.exe Datei Entpack Test
 

Hallo,
anbei ein kleines beispiel programm + source. (messagebox + da dudelt nur eine melodie)
Ich teste etwas mit exe-packer und eigener stub aus um AntiVirus programme zufrieden zu stellen. (malware warnungen unterbinden)
Das funktioniert soweit auch schon ganz gut, ist bestimmt ein verpöntes thema hier,
aber dank profi's aus vielen bereichen würde ich gerne eure meinung hören ob die .exe datei die im anhang ist "einfach" entpackt/wiederhergestellt werden kann so das es mehr oder weniger einem original kompilat nahe kommt.
Alle Packer/Stub optionen die ein ausführen unter einem Debugger oder VM verhindern sind deaktiviert.

Grüße und viel Spass beim testen


edit: ACHTUNG, datei ist doch nicht AntiVirus stabil, siehe Zacherl's Anhang BEVOR ihr es runterladet!

AW: .exe Datei Entpack Test
 

Also ich wollte es grade herunterladen, aber der Windows Defender hat es noch im 7z Archiv als Virus erkannt :-D Ist zwar nicht ganz das was du wolltest, aber immerhin habe ich so zum ersten Mal gesehen, dass der Defender überhaupt auch nur auf irgendetwas anspringt :stupid:

Edit:
Virustotal Scan sieht auch eher nach dem Gegenteil aus, was du erreichen wolltest. Ich tippe mal auf die klassische RunPE Variante, die du in einem anderen Thread bereits mal angesprochen hattest?

Edit2:
Auf meinem Testsystem lässt sich die Datei leider nicht starten. Weder mit, noch ohne Debugger. Im Debugger sehe ich eine Stelle mit ganz vielen und Aufrufen, wobei die entsprechenden Strings aber ungültig sind und die APIs deshalb immer fehlschlagen (selbst dort, wo dynamisch geladen werden soll, weil 0 ist).

AW: .exe Datei Entpack Test
 

Ja, habs auch grad mal hochgeladen und war überrascht, so viele böse meldungen.
Wenn ich's mit großen dateien probiere (mit Delphi IDE erstellte Programme) hab ich alles mit grünen haken.... mhhhh...
Obwohl der stub ja der gleiche ist, merkwürdig.
Nein kein RunPE, aber bestimmt nutz ich api's die auch in RunPE vorkommen. Diese aufrufe sind ja oftmals gleich. (CreateProcess)
Das bohrt mich jetzt das winapi dateien nun anscheinend nicht mehr funktionieren.
...Dummding...

Danke für Hinweis, ich arbeite daran und aktualisiere testdatei in ein paar tagen nochmal NACHDEM auf VTotal alles wieder schicki ist mit meiner .exe

Grüße


edit: ohhhh das wird ja immer verrückter, ich kann es unter winXPx32 win7x64 win10x64 ohne fehler aufrufen.
(gedanke: vielleicht liegts am fehlenden manifest, bei mir ist die extern gespeichert)
na ein glück das ich das hier mal zum testen hochlud um all sowas zu erfahren.
(meine api aufrufe sind ein wenig verschleiert im stub damit AntiViren software ruhig bleibt, jedenfalls war das mein grundgedanke)

AW: .exe Datei Entpack Test
 

Glaube das habe ich auch schonmal irgendwo erwähnt, aber ob du die APIs direkt statisch lädst, oder über verschlüsselte Strings erst mühsam dynamisch importierst, wird keinen großen Unterschied machen. Die Scanner machen eh eine Laufzeitanalyse, also emulieren das Programm in einer Sandbox oä. und stoßen damit dann auch zwangsweise auf die entsprechenden Imports. Die Größe des Codes macht auf jeden Fall einen Unterschied, da die Emulation nach einer fest definierten Zeit einfach abgebrochen wird - der Nutzer soll ja nicht jedes Mal 30 Sekunden warten müssen, wenn er einen Prozess startet.

AW: .exe Datei Entpack Test
 

Oje, da lag ein Fehler vor der VM's aushebelt (also nicht ausführbar unter einer VM, unter VM sind meine Imports = NIL o.ä.)
War dein Testsystem eine VM? (damit ich weiß ob's daran liegt)

Grüße

AW: .exe Datei Entpack Test
 

Ne, mein Analysesystem ist ein "ganz normales" Windows auf einem isoliertem physikalischen PC, den ich per Snapshots zurücksetzen kann. Ist auch nichts installiert, was fälschlicherweise als VM erkannt werden können sollte. VT-x ist deaktiviert.

AW: .exe Datei Entpack Test
 

Bei mir auch. Gleich kommt die IT-Sicherheit des Unternehmens und verhaftet mich. :duck:

AW: .exe Datei Entpack Test
 

Das Archiv konnte ich laden.
Jedoch beim entpacken kam die Meldung

gruss

AW: .exe Datei Entpack Test
 

Ich habe die Hauptnachricht jetzt mit Warnung versehen,

tut mir mehr als leid das ich die mini datei vorher nicht bei VirusTotal getestet habe, das kommt nicht nochmal vor!!

Der Anhang ist noch unverändert, also inklusive Fehlalarm von Scannern.
Sobald ich den Stub überarbeitet und ausführlicher getestet habe probiere ich es nochmal.

Grüße

AW: .exe Datei Entpack Test
 

Was ist eigentlich das Ziel Deines Feldversuches?
Warum versuchst Du, unter dem Radar von gängigen Antiviren-Programmen zu verschwinden?
Wenn es sich bei Deiner Datei um einen harmlosen Test handelt, verstehe ich hingegen Deine nachträglich hinzugefügte Warnung nicht.
Ich gewinne den Eindruck, dass wir gerade vor einem mehr als halbseidenen Projekt stehen. :?: