[Präsentation] Anti - Timer

Home · 11. Juni 2013

Guten Tag/Abend.

Mit Freude darf ich euch heute schon Vorstellen, an welch einem Projekt, Technology wir jetzt arbeiten.
Wir interessieren uns schon sehr, was und wie es in der Anti - Viren Branche vorgeht..
Aus diesem besonderem Anlass haben wir beschlossen ein kleines Tool zu erstellen.

Die Erkennung läuft mit einer Server-abfrage und einer Verhaltens-abfrage..

Das Team besteht aus 2 Programmierer, 1 Sprecher (Auch Tester)(Ich )

Das erste Video:

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

(Auf dem Video werden die ganzen Datei getestet, bis dann eine Datei ist die nicht erkannt wird, da sie noch unbekannt ist und eine Schädlich ist)

Mehr Informationen habe ich von dem Projekt, jetzt noch nicht bekommen.
Der Release - Termin ist mir auch noch leider unbekannt.

P.S:
Wir können das Programm euch (den Usern in diesem Forum) nicht geben, da die Programmierer den "Code" (das Innenleben) nicht veröffentlichen wollen.

Wieso schreiben wir das in dieses Forum?
Damit wir Feedback und Verbesserungsvorschläge bekommen.
Bitte Bewertet die Idee und gebt uns bitte viele Vorschläge..
Bei Fragen stehe ich auch bereit, meine Kollegen zu fragen und euch die Fragen zu beantworten.

MFG Apfel (Nur Sprecher)

oernqsvfu_fgvaxg · 12. Juni 2013

Zitat

Die Erkennung läuft mit einer Server-abfrage und einer Verhaltens-abfrage..

Das finde ich nicht sehr verstädnlich. Woran erkennt das Programm, ob es sich um eine schädliche Datei handelt oder nicht? Was genau wird zum Server gesendet?
Warum heißt das ganze: "Anti Timer"?
Wie ist das mit dem Löschen - werden schreibgeschützte / Programmgeschützte Dateien entfernt?

Allgemein glaube ich nicht, dass man zu dritt ein ordentliches Antivirenprogramm erstellen oder eine neue Technologie zur Virenerkennung erfinden kann, während es Firmen gibt, die mit mindestens 100 Mann seit mindestens 10 Jahren in diesem Bereich tätig sind und dort ihre Produkte auch verkaufen, aber probieren kann es natürlich jeder selber.

Außerdem würde ich alles nochmal korrekturlesen.

Home · 7. August 2013

Also, das Projekt wird wieder aktiviert.
Es war inaktiv, da wir Probleme mit unserem Server hatten...

Da in unseren Test's die Daten auf den Server geladen werden und dann die Daten getestet ( Cloud - Verhalten) werden.
Unsere Server sind, beim "Massen Test" (wir haben getestet, ob die Server es ausgehalten haben, wenn 5 Leute es gleichzeitig machen) regelrecht zusammen gebrochen und jede paar Minuten ausgefallen.

Da in der neusten Alpha Version, alle Daten, wenn die Daten geschrieben, geöffnet und gelesen werden getestet wurden..

Also eine Hook -Anbindung, diese hat es dann geschafft, den Server den Rest zu geben ...

Was jetzt neu ist, ist das das Programm die ganze Zeit mit dem Server in Kontakt steht.
Was auch neu ist, das Programm merkt sich die letzten Daten - Werte (schädlich oder nicht) und fragt den Server nicht mehr..

Was kommt noch?
Der Server soll die Datenbank global, für alle Programm haben und nur bei neuen Daten das Verhalten scannen..

Die Software kommt doch erst nächstes Jahr raus..
Wir haben auch besprochen, was wir dann damit machen, es wird die 30 Tage Testversion für ALLE zugänglich sein.
Sollte ein User dann mehr davon wollen, muss er sich für 40€ im Jahr die Vollversion kaufen.
Die Pläne sind aber noch nicht genau..

Ich wurde soeben auch zum Programmierer befördert

In unseren Test, sind ALLE Server regelrecht in die Knie gegangen.

