AW: .exe Datei Entpack Test
 

@Daniel:
Ziel soll sein, das man mit egal welchen Exe-Packer keine AntiVirus Fehlalarme auslöst. (Malware)
Das nervt mich schon ewig und mit diesem Projekt will ich halt erreichen das Exe-gepackte Dateien nicht mehr automatisch als "Böse" eingestuft werden. Exe-Packer können ja nichts direkt dafür.
Als Nebeneffekt soll natürlich auch ein HexEditing verhindert werden, da Datei ja komprimiert ist.

Oder gibt es bereits Lösungen für solch eine Situation?
Ich meine damit nicht das man auf einen bestimmten Exe-Packer (UPX z.Bsp) ausweichen muss da der von AntiViren programme ja meist nativ unterstützt wird. Es sollte eine universelle Lösung sein.

Deshalb Stub so designed das seine Entropy nicht extrem hoch ausfällt und die per Resource eingebundene PE-Datei hat meist eine Entropy nahe 8 (maximum)

Grüße

edit: ich will damit keinen ExePacker sind doof weil xyz sturm auslösen, ich will eine lösung schaffen für leute die ExePacker einsetzen wollen.

AW: .exe Datei Entpack Test
 

Schick doch das Programm einfach bei denen ein und lass es Whitelisten.
Ein weitere Reduzierung der Probleme bekommst du mit einer Code Signatur hin.

AW: .exe Datei Entpack Test
 

Du denkst falsch rum. Falls du es schaffen solltest unter dem Radar von Antivirenprogrammen hindurchzufliegen werden Malware-Programmierer sich deine Methode abschauen und schon ist dein exe-Packer wieder auf der bösen Liste.
Ist ja nicht so als würde sich Malware-Programmierer freiwillig brav die Methoden aussuchen die von Antivirenprogrammen erkannt werden.

AW: .exe Datei Entpack Test
 

Warum zippst du deine Exe nicht einfach?

AW: .exe Datei Entpack Test
 

Das kann man so nicht sagen. Antiviren Programme arbeiten nach wie vor primär mit simplen Signaturen. Genau das ist aber auch der Grund, warum oftmals legitime Produkte (z.b. Themida, VMProtect, oder damals sogar UPX) generell als Malware erkannt werden, da diese Programme häufig verwendet werden, um tatsächliche Malware zu maskieren.

Dementsprechend einfach ist es aber auch eine bestehende Malware vor beliebigen Antivirenprogrammen zu verstecken. Man muss lediglich die Signatur tarnen und die spärliche Laufzeitanalyse / Emulation umgehen. Ersteres geht natürlich wunderbar mit einem Exe-Packer, der RunPE ähnliche Verfahren einsetzt. Hierbei wird eine beliebige Anwendung verschlüsselt und an eine Stub angehangen. Die Stub entschlüsselt die Payload dann zur Laufzeit und führt sie direkt im eigenen Prozess (oder in einem neu gestarteten Fremdprozess) aus - ohne, dass die entschlüsselte Datei zuerst wieder auf die Festplatte geschrieben wird. Dass dieses Verfahren schon lange missbraucht wird, ist vermutlich auch der Grund, warum die entsprechende Vorgehensweise in Fukiszos Test entsprechend hart erkannt wird.

Auch wenn ich definitiv ebenfalls eher zu .zip tendiere, bitte nicht wieder die Diskussion pro/contra Packer anstoßen :lol::stupid: Ich glaube zudem möchte er sein Programm vor Manipulation schützen. Dass dafür die oben genannten professionellen Lösungen allerdings ausschließlich immer besser sind, als etwas Selbstgebasteltes (solange man nicht nochmal tausende Stunden in den Schutz investieren will) habe ich auf der anderen Seite auch schon des öfteren erwähnt und das kann ich auch nur nochmal ausdrücklich wiederholen.

AW: .exe Datei Entpack Test
 

Der Anhang ist ein Archiv, 7-Zip nicht (PK)Zip. Falls du ein SFX-Archiv meintest, darauf wollt ich nicht hinaus.

Absolut korrekt, die meisten scanner arbeiten entweder per signatur oder meckern generell wenn man funktionen wie "RunPE" nutzt (CreateProcess ist ein beliebtes "Böses" merkmal)

Nichtsdestotrotz hat es Neutral General dennoch auf den Punkt gebracht das so ein vorhaben sinnlos ist.
Sobald die ersten trojaner/würmer/viren etc in den umlauf gelangen, mit meinem stub ausgestattet = stub dann auto-böse auch wenn ich nichts dafür kann und normale programme mit blacklisted werden.

Ich stell dieses projekt ein.

Danke für Eure Ansichten und Meinungen!!!

ps:
mein projekt ist/war kein packer sondern ein wrapper.
"Sicherheit" anbieten ist/war nicht mein Ziel. Das sollte das programm bieten womit ich die .exe im vorfeld bearbeite.
ich pers. mag zum beispiel ASpack aber kann keine .exe verteilen die das nutzen weil auto-blacklist aus oben genannten gründen.

das thema hat sich damit für mich erledigt (-:


Grüße