---

Geschrieben von Tommy1000 am 10.08.2007 um 21:03:

 

aber wenn sie den RAM prüfen sind wir arm drann (aber lieber arm drann als bein ab LOL)

---

Geschrieben von Schatten am 11.08.2007 um 01:13:

 

wenn....wenn das av gleich bei installation dein ganzes system platt macht dann haste eh keine sicherheitsprobleme mehr....dann kannst du deine freizeit auch endlich mit sinnvollen dingen verbringen...baumhaus bauen, rad fahren, inliner/skateboard fahren, mit freunden treffen...

---

Geschrieben von DarkSquirrel am 12.08.2007 um 01:34:

 

ein vierenscanner der nach jedem speicher schreibzugriff die geschriebenen daten auswerten will ... na hut ab für diese idee ... achwas ... kopf ab!


was glaubst du wieviele zugriffe er da denn prüfen muss? ... jeden schreibvorgang von der cpu in richtung ram (die daten landen bevor sie in den RAM kommen zwar noch im cache, aber das verkompilziert die situation nur unerheblich) ... es gibt auch noch sogenannte DMA zugriffe, die im normalfall (jaja, da gibts ausnahmen) von der CPU in auftrag gegeben werden und dann einiges an daten in den ram schaufeln ... die melden sich erst zurück wenn alle daten geschrieben sind... willst du daraufhin alle via DMA übertragenen daten auswerten? ... wer sagt dir das nur das laden einer datei von einem massenspeicher oder netzwerk interface das speicherabbild einer binary verändern können? ... was wenn die GPU den DMA angeordnet hat? (CPU wird weder über start noch über ende informiert, gedacht ist das für das schnelle übertragen von relevanten daten vom RAM zur grafik karte ... wer sagt das das nicht auch in anderer richtung funktioniert, wenn ich einfluss auf den programmablauf der GPU habe?) ... alles so lustige problemchen die man lösen muss wenn man den raminhalt auf malware überwachen will ...

problemchen interessieren aber nur am rande ... das große problem ist an dieser stelle dass eine solche prüfung sooft ausgelöst werden müsste, dass der rechner nahezu ausschließlich mit der speicherprüfung beschäftigt wäre und seine regulären aufgaben nicht länger erfüllen könnte ...

abhilfe könnte nur ein 2. prozessor schaffen, der einzig für diese aufgabe abgestellt ist ... aber auch dieses konzept (auch dual core macht hier keine ausnahme) hat ein problem ... bei heutigen prozessoren bewegt es sich in einer größenordung von bis zu 2 MB ... die prozessor L1 und L2 caches, die ausschließlich für einen prozessor, bzw teilweise auch einzelnen kern arbeiten, und von anderen prozessoren, respektive kernen bei allen mir bekannten architekturen nicht eingesehen werden können...

schreibe ich entsprechende malware cacheoptimiert, wird diese den hauptspeicher eigentlich nicht erreichen bevor die cachelines geschrieben werden müssen ... gut, man mag annehmen dass andere systemkomponenten das programm im cache mal überschreiben und somit das schreiben zum hauptspeicher unausweichlich wird, aber das kann mitunter einige sekunden dauern ... die chance bis dahin auf einem nicht ausgelasteten system wieder an der reihe zu sein (programmausführung der CPU ist nicht paralell, sondern sequenziell, auch wenn es wirkt als liefen da mehrere programme gleichzeitig, läuft auf kleinsten zeiteinheiten betrachtet immer nur eins, sekunden bruchteile später das nächste... das nächste ... reihum bis wieder das erste dran ist, um es vereinfacht darzustellen) ist allerdings recht groß, so das man in modernen cachekonzepten kaum rausgeworfen wird mit kleinem code ... bis es mal soweit ist, hat die malware im zweifelsfall die schadroutinen betriebsbereit gemacht, und ausgeführt...

wie man es auch dreht und wendet ... eine echtzeitabdeckung des raminhalts ist für die malware suche beim heutigen stand der technik defacto unmöglich ... (das gilt für den anwendungs fall ... laborumgebung ist da was anderes...)

---

Geschrieben von Tommy1000 am 12.08.2007 um 19:26:

 

und wie funzt das in labor umgebung und was ist der unterschied zum anwendungs fall

---

Geschrieben von DarkSquirrel am 12.08.2007 um 20:53:

 

die JTAG schnittstelle heutiger CPUs ist im anwendungsfall für gewöhnlich ungenutzt ...

---

Geschrieben von Tommy1000 am 13.08.2007 um 07:08:

 

naja egal das mit ram ich hab jetz einfach das tool avdevil genommen das klappt ganz gut bei einfachen kostenlosen oder schlecht gemachten av´s

PS: wie ist das mit der JTAG Schnittstelle bei nem "etwas älterem" AMD Duron mit 700 Mhz

---

Geschrieben von Schatten am 13.08.2007 um 09:51:

 

zum thema JTAG http://de.wikipedia.org/wiki/JTAG

wenn du dir das durchliest wirst du sehn, das du als norm. Benutzer die JTAG schnittstelle nie brauchen wirst...


naja egal bin erstma ne woche im urlaub bis denne

---

Geschrieben von Tommy1000 am 13.08.2007 um 14:42:

 

pass auf pinguine sind sehr sonnen empfindlich^^

---

Geschrieben von Schatten am 17.08.2007 um 17:56:

 

tja schlechte nachrichten...ich habs überlebt...und bin wieder da, jedoch die 2 seiten an neuen foreneinträgen der vergangenen woche pendeln in sachen niveau iwo zwischen "kann schon aufrecht gehn" und "ugh!"

naja ich hab jedenfalls die woche genutzt um mich in meiner "freizeit" in sachen c programmierung etwas weiterzubilden...markt+technik sei dank...

---

Geschrieben von Tommy1000 am 17.08.2007 um 18:01:

 

und das nennst du dann urlaub???

---

Geschrieben von Schatten am 17.08.2007 um 18:32:

 

ich war mit bruder und vater am bodensee...das kann man an sich nicht als urlaub bezeichnen

---

Geschrieben von Tommy1000 am 18.08.2007 um 16:33:

 

ich kenn ein gutes lied über den bodensee das geht ungefähr so:

ich pflücke blumen und klee bis ich den boden see^^

---

Geschrieben von Holiday am 20.08.2007 um 18:13:

 

um mal zum thema der Ueberschrift zurueckzukommen....

die meiste malware heutzutage verwendet memory-packer. Also packer die ein binary comprimieren und zur laufzeit decomprimieren. Dadurch wird die Signatur des Binary geaendert und matcht nicht mehr mit urspruenglichen Signatur. Gleiches gilt auch fuer binaeranalysen, die die Graphen des Programmablaufs analysieren, etc.

Daher wird jeder gute malwareanalyst erstmal checken op ein binary gepackt ist, um es vor der analyse zu entpacken. Gleiches macht auch der AV, sofern er in der Lage ist den Packalgo nachzubilden.

Du musst also div packer (wie z.B. UPX) mal ausprobieren, und schauen ob es dein AV erkennt.

Wer evtl. auf dem CCC Camp dem Vortrag von Sergio Alvarez gehoert hat, kann sich sicherlich daran erinnern, dass man mit speziell modifizierten "gepackten" binaries evtl. sogar den AV-Client abschiessen kann... aber das ist ja auch eigentlich nix neues