|
You last visited: Today at 06:25
Advertisement
C# und Themida
Discussion on C# und Themida within the .NET Languages forum part of the Coders Den category.
06/12/2015, 16:51
|
#16
|
elite*gold: 7110 
Join Date: Jun 2009
Posts: 28,908
Received Thanks: 25,409
|
Quote:
|
ich wüsste nicht wie ein viren scanner unterscheiden können soll ob der genutzte packer lizensiert war oder nicht.
|
Zum Beispiel indem die Lizenz ein Zertifikat (oder eine andere Information, die legitim erstellten Binaries beigefügt werden soll) enthält, das dem Output angehängt und von einem AV kontrolliert wird. Seriöse Softwarehersteller kaufen sich eine Lizenz und damit ein Zertifikat, das AV meckert nicht rum. Malware Spreader nutzen entweder eigene bzw. speziell an Malware gerichtete Packer oder gecrackte seriöse und das AV erkennt das.
Setzt natürlich ein Mindestmaß an Kooperation zwischen Packer-Herstellern und AV-Herstellern voraus.
Alternativ hängen Demoversionen und/oder nur halb gecrackte Packer (sprich der Cracker hat einige Details der Lizenzerkennung nicht gefunden oder übersehen) ebenfalls eine Art Zusatzinformation oder eine spezielle Version ihrer generierten Stubs an, deren Signaturen von vornherein an AV-Hersteller als potenziell gefährlich gemeldet werden.
Ich habe nun schon öfters gehört, dass es gerade mit Themida und VMProtect sehr gerne passiert, dass unlizensierte Versionen Virusmeldungen erzeugen, während die Vollversion unauffällige Binaries erzeugt. Ist ja auch nicht gerade dumm; so verhindert man als Hersteller eines Packers, dass die Leute für dein gutes Produkt nicht zahlen wollen.
|
|
|
|
06/12/2015, 20:10
|
#17
|
elite*gold: 0
Join Date: Mar 2015
Posts: 776
Received Thanks: 313
|
Quote:
Originally Posted by MrSm!th
Zum Beispiel indem die Lizenz ein Zertifikat (oder eine andere Information, die legitim erstellten Binaries beigefügt werden soll) enthält, das dem Output angehängt und von einem AV kontrolliert wird. Seriöse Softwarehersteller kaufen sich eine Lizenz und damit ein Zertifikat, das AV meckert nicht rum. Malware Spreader nutzen entweder eigene bzw. speziell an Malware gerichtete Packer oder gecrackte seriöse und das AV erkennt das.
Setzt natürlich ein Mindestmaß an Kooperation zwischen Packer-Herstellern und AV-Herstellern voraus.
Alternativ hängen Demoversionen und/oder nur halb gecrackte Packer (sprich der Cracker hat einige Details der Lizenzerkennung nicht gefunden oder übersehen) ebenfalls eine Art Zusatzinformation oder eine spezielle Version ihrer generierten Stubs an, deren Signaturen von vornherein an AV-Hersteller als potenziell gefährlich gemeldet werden.
Ich habe nun schon öfters gehört, dass es gerade mit Themida und VMProtect sehr gerne passiert, dass unlizensierte Versionen Virusmeldungen erzeugen, während die Vollversion unauffällige Binaries erzeugt. Ist ja auch nicht gerade dumm; so verhindert man als Hersteller eines Packers, dass die Leute für dein gutes Produkt nicht zahlen wollen.
|
Danke für den Post. Habe ich doch beschrieben, dass ich eine Lizenz besitze, oder irre ich?
|
|
|
|
|
06/12/2015, 21:36
|
#18
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,908
Received Thanks: 25,409
|
Tatsache, das habe ich wohl überlesen, tut mir leid. Es handelte sich dabei aber auch eher um eine allgemeine Aussage, die lange nicht auf jedes AV zutreffen muss. Kann natürlich auch welche geben, die, wie tolio sagte, grundsätzlich jeden Packer als verdächtig einstufen.
Du könntest testweise mal etwas an den Einstellungen schrauben. Vielleicht liegt es eben an einer bestimmten Sache, die Themida mit deinem Binary macht, die NOD32 stört. Kann aber auch sein, dass du nichts daran ändern können wirst, ohne die AV-Hersteller zu kontaktieren und dich whitelisten zu lassen.
Ob es den Aufwand überhaupt wert ist und nicht auch einfach nur ein simpler Obfuscator gegen Gelegenheitscracker reichen würde (professionelle wirst du so oder so nicht davon abhalten können, damit musst du dich abfinden), musst du selbst entscheiden.
|
|
|
|
|
06/13/2015, 10:45
|
#19
|
elite*gold: 0
Join Date: Mar 2015
Posts: 776
Received Thanks: 313
|
Quote:
Originally Posted by MrSm!th
Tatsache, das habe ich wohl überlesen, tut mir leid. Es handelte sich dabei aber auch eher um eine allgemeine Aussage, die lange nicht auf jedes AV zutreffen muss. Kann natürlich auch welche geben, die, wie tolio sagte, grundsätzlich jeden Packer als verdächtig einstufen.
