#1 27. Juli 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 Um was geht es allgemein? Mit diesem Projekt möchte ich zunächst einmal die ganzen Scriptkiddies bekämpfen, die meinen sie wären die Könige mit ihren Trojaner-Baukasten, Passwort Stealern und sonstigen Schädlingen mit denen sie nichts ahnende User abziehen. Aber das ist nur ein Ziel. Ein weiteres Ziel wäre die Leute zu bekämpfen die diesen Dreck programmieren. Ansich kann ja jeder programmieren was er will, ich habe eigentlich auch nichts dagegen wenn jemand z.B. einen Trojaner programmiert. Das schlimme an den meisten sachen ist aber das 90% der Malware-Programmierer diese Tools als private Version verkaufen und damit viel Geld scheffeln. Die Scriptkiddies, die sich das zeug kaufen freuen sich natürlich auch und denen macht es nichts aus dafür Geld zu zahlen, den gewöhnlich können dann Antivirenprogramme nichts mehr dagegen ausrichten und wenn sie einigermaßen schlau sind machen sie die Beute wieder zu Geld (z.B. Verkauf von Accounts?). Mir geht es hier also auch nicht um Viren/Würmer, den dagegen schützt ein Antivirenprogramm viel besser und von dem Zeug gibt es viel zu viel. Wie kann man sowas bekämpfen? - Durch Programme, Scripte und Tutorials für User die davon nicht viel Ahnung haben. - private (gekaufte) "Baukasten" Schädlinge veröffentlichen bzw. an AV Hersteller senden Genauer? Das wichtigste wäre zunächst einmal ein Tool zu erstellen, das solche Schädlinge erkennen kann. So ein Tool wäre perfekt für User die sich nicht damit auskennen und auf Antivirenprogramme kann man sich heutzutage nichtmehr richtig verlassen. Man könnte sowas selber programmieren oder einfacher: man erstellt eine userdb.txt für PEiD. Hier mal ein Beispiel: https://www.xup.in/pic,49599925/bsp.jpg Das nächste wäre Tutorials. Malware analysieren, Malware erkennen, etc. etc. Und zum Schluss: Programme/Scripte die helfen beim Analysieren der Malware. Beispiel: Die meisten Crypter die zum "stealthen" von Malware eingesetzt werden bieten besonders tolle Funktionen wie: VMware/Sandbox Erkennung, d.h. wenn das Programm erkennt das es in einer VM läuft, startet es einfach nicht. User ohne Reversing Erfahrung, die testen wollen ob das programm wirklich schädlich ist, stehen hier schon vor einem großen problem. Lösungsmöglichkeiten wären hier z.B. Patcher, Ollydbg Script, Programm das den schädling komplett analysiert, etc. Welche User werden für das Projekt gebraucht? - User mit programmiererfahrung, egal welche Programmiersprache - User die zumindenst mal Grundwissen im Reverse Engineering haben - User die private Tools besorgen können, egal wie. Geht wahrscheinlich nur Undercover Es wäre echt sehr schön wenn viele Leute Interesse an diesem Projekt hätten und mithelfen, vielleicht werden wir auch mal berühmt Zumindenst mal in der Underground Scene könnten wir schnell gefürchtet sein Ich weiss auch noch nicht ob wirklich alles so gut realisierbar ist wie ich es mir gerade vorstelle, aber man sollte es mal probieren hier mal ein kleines forum: http://anti-malware.6x.to + Multi-Zitat Zitieren
#2 27. Juli 2008 AW: Anti-Malware Projekt ich finds eine nette idee. wie arbeitet noch mal peid war das nicht so das man die hex werte einfach nur eingeben muss die in jeder datei sind. und peid dursucht gewünschte datei nach diesen werten. ich meine ohne festen offset + Multi-Zitat Zitieren
#3 27. Juli 2008 AW: Anti-Malware Projekt Also ich wär dabei, Programmiererfahrung (C++) is da, Grundwissen im RE auch, den Rest weißt du ja An Tools komm ich leider aber ned ran. + Multi-Zitat Zitieren
#4 27. Juli 2008 AW: Anti-Malware Projekt ja genau, aber besser wäre es wenn man so ein tool selber schreiben würde, damit auch leute nicht wissen wie das tool das zeug erkennt. die peid userdb ist eben nicht verschlüsselt und offen für jedermann... + Multi-Zitat Zitieren
#5 27. Juli 2008 AW: Anti-Malware Projekt Hoi, ich würde mich auch gerne beteiligen, da ich 100% gegen Trojanern bin. Ich würde versuchen private Crypter/Stealther aufzutreiben und halt sonstige Unterstützung zu geben, wo ich nur kann Mfg Halloweenracer + Multi-Zitat Zitieren
