfst ihn auch Wurm nennen) gibt bzw. _geben kann_.
Mal kurz überlegen ... nein. Damit dein Virus prinzipiell nicht von einem signaturbasierten Scanner erkannt werden kann, darf es keine Signatur für ihn geben, d.h. jede Kopie müsste anders aussehen, d.h. es müsste unendlich viele Variationen geben. Der Speicher eines handelsüblichen PCs ist aber begrenzt, es gibt also auch nur eine endliche Anzahl an Programmen die auf so einem Rechner gespeichert werden können, folglich können auch nur endlich viele Variationen deines Virus' existieren die auf einem PC laufen, und die könnte man einfach in die Signatur packen.
</milchmädchenrechnung>
BTW: Übrigens kann man auch beweisen, dass Virenscanner prinzipiell nicht funktionieren können, Stichwort Satz von Rice
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Holladiewaldfee,
Der Speicher eines handelsüblichen PCs ist aber begrenzt, es gibt also auch nur eine endliche Anzahl an Programmen die auf so einem Rechner gespeichert werden können, folglich können auch nur endlich viele Variationen deines Virus' existieren die auf einem PC laufen, und die könnte man einfach in die Signatur packen.
... die ebenfalls begrenzt ist durch die Speicherkapazität. Sprich: Schafft es der Virus, vor dem Scanner mehr als die Hälfte des Speichers zu belegen, schaut der Scanner in die Röhre ;)
Ciao,
Harry
-
Sup!
Mal kurz überlegen ... nein. Damit dein Virus prinzipiell nicht von einem signaturbasierten Scanner erkannt werden kann, darf es keine Signatur für ihn geben, d.h. jede Kopie müsste anders aussehen, d.h. es müsste unendlich viele Variationen geben.
Okay, unendlich viele Variationen... das wird schwierig.
Aber wenn der Virus den Sourcecode von sich selbst hätte (mit Virusverbreitungsroutine, Compiler, Verschlüsselungsprogramm, Zufallsgenerator drin), dann könnte er sich immer neu kompilieren, und den Sourcecode mit immer neuen Schlüsseln verschlüsseln, so dass er nie gleich aussieht, und den Schlüssel an an einer zufälligen Stelle in seinen eigenen Code einbauen, so dass der Virenscanner theoretisch alle Programmstellen mit allen Programmstellen zu entschlüsseln versuchen müsste, um rauszufinden, ob sich hinter einem Datenhaufen der Virus verbirgt. Das kompilieren würde ebenfalls abhängig von dem Schlüssel funktionieren; im x86 Befehlssatz gibt es soviele äquivalente Befehle und Befehlsfolgen, dass es kein grosses Problem sein sollte, unglaublich viele Varianten des kompilierten Virus zu erzeugen. Statt einem add #3 kann man auch ein sub #-3 machen, oder statt normalen Befehlen FPU, MMX oder SSE Befehle verwenden. Wünschen wir also Lude viel Erfolg... beim Self-Virus basteln... ich seh's schon bei Slashdot: "Mad german hacker codes the perfect virus - billions of x86 machines infected since last friday - no working virus removal tool or scanner available yet..." ;-)Gruesse,
Bio
--
Elite ist mein zweiter Vorname
-
-
-