Computerbeveiliging - Hoe je bad guys buiten de deur houdt

controle backdoored .exe?

30-06-2010, 23:04 door famk7, 5 reacties
Hallo iedereen,

Ik vraag me af hoe je zeer grondig kan controleren of een .exe bestand backdoored is? Of niet is? Ook al is de backdoor FUD.

MVG
Reacties (5)
01-07-2010, 01:27 door Anoniem
Geen idee wat je bedoelt met FUD, ik ken dat alleen als http://nl.wikipedia.org/wiki/Fear,_uncertainty_and_doubt..

Het hangt er een beetje vanaf hoe paranoia je bent, in de meeste gevallen moet het mogelijk zijn om een md5sum te verkrijgen van degene die het gemaakt heeft..

Als je niet weet wie het gemaakt heeft wordt het ingewikkelder, maar moet er nog steeds wel een antwoord te vinden zijn, maar daarvoor zou je wat meer info moeten geven :) Kun je die .exe ergens posten bvb?
01-07-2010, 09:57 door Preddie
Als je alleen wilt weten of het schadelijk voor je is kun je het bestand misschien het best uploaden naar een dienst als www.virustotal.com

Mocht je executable zelf willen analyseren dan zou ik een aantal tools pakken waarmee je het geheugen van je machine kunt na lopen, vervolgens ga je ook kijken welke bestanden en/of dll's er worden aangeroepen enz. enz. dit is meer wat voor onderzoekers .... ik als je alleen wilt weten of het bestand schadelijk is zou ik het gewoon uploaden naar een online dienst ...
01-07-2010, 09:59 door famk7
FUD = Fully Undetected > doormiddel van encryptie om je antivirus in runtime + scantime te omzeilen.
Ik heb niet een specifiek .exe bestand dat ik wil controleren, maar ik weet dat het mogelijk moet zijn om er 100% van zeker te zijn of een .exe bestand backdoored is of niet... en dat wil ik leren.
01-07-2010, 10:00 door famk7
@Predjuh: virustotal ken ik maar ik wil het leren onderzoeken...
01-07-2010, 12:15 door Anoniem
Door famk7: FUD = Fully Undetected > doormiddel van encryptie om je antivirus in runtime + scantime te omzeilen.
Ik heb niet een specifiek .exe bestand dat ik wil controleren, maar ik weet dat het mogelijk moet zijn om er 100% van zeker te zijn of een .exe bestand backdoored is of niet... en dat wil ik leren.

Dat is niet de originele betekenis van FUD. Als je serieus genomen wilt worden als onderzoeker, moet je die uitleg niet meer gebruiken. Het klinkt namelijk als een malwareschrijver met lage intelligentie die niet beseft dat er niet zoiets bestaat als ondetecteerbare malware. Alles is te detecteren.

Als je wilt leren hoe je kan zien of er in een executable een backdoor zit, kun je het beste machinetaal en disassembleren (zoals met OllyDbg) bestuderen. Dan moet je natuurlijk ook kennis hebben van assembler en de diverse API's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.