#6 27. Juli 2008 AW: Anti-Malware Projekt Ich würde tendenziell mitmachen, jedoch habe ich sehr wenig Zeit (zum programmieren, analysieren). Kiddie-Tools kann ich ggf. besorgen (social engeneering ftw ^^) + Multi-Zitat Zitieren
#7 27. Juli 2008 AW: Anti-Malware Projekt Hoi, wie wärs, wenn wir uns mal alle in nem IRC-Channel treffen? Da kann man doch viel besser diskutieren etc. Das mit dem eigenen Programm is keine schlechte Idee. Ich schau mir mal den PEiD-Sourcecode sowie die PEiD.dll an edit: Was mir noch eingefallen is.. Man könnte das ganze auch als Webseite online bringen.. Also einfach File hochladen und dann wird ausgespuckt, obs Malware is oder nich. Das Problem an der ganzen Sache wird sein, wie wir an die Trojans etc. kommen. + Multi-Zitat Zitieren
#8 27. Juli 2008 AW: Anti-Malware Projekt Wäre auf jedenfall dabei, finde die Idee sehr gut. Programmiererfahrung habe ich seit 3 1/2 Jahren, hauptsächlich in C#. Wär aber kein Problem auf eine andere Sprache umzusteigen da ich in fast allen bekannteren Sprachen grundlegende Erfahrungen besitze. Reverse Engineering betreibe ich seit ca. 1 Jahr, hauptsächlich um mehr oder weniger unbekannte Software verwenden zu können Kann mich da schlecht einschätzen, würde aber mal behaupten das ich 90% der kommerziellen Software von mittelgroßen Firmen reversen könnte. (Wenn ich genug Zeit zur Verfügung habe, logischerweise) Mit "privaten Tools" kann ich leider nicht dienen. Eine Frage, willst du an einem einzigen Projekt arbeiten oder zich Programme/Plugins erstellen? (Geht aus dem Text nicht ganz hervor) Ich würde das erste bevorzugen, sprich ein Programm das mit Plugins, Updatefiles etc erweitert werden kann. Dadurch könnte man die Programmierer/Reverseer sehr gut bestimmten Aufgaben zuteilen und dadurch vermeiden das mehrere Personen am gleichen Problem arbeiten. Edit: @ pyro Das mit der Website find ich eine gute Idee. Würde in das Konzept der Erweiterbaren Software gut passen. Sprich ein Webinterface für das Programm. + Multi-Zitat Zitieren
#9 27. Juli 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Anti-Malware Projekt jo also zunächst mal ein programm das das zeug erkennt, am besten mit einer externen signaturen datei die aber verschlüsselt ist. Die erkennung wäre so das wichtigste... Natürlich wäre es cool wenn man das programm mit plugins ausstatten könnte um z.b. den vmware schutz von den cryptern auszuschalten. Aber das finde ich zunächst garnicht so wichtig. Dazu reichen auch erstmal externe programme/scripte, z.b. sowas was du schon erstellt hast für den pw stealer in diesem thread: [RCE] Target: PW Stealer - RR:Board + Multi-Zitat Zitieren
#10 27. Juli 2008 AW: Anti-Malware Projekt Also vom Prinzip her wie Spybot oder? Mit dem Unterschied das die Offset-/Heuristik-/Signaturen- etc. Dateien verschlüsselt werden sollen. Klar, Spybot ist vom Ziel her nicht mit deiner Idee vergleichbar, es handelt sich aber auch um eine Anti-Malware Software, die sich Definitionsdatein etc läd und eine Such/erkennungsmethode hat. Um überhaupt eine wirkungsvolle Software zu haben sind (sichere) Onlineupdates logischerweise Pflicht. Hast du schon an eine Sprache gedacht? C (Erkennungsmethode) und C++ (Gui? und Rest des Programms) wären wohl die beste Entscheidung. + Multi-Zitat Zitieren
#11 27. Juli 2008 AW: Anti-Malware Projekt Ich würd das so machen: Eine Bibliothek (DLL) in C++, darin is die Erkennungsmethode, Update etc. Und eine GUI kann man dann eigentlich in jeder anderen Sprache coden (VB, C++, C#). Von C würd ich abraten, das is meiner meinung nach zu aufwendig. + Multi-Zitat Zitieren
#12 27. Juli 2008 AW: Anti-Malware Projekt zunächst erstmal wie peid nur mit verschlüsselter userdb.txt^^ Ich glaube es wäre zunächst wirklich besser wenn man es trennt, also ein programm zum erkennen und dann programme/scripte die beim analysieren helfen. Wenn es gut läuft könnte man dann die 2 sachen vereinigen, aber wenn man es zunächst mal trennt hat man wohl schnellere und bessere erfolge... Das kommt natürlich ganz auf die programmierer an... wenn man genug findet die das in c/c++ coden könnten wäre das natürlich optimal. + Multi-Zitat Zitieren
