Malwarebytes blockt www.overclockers.at

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14872

25.12.2020 - 19:33

Zitat aus einem Post von daisho
Es fängt schon bei den Virenscannern an die random (bei diversen Keygen.exe kann ich es ja noch verstehen weil die Wirtschaft dahinter steckt aber wenn sie dann random programmierte Tools aus eigener Hand löschen oder aus dem Firmenprodukt weil ihnen grad der Hash nicht passt ... come on).

ahaha oder weil du in nem string im source irgendwo "exploit" stehen hast. jesus fucking christ....

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19879

25.12.2020 - 19:39

Bei uns ist bei einigen Kunden letztens die Server stehen geblieben weil ein bestimmter Virenscanner (Name will ich jetzt nicht nennen) halt dachte ich lösch jetzt mal diese spezielle exe (main server Prozess) weil ich lustig bin (schon ewig drauf installiert) > beim nächsten restart oder reboot geht auf einmal nix mehr ... lawl

Was kannst da machen? Ich meine man liefert ja nicht jede seiner Executables zu allen Virenscanner-Herstellern zum absegnen oder whatsoever ... Heuristic einfach random. Colo würd sicher seinen Beitrag dazu schreiben

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25708

25.12.2020 - 20:17

Mit BenchMate hab ich auch jetzt schon einiges gesehen. Da schreibt die AV-Software einfach so bei manchen frisch gelaunchten Prozessen in den Process Memory. BechMate blockt solche Versuche und gibt entsprechend FALSE zurück und dann stirbt der Prozess, weil das nicht richtig abgefangen wird. WTF?!

Mittlerweile erlaube ich bei der neuesten Version den Schreibzugriff, aber man kann dann keine gültigen Resultate mehr erzeugen. Pech!

semteX

hasst die KI

Registered: Oct 2002
Location: Pre
Posts: 14872

25.12.2020 - 20:25

Zitat aus einem Post von daisho
Ich meine man liefert ja nicht jede seiner Executables zu allen Virenscanner-Herstellern zum absegnen oder whatsoever

nein, aber du kannst vorm ausliefern zum kunden mal mit allem drüberscannen, ob dir eh keiner die files rauslöscht

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19879

25.12.2020 - 20:28

Kann der Kunde machen, ja ... besser wohl das ausnehmen der Verzeichnisse (ist halt auch so eine Sache

).

Nur da ist halt eine Software installiert, teilweise sogar JAHRE ohne Änderung ... und nach einem Virenscanner-Update > weg

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4167

05.01.2021 - 16:32

Zitat aus einem Post von mat
Da schreibt die AV-Software einfach so bei manchen frisch gelaunchten Prozessen in den Process Memory.

lolwhut? warum? windows software steckt sowas einfach weg?

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25708

05.01.2021 - 16:34

Solange du weißt, was du tust. Du kannst ja Funktionen on-the-fly decompilen, um Jumps einzusetzen. Nicht unüblich bei DLL-Injections.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6629

31.07.2021 - 09:51

Achja, es ist wieder soweit malwarebytes blockiert oc.at

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12211

31.07.2021 - 09:56

Projekt fuers Wochenende: Einfach mal ueberall gechillt deinstallieren, das Glumpat.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 51136

31.07.2021 - 09:59

Die gibt's noch?

semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14872	25.12.2020 - 19:33 Zitat aus einem Post von daisho Es fängt schon bei den Virenscannern an die random (bei diversen Keygen.exe kann ich es ja noch verstehen weil die Wirtschaft dahinter steckt aber wenn sie dann random programmierte Tools aus eigener Hand löschen oder aus dem Firmenprodukt weil ihnen grad der Hash nicht passt ... come on). ahaha oder weil du in nem string im source irgendwo "exploit" stehen hast. jesus fucking christ....
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19879	25.12.2020 - 19:39 Bei uns ist bei einigen Kunden letztens die Server stehen geblieben weil ein bestimmter Virenscanner (Name will ich jetzt nicht nennen) halt dachte ich lösch jetzt mal diese spezielle exe (main server Prozess) weil ich lustig bin (schon ewig drauf installiert) > beim nächsten restart oder reboot geht auf einmal nix mehr ... lawl Was kannst da machen? Ich meine man liefert ja nicht jede seiner Executables zu allen Virenscanner-Herstellern zum absegnen oder whatsoever ... Heuristic einfach random. Colo würd sicher seinen Beitrag dazu schreiben
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25708	25.12.2020 - 20:17 Mit BenchMate hab ich auch jetzt schon einiges gesehen. Da schreibt die AV-Software einfach so bei manchen frisch gelaunchten Prozessen in den Process Memory. BechMate blockt solche Versuche und gibt entsprechend FALSE zurück und dann stirbt der Prozess, weil das nicht richtig abgefangen wird. WTF?! Mittlerweile erlaube ich bei der neuesten Version den Schreibzugriff, aber man kann dann keine gültigen Resultate mehr erzeugen. Pech!
semteX hasst die KI Registered: Oct 2002 Location: Pre Posts: 14872	25.12.2020 - 20:25 Zitat aus einem Post von daisho Ich meine man liefert ja nicht jede seiner Executables zu allen Virenscanner-Herstellern zum absegnen oder whatsoever nein, aber du kannst vorm ausliefern zum kunden mal mit allem drüberscannen, ob dir eh keiner die files rauslöscht
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19879	25.12.2020 - 20:28 Kann der Kunde machen, ja ... besser wohl das ausnehmen der Verzeichnisse (ist halt auch so eine Sache ). Nur da ist halt eine Software installiert, teilweise sogar JAHRE ohne Änderung ... und nach einem Virenscanner-Update > weg
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4167	05.01.2021 - 16:32 Zitat aus einem Post von mat Da schreibt die AV-Software einfach so bei manchen frisch gelaunchten Prozessen in den Process Memory. lolwhut? warum? windows software steckt sowas einfach weg?
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25708	05.01.2021 - 16:34 Solange du weißt, was du tust. Du kannst ja Funktionen on-the-fly decompilen, um Jumps einzusetzen. Nicht unüblich bei DLL-Injections.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6629	31.07.2021 - 09:51 Achja, es ist wieder soweit malwarebytes blockiert oc.at
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12211	31.07.2021 - 09:56 Projekt fuers Wochenende: Einfach mal ueberall gechillt deinstallieren, das Glumpat.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 51136	31.07.2021 - 09:59 Die gibt's noch?

Malwarebytes blockt www.overclockers.at

Forum Index > Community > Community Hub

semteX

daisho

mat

semteX

daisho

wergor

mat

mr.nice.

COLOSSUS

Viper780