C# und Themida

Quote:

ich wüsste nicht wie ein viren scanner unterscheiden können soll ob der genutzte packer lizensiert war oder nicht.

Zum Beispiel indem die Lizenz ein Zertifikat (oder eine andere Information, die legitim erstellten Binaries beigefügt werden soll) enthält, das dem Output angehängt und von einem AV kontrolliert wird. Seriöse Softwarehersteller kaufen sich eine Lizenz und damit ein Zertifikat, das AV meckert nicht rum. Malware Spreader nutzen entweder eigene bzw. speziell an Malware gerichtete Packer oder gecrackte seriöse und das AV erkennt das.

Setzt natürlich ein Mindestmaß an Kooperation zwischen Packer-Herstellern und AV-Herstellern voraus.

Alternativ hängen Demoversionen und/oder nur halb gecrackte Packer (sprich der Cracker hat einige Details der Lizenzerkennung nicht gefunden oder übersehen) ebenfalls eine Art Zusatzinformation oder eine spezielle Version ihrer generierten Stubs an, deren Signaturen von vornherein an AV-Hersteller als potenziell gefährlich gemeldet werden.

Ich habe nun schon öfters gehört, dass es gerade mit Themida und VMProtect sehr gerne passiert, dass unlizensierte Versionen Virusmeldungen erzeugen, während die Vollversion unauffällige Binaries erzeugt. Ist ja auch nicht gerade dumm; so verhindert man als Hersteller eines Packers, dass die Leute für dein gutes Produkt nicht zahlen wollen.

Quote:

Originally Posted by MrSm!th Zum Beispiel indem die Lizenz ein Zertifikat (oder eine andere Information, die legitim erstellten Binaries beigefügt werden soll) enthält, das dem Output angehängt und von einem AV kontrolliert wird. Seriöse Softwarehersteller kaufen sich eine Lizenz und damit ein Zertifikat, das AV meckert nicht rum. Malware Spreader nutzen entweder eigene bzw. speziell an Malware gerichtete Packer oder gecrackte seriöse und das AV erkennt das. Setzt natürlich ein Mindestmaß an Kooperation zwischen Packer-Herstellern und AV-Herstellern voraus. Alternativ hängen Demoversionen und/oder nur halb gecrackte Packer (sprich der Cracker hat einige Details der Lizenzerkennung nicht gefunden oder übersehen) ebenfalls eine Art Zusatzinformation oder eine spezielle Version ihrer generierten Stubs an, deren Signaturen von vornherein an AV-Hersteller als potenziell gefährlich gemeldet werden. Ich habe nun schon öfters gehört, dass es gerade mit Themida und VMProtect sehr gerne passiert, dass unlizensierte Versionen Virusmeldungen erzeugen, während die Vollversion unauffällige Binaries erzeugt. Ist ja auch nicht gerade dumm; so verhindert man als Hersteller eines Packers, dass die Leute für dein gutes Produkt nicht zahlen wollen.

Danke für den Post. Habe ich doch beschrieben, dass ich eine Lizenz besitze, oder irre ich?

Tatsache, das habe ich wohl überlesen, tut mir leid. Es handelte sich dabei aber auch eher um eine allgemeine Aussage, die lange nicht auf jedes AV zutreffen muss. Kann natürlich auch welche geben, die, wie tolio sagte, grundsätzlich jeden Packer als verdächtig einstufen.

Du könntest testweise mal etwas an den Einstellungen schrauben. Vielleicht liegt es eben an einer bestimmten Sache, die Themida mit deinem Binary macht, die NOD32 stört. Kann aber auch sein, dass du nichts daran ändern können wirst, ohne die AV-Hersteller zu kontaktieren und dich whitelisten zu lassen.

Ob es den Aufwand überhaupt wert ist und nicht auch einfach nur ein simpler Obfuscator gegen Gelegenheitscracker reichen würde (professionelle wirst du so oder so nicht davon abhalten können, damit musst du dich abfinden), musst du selbst entscheiden.

Quote:

Originally Posted by MrSm!th Tatsache, das habe ich wohl überlesen, tut mir leid. Es handelte sich dabei aber auch eher um eine allgemeine Aussage, die lange nicht auf jedes AV zutreffen muss. Kann natürlich auch welche geben, die, wie tolio sagte, grundsätzlich jeden Packer als verdächtig einstufen. Du könntest testweise mal etwas an den Einstellungen schrauben. Vielleicht liegt es eben an einer bestimmten Sache, die Themida mit deinem Binary macht, die NOD32 stört. Kann aber auch sein, dass du nichts daran ändern können wirst, ohne die AV-Hersteller zu kontaktieren und dich whitelisten zu lassen. Ob es den Aufwand überhaupt wert ist und nicht auch einfach nur ein simpler Obfuscator gegen Gelegenheitscracker reichen würde (professionelle wirst du so oder so nicht davon abhalten können, damit musst du dich abfinden), musst du selbst entscheiden.

Danke für deine Antwort. Es geht mir nur darum, die Datenbank-Informationen sicher zu halten: in dieser Datenbank sind einige tausend Accounts, die durch einen dritten Zugriff verändert werden können. Wie kann ich das dann vermeiden?