#13 27. Juli 2008 AW: Anti-Malware Projekt @pyro Klar C ist aufwendig, mal abwarten wie es mit der Geschwindigkeit von C++ aussieht. (wer weiß ob man on-the-fly erkennung nicht irgendwann mal implementiert ) Hab hinter Gui extra ein ? geschrieben, weil mir auch klar ist das du mit jedem Programm eine gui dafür schreiben kannst. Wahrscheinlich wird es ,wie du gesschreiben hast, das beste sein sich erstmal auf eine funktioniernde/umfangreiche dll zu konzentrieren und dafür ne Pseudogui zu verwenden (für logs, analysen etc). Naja, am besten ist es ja beides getrennt zu lassen, da du dann bei Updates nur bestimmte Scripte aktualisieren musst und nicht das Hauptprogramm. Außerdem kann der Reverser dann einfach eine simple Scriptdatei erstellen und direkt mit dem Programm testen. Wenn die dll "mächtig" genug ist werden dem Reverser auf jedenfall genug Möglichkeiten zu Erkennung bereitgestellt. + Multi-Zitat Zitieren
#14 27. Juli 2008 AW: Anti-Malware Projekt Naja, der Geschwindigkeitsunterschied von C++ zu C is nich ausschlaggebend. Und wenn man wirklich mal eine höhere Geschwindigkeit braucht, dann kann man Teile immer noch in C auslagern. Aber was ganz wichtig is: Gute Planung und nicht einfach ein blindes drauf-los-programmieren. Also wenn jemand Erfahrung mit Projektplanung oder so hat wärs nich schlecht + Multi-Zitat Zitieren
#15 27. Juli 2008 AW: Anti-Malware Projekt Letztendlich ist es ja nur ein programm das eine exe durchsucht, ich denke/hoffe mal nicht das es so aufwendig ist. Verschlüsselung kann ja z.b. blowfish sein + noch was custom mäßig... aber das sollte auch kein problem sein. das signatur file kann ja so ähnlich aussehen wie peid: Code: ;The file userdb.txt is used to store the external signatures. ;External signatures can be modified by the user as and when he requires. ;The signatures are in the format [Name of the Packer v1.0] signature = 50 E8 ?? ?? ?? ?? 58 25 ?? F0 FF FF 8B C8 83 C1 60 51 83 C0 40 83 EA 06 52 FF 20 9D C3 ep_only = true ;The ?? in the signature represent wildcard bytes (they are skipped while scanning) ;ep_only can be either true or false. When true, the signature is scanned for at the EntryPoint only. ;Else it is scanned throughout the file. Nur das man eben noch zusätzliche infos angeben kann wie z.b Code: [Name of the Packer v1.0][Risiko: niedrig][Kommerzieller Packer der oft eingesetzt wird] signature = 50 E8 ?? ?? ?? ?? 58 25 ?? F0 FF FF 8B C8 83 C1 60 51 83 C0 40 83 EA 06 52 FF 20 9D C3 ep_only = true was noch eventuell wichtig wäre ist die dateigröße, das man das auch noch angeben kann sowas z.b. filesize=<10000 wäre es da nicht sinnvoller direkt ein gui programm zu programmieren in c++ z.b.? was könnte eine dll für einen vorteil haben? eine dll könnte man auch immernoch später dazu machen... + Multi-Zitat Zitieren
#16 27. Juli 2008 AW: Anti-Malware Projekt DLL hätte den Vorteil, dass man sich nich um die GUI zu kümmern braucht (is in C++ ja bisserl aufwendiger) sondern nur um die Programmlogik. Man kann z.B. so die DLL auch mitupdaten, ohne das ganze Programm neuzustarten etc. + Multi-Zitat Zitieren
#17 27. Juli 2008 AW: Anti-Malware Projekt Jep, hab ich ja schon eingesehen In 2 Monaten fängt mein Ba-Studium an das sich fast auschließlich mit Portfolio/Projektmanagment beschäftigt. Kenne zwei Personen die bereits in dem Bereich arbeiten und hab schon bei ein paar Projekten mitgeholfen. Normalerweise sollte für die größe diese Projekts eine Trackingsoftware und irc ausreichen. Logischerweise braucht man jemand der richtige Milestones erstellt und alle Mitarbeiter sollten ihre Tickets aktuell halten. Edit: @ Nos Alles eine Frage des Umfangs der Dll + Multi-Zitat Zitieren
#18 27. Juli 2008 AW: Anti-Malware Projekt Wenn man erstmal genau geklärt hat was alles rein sollte, dann könnten sich auch die programierer untereinander absprechen wer was macht etc. ich denke mal das sollte so klappen ohne spezielle planung. Spätestens am Dienstag (hoffe ich mal) hätten wir dann auch ein eigenes forum. Dadurch wird dann sicher vieles leichter... irc bin ich sowieso immer^^ irc://irc.xchannel.org channel: #d!3 + Multi-Zitat Zitieren
