|
|
aber wenn sie den RAM prüfen sind wir arm drann (aber lieber arm drann als bein ab LOL)
__________________
?- god(X).
X = green.
|
|
10.08.2007 21:03 |
|
|
|
|
wenn....wenn das av gleich bei installation dein ganzes system platt macht dann haste eh keine sicherheitsprobleme mehr....dann kannst du deine freizeit auch endlich mit sinnvollen dingen verbringen...baumhaus bauen, rad fahren, inliner/skateboard fahren, mit freunden treffen...
__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
|
|
|
11.08.2007 01:13 |
|
|
|
|
ein vierenscanner der nach jedem speicher schreibzugriff die geschriebenen daten auswerten will ... na hut ab für diese idee ... achwas ... kopf ab!
was glaubst du wieviele zugriffe er da denn prüfen muss? ... jeden schreibvorgang von der cpu in richtung ram (die daten landen bevor sie in den RAM kommen zwar noch im cache, aber das verkompilziert die situation nur unerheblich) ... es gibt auch noch sogenannte DMA zugriffe, die im normalfall (jaja, da gibts ausnahmen) von der CPU in auftrag gegeben werden und dann einiges an daten in den ram schaufeln ... die melden sich erst zurück wenn alle daten geschrieben sind... willst du daraufhin alle via DMA übertragenen daten auswerten? ... wer sagt dir das nur das laden einer datei von einem massenspeicher oder netzwerk interface das speicherabbild einer binary verändern können? ... was wenn die GPU den DMA angeordnet hat? (CPU wird weder über start noch über ende informiert, gedacht ist das für das schnelle übertragen von relevanten daten vom RAM zur grafik karte ... wer sagt das das nicht auch in anderer richtung funktioniert, wenn ich einfluss auf den programmablauf der GPU habe?) ... alles so lustige problemchen die man lösen muss wenn man den raminhalt auf malware überwachen will ...
problemchen interessieren aber nur am rande ... das große problem ist an dieser stelle dass eine solche prüfung sooft ausgelöst werden müsste, dass der rechner nahezu ausschließlich mit der speicherprüfung beschäftigt wäre und seine regulären aufgaben nicht länger erfüllen könnte ...
abhilfe könnte nur ein 2. prozessor schaffen, der einzig für diese aufgabe abgestellt ist ... aber auch dieses konzept (auch dual core macht hier keine ausnahme) hat ein problem ... bei heutigen prozessoren bewegt es sich in einer größenordung von bis zu 2 MB ... die prozessor L1 und L2 caches, die ausschließlich für einen prozessor, bzw teilweise auch einzelnen kern arbeiten, und von anderen prozessoren, respektive kernen bei allen mir bekannten architekturen nicht eingesehen werden können...
schreibe ich entsprechende malware cacheoptimiert, wird diese den hauptspeicher eigentlich nicht erreichen bevor die cachelines geschrieben werden müssen ... gut, man mag annehmen dass andere systemkomponenten das programm im cache mal überschreiben und somit das schreiben zum hauptspeicher unausweichlich wird, aber das kann mitunter einige sekunden dauern ... die chance bis dahin auf einem nicht ausgelasteten system wieder an der reihe zu sein (programmausführung der CPU ist nicht paralell, sondern sequenziell, auch wenn es wirkt als liefen da mehrere programme gleichzeitig, läuft auf kleinsten zeiteinheiten betrachtet immer nur eins, sekunden bruchteile später das nächste... das nächste ... reihum bis wieder das erste dran ist, um es vereinfacht darzustellen) ist allerdings recht groß, so das man in modernen cachekonzepten kaum rausgeworfen wird mit kleinem code ... bis es mal soweit ist, hat die malware im zweifelsfall die schadroutinen betriebsbereit gemacht, und ausgeführt...
wie man es auch dreht und wendet ... eine echtzeitabdeckung des raminhalts ist für die malware suche beim heutigen stand der technik defacto unmöglich ... (das gilt für den anwendungs fall ... laborumgebung ist da was anderes...)
__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
|
|
|
12.08.2007 01:34 |
|
|
|
|
und wie funzt das in labor umgebung und was ist der unterschied zum anwendungs fall
__________________
?- god(X).
X = green.
|
|
|
12.08.2007 19:26 |
|
|
|
|
die JTAG schnittstelle heutiger CPUs ist im anwendungsfall für gewöhnlich ungenutzt ...
__________________
Gräten auf dem Sofakissen wird man wohl entfernen müssen.
|
|
|
12.08.2007 20:53 |
|
|
|
|
zum thema JTAG http://de.wikipedia.org/wiki/JTAG
wenn du dir das durchliest wirst du sehn, das du als norm. Benutzer die JTAG schnittstelle nie brauchen wirst...
naja egal bin erstma ne woche im urlaub bis denne
__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
|
|
|
13.08.2007 09:51 |
|
|
|
|
pass auf pinguine sind sehr sonnen empfindlich^^
__________________
?- god(X).
X = green.
|
|
|
13.08.2007 14:42 |
|
|
|
|
tja schlechte nachrichten...ich habs überlebt...und bin wieder da, jedoch die 2 seiten an neuen foreneinträgen der vergangenen woche pendeln in sachen niveau iwo zwischen "kann schon aufrecht gehn" und "ugh!"
naja ich hab jedenfalls die woche genutzt um mich in meiner "freizeit" in sachen c programmierung etwas weiterzubilden...markt+technik sei dank...
__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
|
|
|
17.08.2007 17:56 |
|
|
|
|
und das nennst du dann urlaub???
__________________
?- god(X).
X = green.
|
|
|
17.08.2007 18:01 |
|
|
|
|
ich war mit bruder und vater am bodensee...das kann man an sich nicht als urlaub bezeichnen 
__________________
Alle sagten, es geht nicht, da kam einer, der wusste das nicht und tat es einfach...
|
|
|
17.08.2007 18:32 |
|
|
|
|
ich kenn ein gutes lied über den bodensee das geht ungefähr so:
ich pflücke blumen und klee bis ich den boden see^^
__________________
?- god(X).
X = green.
|
|
|
18.08.2007 16:33 |
|
|
|
|
um mal zum thema der Ueberschrift zurueckzukommen....
die meiste malware heutzutage verwendet memory-packer. Also packer die ein binary comprimieren und zur laufzeit decomprimieren. Dadurch wird die Signatur des Binary geaendert und matcht nicht mehr mit urspruenglichen Signatur. Gleiches gilt auch fuer binaeranalysen, die die Graphen des Programmablaufs analysieren, etc.
Daher wird jeder gute malwareanalyst erstmal checken op ein binary gepackt ist, um es vor der analyse zu entpacken. Gleiches macht auch der AV, sofern er in der Lage ist den Packalgo nachzubilden.
Du musst also div packer (wie z.B. UPX) mal ausprobieren, und schauen ob es dein AV erkennt.
Wer evtl. auf dem CCC Camp dem Vortrag von Sergio Alvarez gehoert hat, kann sich sicherlich daran erinnern, dass man mit speziell modifizierten "gepackten" binaries evtl. sogar den AV-Client abschiessen kann... aber das ist ja auch eigentlich nix neues
|
|
|
20.08.2007 18:13 |
|
|
|
|
|
  |
Views heute: 7.473 | Views gestern: 24.510 | Views gesamt: 80.215.922
|
