Hallo Leute,
hat jemand Infos oder einen Link zu den Techniken, mit denen Virenscanner Dateien auf verdächtige Signaturen überprüfen? Geht es nur um Dateigröße/-typ oder werden bspw. ausführbare Dateien mit ihrem Binärcode in den Speicher geladen oder gar disassembliert?
Meine Frage hat folgenden Hintergrund:
Ich bin auf einen Keygen der Shareware WinRAR gestoßen, der von zwei Freeware-Antiviren-Programmen sofort als Trojaner identifiziert wurde und alle Aktionen mit dieser ausführbaren Datei wurden unterbunden. Dagegen haben die kommerziellen Scanner von AVK 2008 (GData) und NOD32 (Eset) gar keinen Mucks von sich gegeben. Und ich halte einiges von der Scanengine von AVK!
Daraufhin habe ich mir die Keygen.exe auf meinem Testrechner näher angeguckt. Fazit nach einer mühevollen Kleinarbeit: Sämtliche Registrierungsschlüssel und Programme, welche bei der Installation des Cracks verändert wurden, werden auch vom ungecrackten WinRAR benutzt und gelesen. WinRAR.exe wird mehrmals modifiziert, allerdings liest dieses Programm beim Starten auch im unmodifizierten Zustand in seinen eigenen Offsetbereichen. Es benutzt zur Lizenzierung Schutz- und Verschlüsselungsmechanismen, welche umgangen werden müssen.
Später konnte ich kein verdächtiges Verhalten der veränderten Datei WinRAR.exe feststellen. Das ist natürlich keine 100%-ige Sicherheit, das Programm ist immerhin an mehreren Stellen verändert worden. Und ein Verdachtsmoment bleibt auf jeden Fall: bei der Installation des Cracks schnüffelte der Keygen in einer DLL eines installierten Bluetooth-Stacks herum, der nun gar nichts mit WinRAR zu tun hat.
Ich habe dafür höchstens die Erklärung, dass es sich um einen Schlüsselgenerator/Crack handelt, der einmal einen Trojaner integrierte, dem der "Zahn gezogen wurde".
So entstand bei mir die Frage, wie eine solche .exe-Datei von einem Virenscanner geprüft wird. Wenn der Programmcode überprüft werden soll, muss die Datei doch disassembliert oder dekompiliert werden?
Thx,
UselessUser
UselessUser
