Armadillo |
Willkommen, Gast ( Anmelden | Registrierung )
Armadillo |
Gast_Nautilus_* |
21.11.2003, 08:28
Beitrag
#1
|
Gäste |
Armadillo ist ein kommerzieller Protector, mit dem man fast jeden Trojaner packen und crypten kann. Meines Wissens kann kein AV Scanner diesen Protector "durchleuchten", d.h. ein mit Armadillo geschützter Trojaner wird von Virenscannern nicht erkannt. (Ausnahme: McAfee, der hierfür aber unsichere Signaturen aus der .resc section verwendet und somit leicht ausgetrickst werden kann).
Im Moment kann man sich vor Armadillo somit nur mit Mem Scannern (z.B.: Trojan Hunter oder TDS-3) schützen. In diversen Ratboards wird Armadillo nunmehr empfohlen und gleichzeitig eine gecrackte Version zum Download angeboten. Ich finde es ziemlich merkwürdig, dass die AV Industrie es seit mehr als einem Jahr nicht schafft, eine statische Unpacking Routine für Armadillo zu entwickeln. Hatte Gladiator nicht in Bezug auf seinen GAV Armadillo-Unpacker bereits einen Entwicklungsstand von 85% vermeldet? ntl Der Beitrag wurde von Nautilus bearbeitet: 21.11.2003, 08:32 |
|
|
Gast_Andreas Haak_* |
14.12.2003, 23:16
Beitrag
#2
|
Gäste |
ZITAT(Nautilus @ 14. December 2003, 22:38) @Seltsam Wenn Du die Armadillo-Signatur anschaust, die ich bei Wilders gepostet habe, wirst Du sehen, dass sie Wildcards enthält. Vielleicht hilft das ja ein wenig ... Das meine ich nicht. Das Problem ist das Du eine Verschlüsselung nur dann statisch entschlüsseln kannst wenn die Verschlüsselung auch statisch ist. Ist sie polymorph kommst Du um Emulation nicht rum. Ich mag BP Scanning nicht - auch nicht in AT Software. Wie gesagt: Man kann damit aus JEDER AT Software nen Exploit basteln. Das Problem ist das Du prüfen müsstest ob ein Stub geändert wurde. Das wäre wirklich sicher nur bei statischen Stubs möglich. Aber nicht mal mehr der UPX Stub ist 100% statisch . Daher hast Du immer das Risiko da grade einen Exploit zu aktivieren beim Scannen. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 26.06.2024, 23:15 |