#19 27. Juli 2008 AW: Anti-Malware Projekt Hi poste mal wenn es ein forum dazu gibt , weil mir gefählt diese anregung, und ich habe persönlich was gegen diese Trojaner kiddy . Ps man könnte auch komplet Paid nutzen, und nur eine Verschlüsselung einbauen Sprich gibt genug asm verschlüsselungen die man per patch einbauen könnte. Mfg + Multi-Zitat Zitieren
#20 27. Juli 2008 AW: Anti-Malware Projekt So n eigenes Subversion Repository wär schon was, sonst kommt man total durcheinander mit den Versionen.. + Multi-Zitat Zitieren
#21 27. Juli 2008 AW: Anti-Malware Projekt hab mal ne seite gefunden, die sich mit soetwas ähnlichem beschäftigt, vllt könnte man das ein oder andere "abschauen": abuse.ch + Multi-Zitat Zitieren
#22 27. Juli 2008 AW: Anti-Malware Projekt Hm.. Erstmal zu eurem Programmiervorhaben, ist zwar ne ganz nette Idee, aber das das Programm auch richtig funktionieren wird glaube ich immoment eher nicht. Esseidenn ihr stuft alle "verschluesselten" Programme als gefaehrlich ein, was bei eigenen verschluesselungs Verfahren jedoch auch nicht vollstaendig funktionieren duerfte. Und wenn ihr das Programm oeffentlich anbietet, ist die Warscheinlichkeit hoch, dass es nach durch trial and error recht schnell wieder umgangen werden kann. Wobei einfache "Download & Exec" Programme dann noch schwerer zu erkennen sein duerften. Trozdem viel glueck dabei, auch wenn es mich wundert das ihr es in "Hacking & Security" diskutiert, wo ich hier, durchaus, einen relativ hohen "Scriptkiddie"-Anteil feststellen kann. mfg + Multi-Zitat Zitieren
#23 27. Juli 2008 AW: Anti-Malware Projekt naja das wäre wohl nur eine übergangslösung, da peid leider keine kommentare unterstützt, also sollte es schon mehr in die richtung GO.PL - Platforma RTB, dynamiczny remarketing produktowy w modelu RTB gehen, leider unterstützt das programm keine externen DBs, was sehr schade ist. jo ganz nett die seite, nur halte ich nicht viel von viren/würmen und überhaupt email spam zu analysieren... wer dadrauf reinfällt dem ist sowieso nichtmehr zu helfen^^ klar wenn das programm bekannt ist, wird es sicher leute geben die das programm umgehen. Programmierer werden es wohl immer schaffen sows zu umgehen, wäre ja schlimm wenn nicht. Aber ein normales scriptkiddie wird mit sicherheit so seine probleme damit haben. Was meinst du den mit verschlüsselten programmen? Wahrscheinlich programme geschützt durch packer/protectors, aber dafür kann man die passenden unpacker beilegen Ich hab ja auch vor das programm immer wieder zu updaten, sobald das programm umgangen wird, wird eben wieder ne neue signatur hinzugefügt, usw. Wie es mir scheint kennst du dich damit noch nicht so aus. Es gibt gerade mal eine handvoll public boards auf denen sich die meisten kiddies rumtreiben und lernen wie sie z.b. einen trojaner erstellen oder einen trojaner ud machen... es wird alles public besprochen und man kann so leicht an signaturen kommen + Multi-Zitat Zitieren
#24 27. Juli 2008 AW: Anti-Malware Projekt Trac in Verbindung mit Subversion als Tracking Software? Hat jemand behaupted es würde leicht werden? Damit hat jedes Antivirenprogramm zu kämpfen. Ausweg? Einfach die Software aktuell halten. Klar, das Projekt wird sicher nicht die kommerziellen Trojanercoder von Ihren Geschäften abhalten, aber ich bin mir eigentlich recht sicher das dadurch zumindest die Gefahr einen Trojaner zu erhalten deutlich reduziert wird (wenn das Programm funktioniert). Die Vorgehensweise der Reduzierung gibt es fast überall, z.b. "Polizei und Drogenbekämpfung" Wo denn sonst? Wird ja sowieso in ein anderes Forum/Irc verlegt. + Multi-Zitat Zitieren
#25 27. Juli 2008 AW: Anti-Malware Projekt war auch nicht meine absicht darauf anzusprechen email-spam zu analysieren ^^ wollte damit vielmehr sagen, dass es dort gute analysen zu dem quatsch gibt + Multi-Zitat Zitieren