Antivir und die FAQ

26/03/2009 - 20:25 von Ralph rkhb Bauer | Report spam
Hallo,

Die Nasm/GoLink-Beispiele auf den Seiten

<http://dcla.rkhb.de/rdtsc.html> und <http://dcla.rkhb.de/div.html>

lösen bei Antivir und McAfee (und nur bei diesen) einen Alarm wegen

TR/Crypt.XPACK.Gen

aus. Mir ist nun völlig ràtselhaft, welcher Teil dieser Programme die
Heuristik stört. Habt Ihr eine Idee, womit ich diese Scanner veràrgert haben
könnte?

viele grüße
ralph
 

Lesen sie die antworten

#1 Markus Wichmann
27/03/2009 - 09:08 | Warnen spam
Ralph 'rkhb' Bauer wrote:
Hallo,

Die Nasm/GoLink-Beispiele auf den Seiten

<http://dcla.rkhb.de/rdtsc.html> und <http://dcla.rkhb.de/div.html>

lösen bei Antivir und McAfee (und nur bei diesen) einen Alarm wegen

TR/Crypt.XPACK.Gen

aus. Mir ist nun völlig ràtselhaft, welcher Teil dieser Programme die
Heuristik stört. Habt Ihr eine Idee, womit ich diese Scanner veràrgert haben
könnte?




Diese Scanner suchen nach bestimmten Byte-Sequenzen in Ausführbaren. Du
scheinst in diesen Programmen genau die Bytesequenz für
TR/Crypt.XPACK.Gen erwischt zu haben. Tipp: Füge im Code zufàllig
platzierte »nop«s ein. Das àndert die Byte-Sequenz der Ausführbaren.

Noch toller wàre natürlich, wenn man die Byte-Sequenz kennen würde, dann
könnte man gezielt dagegen vorgehen.

Mach dir nix draus, das ist mir auch schon passiert als ich in Pascal
programmiert habe. Da habe ich eine Bedingung umgedreht (statt »a > b«
auf »b < a« getestet) und es ging wieder. Allerdings wusste ich da auch,
dass der fragliche Code in der Bedingung liegt (ich hatte viel getestet
und erst, als ich diese Bedingung zuletzt geàndert hatte, trat der
Fehler auf).

Das ist halt der Mist mit diesen Virenscannern: Mittlerweile sprechen
sie auf so viele Byte-Sequenzen an, das man schon Glück haben muss, um
ein Programm zu schreiben, dass nicht gleich als Virus klassifiziert
wird.

viele grüße
ralph




HTH,
Markus

GUI - ein Hintergrundbild und zwölf XTerms

vim -c "exec \"norm iwHFG#NABGURE#IVZ#UNPXRE\"|%s/#/ /g|norm g??g~~"

Ähnliche fragen