Wir haben getestet:
Was macht das Programm wenn, ein anderes Programm sich installiert, wir haben auf einem test - Computer das Programm "XAMPP" installiert, ja der Server hatte dann nur von EINEM Computer so um die 2.000 Abfragen in so 1-2 Sekunden.
Bis die Firewall den Test- Computer dann blockiert hatte.
Da müssen wir allerdings noch etwas machen..

In den nächsten Wochen folgen mehr Videos über das Programm.

Zu den Fragen von He3lixxx:
Wir haben das ganze Anti-Timer genannt, da ein Keylogger oder eine Malware in der Regel meistens einen Timer besitzt, dieser ist darauf ausgebaut die User um ihre Daten auszurauben.
Wir wollen damit sagen, damit wir DAGEGEN sind und etwas dagegen machen wollen.

Ja, mit den Rechten, Anti-Timer "injektet"(frisst) sich in Windows und gibt dem System den Befehl, diese Datei ohne irgendwelche Faxen zu löschen.

Ja, also zu dem, dass es Firmen gibt, die es auch versuchen, wir wollten es auch versuchen und es sieht eig. sehr gut aus.
Natürlich werden wir, sobald wir richtig mit dem Programm rausgehen, die anderen Anti-Viren Hersteller auf Partnerschaft fragen, damit wir die Ergebnisse teilen können.

MFG BrotZeit

mbcool · 7. August 2013

Und ihr denkt, dass euer "Anti Timer" dann User vertrauen und einsetzen?
Was spricht denn dafür nicht Kaspersky etc. zu vertrauen, welches schon seit vielen Jahren
gegen Viren "kämpft" sondern eurem Programm?

TheBlackTiger · 7. August 2013

Naja viel Glück dabei.
Vor allem, welche amderem Anti-Viren Hersteller meint Ihr?
Ich denke größere werden nicht Interessiert sein sich mit 3 Personen zu Verbünden.
Da ihr ja nichtmal eine Firma da stellt.
Die würden sich eher kaputt lachen ;).

Home · 7. August 2013

Also, Grundgesetzlich empfehlen wir noch ein Anti-Viren Programm mit auf dem Computer zu lassen, welches schon länger auf dem Markt ist, da es dann auch vor alten Viren schützt.

Des gute bei uns, wir arbeiten an einer Cloud welche die Daten auf das Verhalten prüft und dann das Ergebnis an den User gibt, so, kann man zb aus einem Programm welches noch kein Anti-Viren Programm erkennt, sagen, dass es eigenartige Verhalten aufzeigt.

Dieses ist zb: beim Keylogger, dass er die Tasten aufnimmt.
Bei der Malware, dass es Daten, die man eben, bei einer Webseite angibt, in das Internet gesendet werden
Der Sality sich in jede Exe injektet und sich so weiterpflanzt.
der zbot die Firewall aushebelt..

Und so weiter..

TheBlackTiger · 7. August 2013

Nunja die Funktionen die du da aufzählst sind nichts besonderes.
Das können andere auch.
Ich habe bis jetzt noch NIE ein Virus gehabt und benutze 2 kostenlose Programme die sich nur melden wenn wirklich was ist und nicht nach Geld schreien.

Darklight · 7. August 2013

Ich finde die Idee an und für sich ja nicht schlecht, das Verhalten eines Programmes auf eurem Server zu untersuchen (Nichts anderes macht Google im Play Store).
Doch das das Programm in ständigem Kontakt mit eurem Server steht macht mich traurig. Einerseits würde das von meinem Programm sofort geblockt werden, andererseits sehe ich keinen Grund in ständigem Kontakt mit dem Server zu stehen, was erhofft ihr euch davon ?

Ein weiterer Kritikpunkt ist, dass ich den "Virus" erst ausfindig machen muss, damit euer Programm ihn erkennt. Ich nehme euch also die Hälfte eurer Arbeit schon ab. Eine Instant-Erkennung ist ein Muss für alle Anti-Viren Programme.

