C# und Themida

Page 1 of 2 1 2
06/07/2015 18:17 const*#1
Hallo,

ich benutze zum Sichern meiner geschäftlichen Projekte Themida (gekauft). Öfter beschweren sich Nutzer über Meldung ihres Antivirus, oft von ESET NOD32 (verwende ich selbst), bei Google Chrome und manchen anderen Browsern wird der Download versucht zu unterbinden (das Antivirus macht hierbei bereits einen Teil, es trennt die Verbindung).

[Only registered and activated users can see links. Click Here To Register...]

Beim Ausführen wird es direkt in die Quarantäne verschoben:

[Only registered and activated users can see links. Click Here To Register...]

Bei Google Chrome meist ein rotes Stoppschild, wo vor dem Download gewarnt wird - doch wieso?

Gibt es einen Weg, das zu umgehen?

Gruß
06/07/2015 18:30 tolio#2
Quote:
Originally Posted by *static_cast View Post
Gibt es einen Weg, das zu umgehen?
nein, diese programme erkennen das das zeug verschlüsselt ist warnen deswegen, was ja auch richtig so ist.

btw Themida kann man einfach runtime dumpen.
06/07/2015 19:13 YatoDev#3
Confuser reicht doch man brauch nicht gleich themida vorallem bei .net recht sinnlos
06/07/2015 20:29 const*#4
Quote:
Originally Posted by tolio View Post
nein, diese programme erkennen das das zeug verschlüsselt ist warnen deswegen, was ja auch richtig so ist.

btw Themida kann man einfach runtime dumpen.
Also nicht sicher? Andere Vorschläge?
06/07/2015 20:35 YatoDev#5
Quote:
Originally Posted by »FlutterShy™ View Post
Confuser
......
06/07/2015 21:11 tolio#6
wo ein wille ist da ist ein weg. ob .net oder nativ alles kann immer gecracked werden.

wenn das ganze doch für geschäftskunde ist, mach ne gescheite lizensierung und wenn dann irgendeiner dein zeug weiterverbreitet geh ihm an den kragen, einfach irgendwo unaufällig watermarken und gut ists.

den weg des custom obfuscators gibts noch, der ein wenig gegen halbherzige angriffsversuche helfen kann, ändern aber auch am benannten problem nichts.

und bevor jetzt wieder jemand schreibt, 'nimm xyz, das ist sicher' - NEIN, nichts ist sicher!
06/07/2015 21:34 Else#7
Quote:
Originally Posted by *static_cast View Post
Also nicht sicher? Andere Vorschläge?
Unabhängig von der Sicherheit... und ausschließlich der Erkennung wegen, rate ich dir zu SA zu wechseln. Die Viren-Programme sagen dort so gut wie gar nichts, ist aber zugleich von den Einstellungen abhängig.
06/07/2015 21:46 const*#8
Quote:
Originally Posted by Else View Post
Unabhängig von der Sicherheit... und ausschließlich der Erkennung wegen, rate ich dir zu SA zu wechseln. Die Viren-Programme sagen dort so gut wie gar nichts, ist aber zugleich von den Einstellungen abhängig.
Ich konnte nichts mit SA anfangen :confused:
06/07/2015 22:11 tolio#9
eine google recherche mit dem stichwort ".net obfuscator sa" führt sofort als erstes ergebnis zu 'SmartAssembly'.

mal ehrlich wieso wartet man im zweifel ewig auf ne foren antwort als selber das ergebnis in unter 10sec zu finden
06/07/2015 23:01 const*#10
Quote:
Originally Posted by tolio View Post
eine google recherche mit dem stichwort ".net obfuscator sa" führt sofort als erstes ergebnis zu 'SmartAssembly'.

mal ehrlich wieso wartet man im zweifel ewig auf ne foren antwort als selber das ergebnis in unter 10sec zu finden
Ich habe nach C# SA geschaut.
06/09/2015 07:51 Easy-Emu#11
[Only registered and activated users can see links. Click Here To Register...]

Mindestens so 'gut' wie alle kommerziellen Produkt. Vorallem gibt es bisher kein vernuenftigs Tool um es automatisch zu deobfuscaten, was man von allen anderen kommerziellen nicht behaupten kann.
06/09/2015 17:20 Else#12
Quote:
Originally Posted by Easy-Emu View Post
[Only registered and activated users can see links. Click Here To Register...]

Mindestens so 'gut' wie alle kommerziellen Produkt. Vorallem gibt es bisher kein vernuenftigs Tool um es automatisch zu deobfuscaten, was man von allen anderen kommerziellen nicht behaupten kann.
Natürlich gibt es bereits einen automatischen Deobufuscator! Siehe auch UnConfuserEx. Mindestens so schlecht, wie alle anderen, kostenlosen Obfuscator trifft es eher.

Bossland GmbH benutzt u.a. auch SA. ;)
06/11/2015 22:01 Easy-Emu#13
Dann hast du dir den UnConfuserEx noch nicht angeschaut. Dieser funktioniert naemlich NULL! und unterstuetzt vorallem nicht alle Funktionen des ConfuserEx.
06/12/2015 11:43 MrSm!th#14
Quote:
Originally Posted by tolio View Post
nein, diese programme erkennen das das zeug verschlüsselt ist warnen deswegen, was ja auch richtig so ist.

btw Themida kann man einfach runtime dumpen.
Soweit ich weiß, schlägt sowas vor allem dann an, wenn man einen unlizensierten/gecrackten Packer nimmt und nicht allgemein bei jeglicher Art von Verschlüsselung.
Lizenz kaufen dürfte also helfen.

Packer an sich sind ja auch noch lange nicht verdächtig. Es gibt genug Leute, die ihr Geld mit closed-source Software ihr Geld verdienen.

Quote:
und bevor jetzt wieder jemand schreibt, 'nimm xyz, das ist sicher' - NEIN, nichts ist sicher!
Auslagerung auf einen Server ist sicher*.

*Wenn man es richtig anstellt und die Sicherheit des Serversystems ausklammert (auch wenn wohl niemand irgendwelche 0days für einen Crack verschwenden würde).
06/12/2015 12:23 tolio#15
ich wüsste nicht wie ein viren scanner unterscheiden können soll ob der genutzte packer lizensiert war oder nicht. packer sind gerade in der .net welt verdächtig, deswegen gibts bei solchen dateien eben eine heuristische warnung. im screenshot des TEs sieht mans ja, der obfuscator/packer wurde erkannt, deswegen die warnung.


meine 'nichts ist sicher' aussage bezog sich auf das thema obfuscatoren. absolut ist auf einen server auslagern sehr sicher, da brauchen wir gar nicht weiter drauf eingehen, aber es ist oftmals einfach nicht praktikabel.
Page 1 of 2 1 2