Du könntest testweise mal etwas an den Einstellungen schrauben. Vielleicht liegt es eben an einer bestimmten Sache, die Themida mit deinem Binary macht, die NOD32 stört. Kann aber auch sein, dass du nichts daran ändern können wirst, ohne die AV-Hersteller zu kontaktieren und dich whitelisten zu lassen.
Ob es den Aufwand überhaupt wert ist und nicht auch einfach nur ein simpler Obfuscator gegen Gelegenheitscracker reichen würde (professionelle wirst du so oder so nicht davon abhalten können, damit musst du dich abfinden), musst du selbst entscheiden.
|
Danke für deine Antwort. Es geht mir nur darum, die Datenbank-Informationen sicher zu halten: in dieser Datenbank sind einige tausend Accounts, die durch einen dritten Zugriff verändert werden können. Wie kann ich das dann vermeiden?
|
|
|
|
|
06/13/2015, 12:00
|
#20
|
elite*gold: 966
Join Date: Apr 2010
Posts: 1,105
Received Thanks: 681
|
Indem du nicht direkt über den Client, den auch die Kunden haben, mit der Datenbank kommunizierst. Anders gar nicht, denn, wie schon erwähnt, wenn da wirklich jemand ran will, werden Packer und Obfuscatoren ihn eh nicht aufhalten.
Indirekt kannst du bspw. über HTTP mit einen Webserver kommunizieren (häufig ist das der Selbe, auf dem auch die Datenbank läuft), wo du PHP-Skripte hast, welche die GET oder POST Requests des Clients entgegennehmen, prüfen, die Datenbank verändern oder auslesen und ein adäquates Ergebnis über HTTP zurückliefern. Das ist soweit ich weiß eine recht populäre Methode. So hast du die sensiblen Daten für die Datenbank nicht mehr im Client.
Mit freundlichen Grüßen
Jeoni
|
|
|
|
|
06/13/2015, 12:13
|
#21
|
elite*gold: 0
Join Date: Mar 2015
Posts: 776
Received Thanks: 313
|
Quote:
Originally Posted by Jeoni
Indem du nicht direkt über den Client, den auch die Kunden haben, mit der Datenbank kommunizierst. Anders gar nicht, denn, wie schon erwähnt, wenn da wirklich jemand ran will, werden Packer und Obfuscatoren ihn eh nicht aufhalten.
Indirekt kannst du bspw. über HTTP mit einen Webserver kommunizieren (häufig ist das der Selbe, auf dem auch die Datenbank läuft), wo du PHP-Skripte hast, welche die GET oder POST Requests des Clients entgegennehmen, prüfen, die Datenbank verändern oder auslesen und ein adäquates Ergebnis über HTTP zurückliefern. Das ist soweit ich weiß eine recht populäre Methode. So hast du die sensiblen Daten für die Datenbank nicht mehr im Client.
Mit freundlichen Grüßen
Jeoni
|
Also PHP Dateien auf dem Webserver, die das alles regeln?
|
|
|
|
|
06/13/2015, 12:43
|
#22
|
elite*gold: 4
Join Date: Feb 2008
Posts: 3,854
Received Thanks: 1,268
|
Quote:
Originally Posted by Easy-Emu
Dann hast du dir den UnConfuserEx noch nicht angeschaut. Dieser funktioniert naemlich NULL! und unterstuetzt vorallem nicht alle Funktionen des ConfuserEx.
|
Was soll er auch für Funktionen unterstützen? Ich kenne keinen Deobfuscator, der ein Projekt vollständig und richtig dekompiliert. UnConfuserEx dekompiliert eine mit ConfuserEx bearbeite Datei. Es lassen sich (meist) die notwendigen, relevanten Codesegmente lesen.
Quote:
Originally Posted by *static_cast
Also PHP Dateien auf dem Webserver, die das alles regeln?
|
Du kannst auch andere Sprachen verwenden... PHP ist meist jedoch die gängigste Variante.
|
|
|
|
|
06/13/2015, 14:15
|
#23
|
elite*gold: 50
Join Date: Sep 2012
Posts: 3,841
Received Thanks: 1,462
|
Quote:
Originally Posted by Else
Was soll er auch für Funktionen unterstützen? Ich kenne keinen Deobfuscator, der ein Projekt vollständig und richtig dekompiliert. UnConfuserEx dekompiliert eine mit ConfuserEx bearbeite Datei. Es lassen sich (meist) die notwendigen, relevanten Codesegmente lesen.
|
De4Dot kann das und decompiler gibts genug.