Home · 7. August 2013

Zitat von Darklight

Ich finde die Idee an und für sich ja nicht schlecht, das Verhalten eines Programmes auf eurem Server zu untersuchen (Nichts anderes macht Google im Play Store).
Doch das das Programm in ständigem Kontakt mit eurem Server steht macht mich traurig. Einerseits würde das von meinem Programm sofort geblockt werden, andererseits sehe ich keinen Grund in ständigem Kontakt mit dem Server zu stehen, was erhofft ihr euch davon ?

Ein weiterer Kritikpunkt ist, dass ich den "Virus" erst ausfindig machen muss, damit euer Programm ihn erkennt. Ich nehme euch also die Hälfte eurer Arbeit schon ab. Eine Instant-Erkennung ist ein Muss für alle Anti-Viren Programme.

Der ständige Kontakt mit dem Server, besteht auch darin, da wir eine Globale Server Datenbank haben.
Diese wird immer kontrolliert, dass sobald eine Änderung drinnen vorkommt, werden ALLE Computer upgedatet, also sind Sie immer auf dem Schutz..
Wenn es aber eine neue Datei gibt, muss ein Benutzer diese Datei erst auf dem Computer haben, das Programm merkt, dass das es die Datei nicht kennt und diese wird dann auf den Server zum Test geladen.
Dort entscheidet der Server dann ob es in die gute oder böse Liste kommt.

TheBlackTiger · 7. August 2013

Das seh ich genauso.
Gerade das Virus angeguckt und das Prinzip ist sehr schlecht.
Instant-Control muss drin sein zum Prüfen.
Viren schreiben sich meistens ins System und dort clickt niemand mal auf alles drauf ;).
So würde dafür niemand Geld ausgeben bzw wie ihr das so wollt auch keine Interesse an eine Partnerschaft haben.

Tion · 8. August 2013

Ich habe noch nie jemanden gesehen, der sich in einen Beitrag so oft ins Bein schießt O.o

Schön zu wissen, dass euer komplettes System in die Knie geht, wenn mehr als 5 etwas hochladen - man geht bei so etwas nicht auf Details ein sondern sagt etwas in der Art wie „es gab Fehler in der Serversteuersoftware die unser Team nicht reproduzieren konnte“ oder „unser Budget reicht nicht für die benötigten Ressourcen und wir mussten uns nach entsprechenden Mitteln umgucken“.

Auch, dass sich euer Programm in das System injected - du meinst wohl damit, dass es auf Systemebene arbeitet, um Dateien effektiv zu löschen. Die Erklärung, dass injecten so etwas wie „reinfressen“ bedeutet ist auch nicht optional, denn bei dem Computer fressen nur Würmer sich in das System.

Das mit dem Timer ist Blödsinn - jeder erfahrene Programmierer geht von dem Client-Server-Modell ab und wechselt zu P2P mit Public-Key-Authentifizierung. Vorteile dabei sind, dass man keinen zentralen Server braucht ( spart Kosten und senkt die Wahrscheinlichkeit, dass der gebusted wird ) und dass man Befehle anonym gibt. Das man als einziger die Befehle senden kann realisiert man, wie oben angeschnitten, über das Public Key Verfahren.

Ich wette, ich schaffe es, einen Virus zu programmieren, den das System nicht erkennt. Es ist nämlich unmöglich, dass zu erkennen, wenn man nicht über bekannte Muster im Protokoll geht. Aber dann wird eben das IRC-Protokoll zur Übertragung von Befehlen genutzt. Und wenn das gesperrt wird FTP. WebDav. HTTP. SMTP. POP3. Soll ich weiter machen ?
Du weißt ja nicht, ob das Programm eine Datei hochlädt, weil es die synchronisiert oder weil sie böses damit plant.

Edit ( this line Okay, werden abgefangene Passwörter mit Base64 kodiert und über die API des IEs gesendet. Firewall und Content-Filter umgangen. Alternativ zu Base64 vll jede andere erdenkbare Kodierung ?

Wie handhabt ihr DLLs ? Werden die auch mit hochgeladen ? Oder werden auf eigene, vielleicht nicht manipulierte zurückgegriffen ?

