Manche Leute sammeln Briefmarken, Andere sammeln wie ich Viren-Samples. Und genau wie die Markensammler vertr\u00e4umt mit einem Vergr\u00f6sserungsglas vor dem Album sitzen, sitze ich mit einem Debugger \u00fcber meinen Samples, wobei ich auf gleichbleibende Routinen gestossen bin welche vereinzelt in verschiedenen Variationen auftreten.<\/p>\n
Hier ein Beispiel, welches mich einige Zeit besch\u00e4ftigt hielt, da ich es aus Zufall im Kommunikationsprogramm Skype entdeckte:<\/p>\n
MOV EAX, offser str_Siwvid ; \\\\\\\\. \\\\Siwvid
\ncall test_driver
\ntest al, al
\n--------------
\ncall EnumDeviceDrivers
\n--------------
\nCall GetDeviceDriverBaseNameA
\n--------------
\nCMP EAX, 'ntic'
\njnz next_
\ncmp ebx, 'e.sy'
\njnz next_
\ncmp ecx 's\\x00\\x00\\x00'
\njnz next_<\/code><\/p><\/blockquote>\nDiese Routine wird direkt nach dem Start ausgef\u00fchrt und zielt darauf ab, den SoftICE Treiber zu finden um im Bedarfsfall nicht wie erwartet normal zu funktionieren. Die Grundidee dahinter ist es, bei einem Debuggerlauf keine korrekten Informationen preis zu geben. Auf die gleiche Art und Weise lassen sich nicht nur Debugger sondern auch virtuelle Maschinen wie VMware anhand ihrer Treiber erkennen. Doch wie kommt dieser Code in mein Skype?<\/p>\n
Mein erster Gedanke war, dass sich mein Skype einen Virus eingefangen hatte – also begann ich mit einer \u00dcberpr\u00fcfung und begann das File zu lesen bis es mir wie Schuppen von den Augen fiel:<\/p>\n
Die Entwickler von Skype hatten einmal Kazaa herausgebracht, welches von findigen Leuten zerlegt wurde und als Kazaa-Lite ohne Spyware ins Netz gebracht wurde. Scheinbar hatten sie ihre Lektion gelernt und ein Hindernis eingebaut um das Abkupfern der Applilation zu unterbinden. Doch dies ist nicht der einzige Test um das Debuggen zu verhindern welcher eingebaut wurde. Somit lasse ich von Skype ab und wende mich wieder meinen Viren zu.<\/p>\n","protected":false},"excerpt":{"rendered":"
Manche Leute sammeln Briefmarken, Andere sammeln wie ich Viren-Samples. Und genau wie die Markensammler vertr\u00e4umt mit einem Vergr\u00f6sserungsglas vor dem Album sitzen, sitze ich mit einem Debugger \u00fcber meinen Samples, wobei ich auf gleichbleibende Routinen gestossen bin welche vereinzelt in verschiedenen Variationen auftreten. Hier ein Beispiel, welches mich einige Zeit besch\u00e4ftigt hielt, da ich es aus Zufall im […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[231],"class_list":["post-36","post","type-post","status-publish","format-standard","hentry","category-security","tag-debug"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/36","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=36"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/36\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=36"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=36"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=36"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}