![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_Nautilus_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
![]() |
Gast_Andreas Haak_* |
![]()
Beitrag
#2
|
Gäste ![]() |
ZITAT(forge77 @ 21. November 2003, 22:41) Wo zieht man die Grenze zwischen Emulation und Sandbox? Laut Norman basiert ihre Sandbox ja auf Emulation... was hat also eine richtge Sandbox "mehr" als eine einfache Emulation? Die Übergänge sind fließend, keine Frage, und egal was ich sage da werden jetzt garantiert mehrere widersprechen. Allerdings ist auch die von Norman keine wirkliche Sandbox in meinen Augen. Allerdings bezeichnet Norman sie ja als solche, daher lasse ich den Begriff einfach mal ![]() Der Unterschied ist imho aber folgender: Eine Sandbox legt ja letztlich nur einen Protection Layer um das Programm herum und filtert Zugriffe auf die APIs bzw. die Service Handler. Die eigentlichen Aktionen werden aber von realer Hardware und Software ausgeführt. Die Sandbox reicht sie ja einfach nach Prüfung an das Betriebssystem weiter. Daher ist eine Sandbox letztlich plattformabhängig ![]() Bei einer Emulation ist dies nicht der Fall. Zugriffe auf APIs und auch auf die Hardware werden vom Emulator simuliert und nicht einfach nur gefiltert weitergereicht. Damit ist ein Emulator grundsätzlich Plattformunabhängig. Bedeutet: Windows Dateien können problemlos in Linux emuliert werden und umgekehrt. PS: NOD32 v2 ist nur Emu ![]() Der Beitrag wurde von Andreas Haak bearbeitet: 21.11.2003, 22:55 |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 29.06.2024, 20:25 |