Übrigens dürft ihr Trooper[Y]: anschreiben, ob ihr etwas ohne Source veröffentlichen dürft. ( Sorry 4 Quote, aber rede nicht gerne über Leute, ohne dass sie es mitbekommen )

Ganz vergessen - warum den Emulator nicht auf den Client packen und das dort in einer virtuellen Umgebung testen ? Dann spart ihr Leistung und Traffic, da höchstens funde hochgeladen werden müssen. Und man fühlt sich privater, wenn man die R34 Spiele nicht iwo im Internet weiß, den eigenen Benutzername zugeordnet.

So, habe über 30 Minuten getippt und hoffe euch ein bisschen geholfen. Gute Nacht

Kindischer Namesfaker · 8. August 2013

Was ist den das für ein mist¿ Ich hab mein Avast Pro der nervt nicht und doch Scannt der im Hintergrund nsch maleware

TommyAkaServus · 8. August 2013

Ich denke als Hobbyprogrammierer zu Erforschen wie sowas geht ist schon sinnvoll, damit man einfach mal weiß: wie, warum und weshalb aber mehr ist da auch nicht damit zu machen.

SBIKA · 8. August 2013

Dass Dateien auf einem Server automatisch ueberprueft werden ist nichts neues. Threatexpert ist wohl einer der bekanntesten Services dieser Art, bei dem man auch die Analyse Resultate oeffentlich einsehen kann. Auch bei herkoemmlichen Anti-Viren Programmen bestehen derartige Automatische Tests.
Ihr wollt also fuer 40 Euro nur den automatischen Test anbieten, der wahrscheinlich die meisten Schadprogramme nicht als schaedlich erkennt? Ich will hier keine Behauptungen aus der Luft greifen, deswegen waere eine Statistik dazu interessant. Ich nehme an, dass ihr das ganze bereits mit vielen verschiedenen Viren/Schadprogrammen getestet habt, die man im Internet finden kann. Wie hoch war bei diesen automatischen Tests die Erkennungsrate?
Arbeitet ihr mit einer eigenen Virtualisierungssoftware, oder etwas im Handel erhaeltliches? VMWare und dergleichen wird ja gerne von Virenherstellern in Ruhe gelassen, um derartige Automatische-Erkennungssoftware in guten Glauben zu lassen.

Das Programm selbst hoert sich viel zu manuell an. Wer nimmt sich schon die Zeit, um die ganzen Javascripts, die sich beim Browsen im Cache ansammeln alle einzeln hochzuladen. (Im Video wurde eine Javascript Datei hochgeladen.) Werden die Javascripts, welche potenziell boeses im Sinn haben ueberhaupt erkannt?

Der Name ist m.M.n. schlecht gewaehlt. Mit 'Anti-Timer' kann ich relativ wenig anfangen, bzw. wenn ich es hier im Forum lese, denke ich, dass es um irgend ein SA-MP Script oder aehnliches geht. Die Erklaerung zum Namen ist auch merkwuerdig. Es gibt sicherlich den ein oder anderen Amateur-Keylogger, der mit Timer und GetASyncKeyState, oder aehnlichem arbeitet, aber die meisten Keylogger werden wohl eher nicht auf Timer-basierte Methoden zurueckgreifen.

Wenn ihr das fuer 40 Euro im Jahr verkaufen wollt, solltet ihr weit mehr Zeit in die Entwicklung stecken. So wie es sich zur Zeit anhoert strebt ihr einen Preis an, der von Marktfuehrenden Anti-Viren Herstellern verlangt wird, aber bei weit kleinerem Funktionsumfang und bei vermutlich weit kleinerer Erkennungsrate. Marktfuehrende Anti-Viren Software ist laengst nicht mehr nur ein Anti-Viren Programm. Die meisten haben eine Integrierte Firewall, Kindersicherung, Virtualisierung/Sandbox und eine Heuristische/Lokal-Automatisierte Analyse.

PS.: Wenn ihr das wirklich verkaufen wollt, solltet ihr vielleicht nicht unbedingt damit werben, dass bereits nach 5 Nutzern der Server nicht mehr ansprechbar war.