UnConfuserEx entpackt den Packer von ConfuserEx der die Datei kleiner macht und man kann die datei danach mit einem decompiler öffnen.
Hast du dir das überhaupt mal angesehen? da kannst du überhaupt nichts lesen
|
|
|
|
|
06/13/2015, 14:17
|
#24
|
elite*gold: 0
Join Date: Jun 2015
Posts: 8
Received Thanks: 1
|
Kann The Enigma Protector empfehlen.
|
|
|
|
|
06/13/2015, 21:12
|
#25
|
elite*gold: 67
Join Date: Aug 2014
Posts: 1,323
Received Thanks: 928
|
Quote:
Originally Posted by *static_cast
Also PHP Dateien auf dem Webserver, die das alles regeln?
|
Warum machst du keine simple server instanz? Einfach mit WCF wenn netzwerk programmierung für dich neuland ist (wie für merkel das internet)
Wennst hilfe brauchst add mich auf skype und wir quatschen mal (fuzionxt)
|
|
|
|
|
06/13/2015, 22:06
|
#26
|
elite*gold: 4
Join Date: Feb 2008
Posts: 3,854
Received Thanks: 1,268
|
Quote:
Originally Posted by »FlutterShy™
De4Dot kann das und decompiler gibts genug.
UnConfuserEx entpackt den Packer von ConfuserEx der die Datei kleiner macht und man kann die datei danach mit einem decompiler öffnen.
Hast du dir das überhaupt mal angesehen? da kannst du überhaupt nichts lesen
|
Sende mir eine Datei. 
Quote:
Originally Posted by Crunk'
Kann The Enigma Protector empfehlen.
|
Siehe YouTube. Es gibt genügend Tutorials für das entpacken.
|
|
|
|
|
06/13/2015, 22:48
|
#27
|
elite*gold: 50
Join Date: Sep 2012
Posts: 3,841
Received Thanks: 1,462
|
Quote:
Originally Posted by Else
Sende mir eine Datei. |
Muss ich nicht. Kannst mich nicht vom gegenteil überzeugen da ich mir meiner sache sicher bin
|
|
|
|
|
06/14/2015, 08:46
|
#28
|
elite*gold: 4
Join Date: Feb 2008
Posts: 3,854
Received Thanks: 1,268
|
Quote:
Originally Posted by »FlutterShy™
Muss ich nicht. Kannst mich nicht vom gegenteil überzeugen da ich mir meiner sache sicher bin
|
So kann man auch den Tatsachen aus dem Weg gehen. 
|
|
|
|
|
06/14/2015, 23:55
|
#29
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,908
Received Thanks: 25,409
|
Quote:
Originally Posted by Xio.
Warum machst du keine simple server instanz? Einfach mit WCF wenn netzwerk programmierung für dich neuland ist (wie für merkel das internet)
Wennst hilfe brauchst add mich auf skype und wir quatschen mal (fuzionxt)
|
Eben, es gibt wesentlich schönere Sprachen als PHP. Prinzipiell braucht man nur irgendeine Server-Anwendung, egal in welcher Sprache sie geschrieben ist, die die Kommunikation mit der Datenbank übernimmt. Und da wären wir wieder bei meinem Punkt: sicherheitskritischen Code auf einen Server auslagern, sodass er aus dem Einflussbereich des Nutzers verschwindet. Code, auf den der Benutzer keinen Zugriff hat, den kann er auch nicht lesen/analysieren/verändern.
|
|
|
|
 |
|
Similar Threads
|
[Help] Themida
03/13/2013 - Metin2 PServer Guides & Strategies - 3 Replies
I say right away that I'm Polish and sorry for mistakes.
Has anyone of you unpacker Themida?
If so, please link to Unpacker :) Yours;)
|
Help:Themida error.
03/27/2012 - S4 League - 1 Replies
Hi guys,I need some help about a little problem.
Every times I start s4league with kintow,asd team trainer,aurora...I got themida error.
I want to know if there is any way to fix it or avoid it.
:handsdown:
|
Themida
12/29/2010 - WarRock - 0 Replies
Hi ich habe eine frage warum muss man hacks mit Themida verpacken?:rtfm:
|
Mit Themida packen
10/31/2010 - WarRock - 14 Replies
Hi elitepvpers,
Ich hab da mal eine Frage:
Woher bekomm ich Themida und wie bepacke ich damit Hacks?
Und bei C++ wenn man da anstatt debug release macht ist der hack doch schon bepackt oder?
Aber bei mir zeigt des dann ein virus an
|
Themida
02/10/2008 - Lineage 2 - 9 Replies
Anyone else getting this themida error on opening a second screen? At the moment I can only run one L2 client at a time = no party botting:mad:
Please help!
Oreans Technology : Software Security Defined.
|
All times are GMT +1. The time now is 06:27.
|
|
