PHP Forum - Coding Board
Mai 28, 2018, 04:18:04 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
News:
 
   Übersicht   Hilfe Suche Einloggen Registrieren  
Seiten: [1]
  Drucken  
Autor Thema: AV Detection von Exploit Packs  (Gelesen 176 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
YoMom
Newbie
*
Beiträge: 37


Profil anzeigen E-Mail
« am: Juni 26, 2009, 12:14:01 »

Gespeichert
interNode
Abschaum
Full Member
***
Beiträge: 173



Profil anzeigen E-Mail
« Antworten #1 am: Juni 26, 2009, 12:49:34 »

Ich stelle weder Wissen noch Ressourcen für ein armseeliges Board wie dieses zur Verfügung.
« Letzte Änderung: Juli 15, 2009, 12:49:49 von interNode » Gespeichert

Signatur entfernt, da ich mich für mein eigenes Board schämen muss - Syler

Antw.: Danke und die Verwarnung drückt nur deine Hilfslosigkeit über die Aktion aus. Du bistkein guter Admin. Tut mir Leid.
YoMom
Newbie
*
Beiträge: 37


Profil anzeigen E-Mail
« Antworten #2 am: Juni 26, 2009, 12:58:06 »

nein, ich will nicht mit av devil da drüber fahren, deshalb meine ich ja "sowas wie av devil für php". ist vielleicht etwas blöd ausgedrückt, aber eigentlich sollte man verstehen, was ich damit meine. mir ist auch klar, dass es nix bringt, die php file mit sowas zu scannen, falls es das gibt.....aber eben die seite.
die av's erkennen diese packs wohl an ihrem verhalten.....aber wie kann obfuscated javascript das bitte umgehen? das ist eigentlich, was ich nicht verstehe.
Gespeichert
Dr.ChAoS
Nasenflöter
Newbie
*
Beiträge: 38

359803365
Profil anzeigen E-Mail
« Antworten #3 am: Juni 26, 2009, 02:19:56 »

PHP zu Crypten bei einem Web Exploit Pack bringt ja mal gar nichts, denn PHP ist Serverseitig und der Client (AV) wird von dem PHP Code nie was zu Gesicht bekommen.

Ich bin jetzt zwar nicht der Javascript Experte, aber es gibt in Javascript so wie in vielen anderen Scriptsprachen die Funktion "eval()" mit dessen Hilfe du Javascript Code welcher als String übergeben wurde ausführen kannst. Man könnte jetzt den Javascript Code mit irgend einer Verschlüsselung crypten, beim Seitenaufruf wieder entschlüsseln und mit eval dann ausführen.
So in etwa sollte das doch funktionieren.

Ich hab mal ein Beispiel geschrieben:

Code:
<html>
  <head>
    <title>Javascript Crypter</title>
    <script type=&quot;text/javascript&quot;>    
    <!--  
        function decrypt(){
                         //document.getElementById('test').innerHTML='Entschluesselt!';
            var crypted = &quot;al`rjbkq+dbqBibjbkq?vFa%$qbpq$&+fkkboEQJI:$Bkqp`eirbppbiq$8&quot;;
            var str = &quot;&quot;;
           
            for (i=0; i< crypted.length;i++){
                //Simple Caesar Verschlüsselung
                str += String.fromCharCode(crypted.charCodeAt(i)+3);
            }
            //Entschlüsselten Code ausführen
            eval(str);
        }
    //-->
    </script>
  </head>
  <body onload=&quot;decrypt()&quot;>
    <div id=&quot;test&quot;></div>
  </body>
</html>
MfG

Dr.ChAoS
Gespeichert


Klicke auf Das Bild um auch in meine SigiBox zu schreiben.
Jabber: dr.chaos@jabber.org - Nutzt Jabber!
Zitat von: GanonTC;21735
Man stirbt nicht von heute auf morgen.
YoMom
Newbie
*
Beiträge: 37


Profil anzeigen E-Mail
« Antworten #4 am: Juni 26, 2009, 09:18:47 »

danke für die antwort, genau so funktioniert das auch bei den packs, die ich mir angeschaut habe....aber ich kapiere nicht, was das bringt. das javaxscript muss beim vic ja auch decrypted werden, sonst kann es ja nicht funktionieren.....warum merken das die av's nicht? können die nur die seite scannen, aber nicht deren verhalten analysieren?
von php crypten war hier nie die rede, dass das nur serverseitig ist, ist mir klar, ich hab mich nur etwas ungünstig ausgedrückt.
Gespeichert
EBFE
Full Member
***
Beiträge: 109


Profil anzeigen E-Mail
« Antworten #5 am: Juni 26, 2009, 12:37:48 »

Gespeichert

PM an mich? Bitte vorher lesen: EBFEs PM FAQ
YoMom
Newbie
*
Beiträge: 37


Profil anzeigen E-Mail
« Antworten #6 am: Juni 26, 2009, 12:41:06 »

tausend dank für die antwort. ich werd mich morgen mal ransetzen.Smiley
Gespeichert
Dr.ChAoS
Nasenflöter
Newbie
*
Beiträge: 38

359803365
Profil anzeigen E-Mail
« Antworten #7 am: Juni 26, 2009, 01:10:39 »

Also wenn AV's wirklich nur den Code Scannen, nicht ausführen und mit in der Datenbank gespeicherten Signaturen vergleichen, dann sollte es doch auch schon reichen wenn man die Struktur des Programms verändert. Also Variablen + Funktionen umbenennen, Junk Code einbauen, Funktionen verschieben, also z.b. die Reihenfolge.

Wäre auf jedenfall einfacher als alles zu verschlüsseln.
MfG
Dr.ChAoS
Gespeichert


Klicke auf Das Bild um auch in meine SigiBox zu schreiben.
Jabber: dr.chaos@jabber.org - Nutzt Jabber!
Zitat von: GanonTC;21735
Man stirbt nicht von heute auf morgen.
Seiten: [1]
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines | New Look by Nolt Prüfe XHTML 1.0 Prüfe CSS