Home · 12. Juli 2015

Das Thema ist schon über 2 Jahre alt und es hat sich sehr sehr viel getan:

- Neue Programmierer (Ich auch)
- Neue Programmierung
- schnelle Erkennung (LOKAL)
- Das Programm schreibt Erkennungscode jetzt auf dem Computer (sobald ein verdächtiges Programm läuft) 1 Computer ist infiziert und dadurch sind 100 andere gerettet.
- Programm wird Open Source.
- Das erste Anti-Viren Programm, OHNE kommerziellen Hintergrund.
- Keine Datenspeicherung (KEINE Passwörter, KEINE persönliche Daten, KEINE BACKDOORS)
- Der Name hat sich geändert.
- Programm ist 100% kostenlos.

Die Programmierung ist bei 60% angekommen.

Wann der Start des Projekts stattfindet, ist leider noch unklar.

Das Programm ist ersten Video (erster Beitrag) ist nur die 0.0.0.1 Alpha gewesen, mittlerweile wird alles im Hintergrund getätigt.

Kinimod · 13. Juli 2015

Open Source, damit jeder Malwareprogrammierer noch einfacher explizit nach Schwachstellen in der Erkennung suchen könnte?

Home · 15. Juli 2015

Zitat von Jack_Bauer

Open Source, damit jeder Malwareprogrammierer noch einfacher explizit nach Schwachstellen in der Erkennung suchen könnte?

Sehr gutes Argument.
Wir werden nochmal darüber nachdenken..

ChristianW · 15. Juli 2015

Zitat von BrotZeit

Sehr gutes Argument.
Wir werden nochmal darüber nachdenken..

Dit Video is privat - Can you give us the perimission to see this video pleaaaasssse

Sinerius · 15. Juli 2015

Zitat von ChristianW

Dit Video is privat - Can you give us the perimission to see this video pleaaaasssse

Ich kann mir das Video auch nicht angucken (PRIVAT)

Home · 3. September 2015

Ist frei, sorry

Update vom neusten Update ( 0.5e

+ Engine fertig
+ Support-Forum fertig
+ Crawler fertig und schon bei knapp 2.000 schädlichen Dateien und Webseiten angekommen
+ Injectionsschutz hinzugefügt
+ Erkennung hinzugefügt, ob Systemdateien verändert werden
+ Erkennung von neuen Viren über die Nutzer hinzugefügt
+ Maximaler RAM Verbrauch von 10MB. ( In der Praxis kam es nie höher )
+ Eine neue API durch die jeder Programmierer kinderleicht neue Samples hinzufügen kann
+ Viele Fehlerbehebungen und viele neue Funktionen

Das Video ist nicht mehr richtig, das Programm arbeitet mittlerweile leise im Hintergrund, ohne das die Dateien ausgewählt werden mussten.
Das im Video war nur eine vor vor Version von der jetzigen Engine.

In nächster Zeit suchen wir aktive Beta Tester.

Die BETA geht eine Woche, danach wird von allen Testern ein Fragebogen ausgefüllt.
Bewerbungen finden dann in unserem Forum statt.

In nächster Zeit kommen auch neue Bilder

Wichtige Änderung:

Wir sind auf einen Preis des Programmes gekommen:
- 1. Monat: 2,90€
- 1.Jahr: 25€

Mit unserer neuen Engine "Safe-Cloud", bieten wir eine neue Technologie, bei dem Ihr Euren privaten Beschützer in eurer Cloud habt.
Der Server scannt jede Datei und fertigt ein komplettes Erkennungsmuster auf eurem Computer ab.
Euer Computer muss also NICHTS arbeiten, nur die Daten zu den Servern transportieren. Alles passiert in der Cloud
Sekundlich werden spezielle Scans hochgeladen, die es der Cloud dann ermöglichen, euch von ALLEN Viren zu beschützen..
Auch an dem Privatsphärenschutz wurde gedacht und deshalb ist es für Server nicht möglich, Dokumente hochzuladen.
Die Daten werden so verschlüsselt übertragen dass kein MITM möglich ist.
Da die Daten nicht von echten Menschen kontrolliert werden müssen, werden und können auch keine Daten ausgetragen oder weitergegeben werden.