Armadillo |
Willkommen, Gast ( Anmelden | Registrierung )
Armadillo |
Gast_Nautilus_* |
21.11.2003, 08:28
Beitrag
#1
|
Gäste |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
21.11.2003, 22:42
Beitrag
#2
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
ZITAT Irgendwie hab ich den Eindruck, dass in letzter Zeit alle (nicht nur Du) immer miesmuffeliger, agressiver und/oder paranoider werden. Muss am Wetter liegen... ZITAT Man müsste dort quasi den kompletten Kernel Mode emulieren - zu aufwendig für einen Packer. Und das würde auch eher in den Bereich Sandbox Scanning gehen. Kannst ja mal bei Norman anfragen . Wo zieht man die Grenze zwischen Emulation und Sandbox? Laut Norman basiert ihre Sandbox ja auf Emulation... was hat also eine 'richtge' Sandbox zusätzlich zur Emulation? Ist die AH von Nod32 2 "nur" Emulator oder "schon" Sandbox...? Oder ist es ganz anders...? Der Beitrag wurde von forge77 bearbeitet: 21.11.2003, 22:43 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 01.08.2024, 09:06 |