Indem du nicht direkt über den Client, den auch die Kunden haben, mit der Datenbank kommunizierst. Anders gar nicht, denn, wie schon erwähnt, wenn da wirklich jemand ran will, werden Packer und Obfuscatoren ihn eh nicht aufhalten.
Indirekt kannst du bspw. über HTTP mit einen Webserver kommunizieren (häufig ist das der Selbe, auf dem auch die Datenbank läuft), wo du PHP-Skripte hast, welche die GET oder POST Requests des Clients entgegennehmen, prüfen, die Datenbank verändern oder auslesen und ein adäquates Ergebnis über HTTP zurückliefern. Das ist soweit ich weiß eine recht populäre Methode. So hast du die sensiblen Daten für die Datenbank nicht mehr im Client.
Mit freundlichen Grüßen
Jeoni

Quote:

Originally Posted by Jeoni Indem du nicht direkt über den Client, den auch die Kunden haben, mit der Datenbank kommunizierst. Anders gar nicht, denn, wie schon erwähnt, wenn da wirklich jemand ran will, werden Packer und Obfuscatoren ihn eh nicht aufhalten. Indirekt kannst du bspw. über HTTP mit einen Webserver kommunizieren (häufig ist das der Selbe, auf dem auch die Datenbank läuft), wo du PHP-Skripte hast, welche die GET oder POST Requests des Clients entgegennehmen, prüfen, die Datenbank verändern oder auslesen und ein adäquates Ergebnis über HTTP zurückliefern. Das ist soweit ich weiß eine recht populäre Methode. So hast du die sensiblen Daten für die Datenbank nicht mehr im Client. Mit freundlichen Grüßen Jeoni

Also PHP Dateien auf dem Webserver, die das alles regeln?

Quote:

Originally Posted by Easy-Emu Dann hast du dir den UnConfuserEx noch nicht angeschaut. Dieser funktioniert naemlich NULL! und unterstuetzt vorallem nicht alle Funktionen des ConfuserEx.

Was soll er auch für Funktionen unterstützen? Ich kenne keinen Deobfuscator, der ein Projekt vollständig und richtig dekompiliert. UnConfuserEx dekompiliert eine mit ConfuserEx bearbeite Datei. Es lassen sich (meist) die notwendigen, relevanten Codesegmente lesen.

Quote:

Originally Posted by *static_cast Also PHP Dateien auf dem Webserver, die das alles regeln?

Du kannst auch andere Sprachen verwenden... PHP ist meist jedoch die gängigste Variante.

Quote:

Originally Posted by Else Was soll er auch für Funktionen unterstützen? Ich kenne keinen Deobfuscator, der ein Projekt vollständig und richtig dekompiliert. UnConfuserEx dekompiliert eine mit ConfuserEx bearbeite Datei. Es lassen sich (meist) die notwendigen, relevanten Codesegmente lesen.

De4Dot kann das und decompiler gibts genug.

UnConfuserEx entpackt den Packer von ConfuserEx der die Datei kleiner macht und man kann die datei danach mit einem decompiler öffnen.
Hast du dir das überhaupt mal angesehen? da kannst du überhaupt nichts lesen

Kann The Enigma Protector empfehlen.

Quote:

Originally Posted by *static_cast Also PHP Dateien auf dem Webserver, die das alles regeln?

Warum machst du keine simple server instanz? Einfach mit WCF wenn netzwerk programmierung für dich neuland ist (wie für merkel das internet)

Wennst hilfe brauchst add mich auf skype und wir quatschen mal (fuzionxt)

Quote:

Originally Posted by »FlutterShy™ De4Dot kann das und decompiler gibts genug. UnConfuserEx entpackt den Packer von ConfuserEx der die Datei kleiner macht und man kann die datei danach mit einem decompiler öffnen. Hast du dir das überhaupt mal angesehen? da kannst du überhaupt nichts lesen

Sende mir eine Datei. ;)

Quote:

Originally Posted by Crunk' Kann The Enigma Protector empfehlen.

Siehe YouTube. Es gibt genügend Tutorials für das entpacken.

Quote:

Originally Posted by Else Sende mir eine Datei. ;)

Muss ich nicht. Kannst mich nicht vom gegenteil überzeugen da ich mir meiner sache sicher bin

Quote:

Originally Posted by »FlutterShy™ Muss ich nicht. Kannst mich nicht vom gegenteil überzeugen da ich mir meiner sache sicher bin

So kann man auch den Tatsachen aus dem Weg gehen. ;) :mofo:

Quote:

Originally Posted by Xio. Warum machst du keine simple server instanz? Einfach mit WCF wenn netzwerk programmierung für dich neuland ist (wie für merkel das internet) Wennst hilfe brauchst add mich auf skype und wir quatschen mal (fuzionxt)

Eben, es gibt wesentlich schönere Sprachen als PHP. Prinzipiell braucht man nur irgendeine Server-Anwendung, egal in welcher Sprache sie geschrieben ist, die die Kommunikation mit der Datenbank übernimmt. Und da wären wir wieder bei meinem Punkt: sicherheitskritischen Code auf einen Server auslagern, sodass er aus dem Einflussbereich des Nutzers verschwindet. Code, auf den der Benutzer keinen Zugriff hat, den kann er auch nicht lesen/analysieren/verändern.