[Full Undetectable] Stub und Crypt?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Kirill, 21. Januar 2010 .

Schlagworte:
  1. 21. Januar 2010
    Hallo,
    ich habe ein paar Verständnisfragen zu den Begriffen FUD, Stub und Crypten.

    Frage 1:

    Fud: Steht hier in dem Fall als Oberbegriff und ist keine Technik an sich.

    Stub: Ist ein einfaches Programm, das einfach als Abschirmung für die eigentliche Malware dient.

    Crypt: Verschlüsselt die Malware.


    Nun wird beim verschlüsseln die "Malware" mit dem Stub gekoppelt. Der Kern der Stub ist die verschlüsselte "Malware". Diese "Malware" kann nur mit Hilfe der Stub entschlüsselt werden, da die verschüsselte "Malware" und die Stub in einem engen Algorithmus mit einander gekoppelt sind (wie P/PKeys).

    Stimmt das überhaupt?


    Frage 2:
    Es wird beim entschlüsseln der "Malware" bzw. beim ausführen in Scantime und Runtime unterschieden.

    Scantime: Die "Malware" wird irgendwo auf die Festplatte gelegt bzw. auch gleich ausgeführt.
    Runtime: Die "Malware" wird in den Arbeitsspeicher abgelegt bzw. auch gleich ausgeführt.

    Stimmt das überhaupt?


    Step 3:
    Wenn die AV nun die Stub einliest, kann sie erstmal nichts auffälliges finden. Ab wann weiß nun die Malware wann sie sich selber entschlüsseln soll? Hat die Stub irgendwo ein Timer? Oder tut sie das nur beim anklicken? Und wieso findet die AV dann die Malware beim entschlüsseln nicht, da sie ja dann offen zum einlesen ist?

    Hat das irgendwie mit den Scan-Routinen der AVs zu tun? Einmal gescannt und nicht nochmal?


    Ich weiß, es sind viele Fragen, aber mich interessiert einfach die Funktionsweise.
    BWs sind natürlich drinne für gute Antworten!

    Danke im Voraus!

    Grüße
    Kirill
     
  2. 21. Januar 2010
    AW: [Full Undetectable] Stub und Crypt?

    Frage 1:
    Jo das stimmt so, in der Stub ist der Verschlüsselungsalgorithmus implementiert, die eigentliche Malware ist verschlüsselt hinter der Stub gespeichert. Die Stub läuft durch, entschlüsselt die Malware, lädt sie in den Speicher und führt sie aus

    Frage 2:
    Scantime-crypter legen die entschlüsselte Datei auf die Platte und führen sie dann erst aus. Daher verstecken sie die Datei nur zum Zeitpunkt des AV-Scans. Runtime-crypter geben der AV-Software keine Möglichkeit, die entschlüsselte Datei zu scannen, da sie direkt in den Arbeitsspeicher geladen wird. Da kann sie aber gescannt werden.

    Frage 3:
    Die Stub entschlüsselt die Malware, sobald sie ausgeführt wird. Wenn der AV-Scanner drüberläuft, dann wird ja nichts ausgeführt, sondern die Datei nur zum Lesen geöffnet und bytes rausgelesen. Beim Entschlüsseln kommts wie gesagt drauf an, obs Scan- oder Runtime ist. Bei Runtime-cryptern liegt die Datei ja nicht auf der Platte und deshalb springt der On-Access-Scan nicht an. Allerdings kann die AV-Software die Prozesse im Speicher analysieren. Da bringt auch ein Crypter nix.
     
  3. 21. Januar 2010
    AW: [Full Undetectable] Stub und Crypt?

    OK, danke für die Erläuterung!!! BW ist raus.

    Gibt es eine Möglichkeit sich aktiv gegen einen FUD zu schützen? Reichen dabei eingeschränkte Benutzerrechte, damit er sich nicht in den Arbeitsspeicher laden kann?
     
  4. 21. Januar 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: [Full Undetectable] Stub und Crypt?

    Windows-Lücke nach 17 Jahren gefunden - RR:Board
    nein?
     
  5. 22. Januar 2010
    AW: [Full Undetectable] Stub und Crypt?

    Das ist klar, weshalb ich schon die Lücke gepatcht habe. Meine Frage ist beim funktionierten eingeschränkten Benutzerrechten.
     
  6. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.