ComputerBase Menü
Aktuelles

VirusTotal verlässlich für APK Scans?

siggi%%44 schrieb:
Was auch immer dieses Tool macht, du kannst eine classes.dex nicht dekompilieren > Java Code erstellen > wieder zu classes.dex kompilieren. Es geht nicht! Unter diesem Aspekt wäre jede App auch Open Spurce, was sie aber nachweislich nicht ist. Ganz einfach.
Zum Vergrößern anklicken....
Und wie genau funktioniert der Revanced Manager, der die ORIGINALE YT App vom System hernimmt und dann das Verhalten grundsätzlich ändert und als neue YT-MOD APK rausschreibt?
Analog Lucky Patcher, der mit vielen Apps funktioniert um Werbung zu entfernen?
Siehe auch hier: https://nikhil-gandla777.medium.com...x2jar-and-jd-gui-in-your-windows-47ea1ce3c410

Dieses Tool macht es sogar online for free: https://www.decompiler.com/
Einfach mal von apkmirror eine APK laden (zB Youtube) und per Drag/Drop hochlade. Danach hast Du die ganzen Sourcen in Plaintext!

Dass nur der Name mit einer DB abgeglichen würde, halte ich für groben Unfug. Dann könnten Programmierer von Viren ja einfach "Microsoft Word" in den Virus-exe Namen schreiben. Also das wäre ein bisschen arg billig :
 
Junge, Junge, Junge...
Ergänzung ()

ILikeCB schrieb:
Dass nur der Name mit einer DB abgeglichen würde, halte ich für groben Unfug.
Zum Vergrößern anklicken....
Du kannst bei Android NICHT denselben Paketnamen verwenden!!!
Ergänzung ()

ILikeCB schrieb:
Dass nur der Name mit einer DB abgeglichen würde,
Zum Vergrößern anklicken....
Lies es!! Punkt 4!!

https://www.kuketz-blog.de/truegerische-sicherheit-virenscanner-apps-sind-schlichtweg-ueberfluessig/

Ich hasse diesen Typen zwar, aber hierbei hat er leider recht.
 
Zuletzt bearbeitet:
OK, scheinbar scheiden sich die Geister hier enorm - ist definitiv spannend.

Dann aber noch eine logisch gedachte Rückfrage:
Wenn doch nur "Name" oder Signatur einer Executable mit einer DB abgeglichen würde - wieso werden dann teils offizielle Treiber o.ä. als Schadsoftware erkannt? Wieso, wenn diese doch von Intel & Co stammen, werden diese Signaturen nicht einfach bei Kaspersky etc auf der Whiteliste hinterlegt?

Ich ging bisher der Annahne, dass hier gewisse Heuristiken zuschlagen, die man nicht einfach elimieren könne, da sie andernfalls bei "echter" Schadsoftware nicht mehr anschlagen würden...?

Aber wie geschrieben:
Dieses Tool macht es sogar online for free: https://www.decompiler.com/
Einfach mal von apkmirror eine APK laden (zB Youtube) und per Drag/Drop hochlade. Danach hast Du die ganzen Sourcen in Plaintext! Probier es doch gerne einfach selbst, Du wirst das dann selbst sehen, dass dort die Java CLASS Files rauspurzeln...
 
siggi%%44 schrieb:
Lies es!! Punkt 4!!

https://www.kuketz-blog.de/truegerische-sicherheit-virenscanner-apps-sind-schlichtweg-ueberfluessig/

Ich hasse diesen Typen zwar, aber hierbei hat er leider recht.
Zum Vergrößern anklicken....
Warum den eigentlich der aggressive Ton, hat dir hier jemand was getan?

Der Beitrag handelt doch von Virenscanner APPs also Scanner auf Mobile Platformen wie iOS oder Android. Durch das Sandboxing ergibt es dort natürlich wenig sinn. Das hat aber nichts mit Virus Total zu tun...
 
  • Gefällt mir
Reaktionen: Ro155
Korrekt - vielmehr war ja die Frage, welche Möglichkeiten es bei Schad-SW überhaupt nocht gibt, Unfug zu treiben, wenn VirusTotal mit all seinen Scannern (offline, d.h. abseits vom Handy) und Decompilierung der Sourcen nichts findet (und wie DU schon schriebst - die App sowieso in der Sandbox ausgeführt wird).
 
M-X schrieb:
Durch das Sandboxing
Zum Vergrößern anklicken....
Das hat absolut gar nichts(!) mit der Dekompilierung einer APK zu tun. Die Android Sandbox ist was völlig anderes!
PC295 schrieb:
Dort ist im Log zu sehen, dass die dex files decompliert werden und der Code für werbefreie Videowiedergabe und mehr Konfigurationsmöglichkeiten hineingeschrieben werden.
Zum Vergrößern anklicken....
Wo? Ich sehe nichts derartiges in den Logs. Ein Patch (*.jar-Datei) ist ca. 3-4MB groß, entpackt knapp 10MB. Die neu kompilierte/gepatchte APK ist ca. 10MB größer. Mmhhhh... mal kurz nachdenken... wird der Code umgeschrieben oder die APK nur ergänzt???
 
Dann herzlichen Glückwunsch! Denn offensichtlich wurde hier eine mobile Version von Android Studio entwickelt, die sogar einfacher und leistungsstärker ist als das Original. Natürlich weiß nur noch keiner. Bis jetzt.
Glaub mir, es wird ergänzt.

Du kannst doch alles dekompilieren. Dann zeig uns doch mal den umgeschriebenen Java-Code. Sollte ja für dich kein Problem sein. Eigentlich reicht zwar ein Blick in *.jar-Datei aus, um deine Behauptung zu widerlegen, aber ich lasse mich gerne vom Gegenteil überzeugen.
 
  • Gefällt mir
Reaktionen: Ro155 und M-X
siggi%%44 schrieb:
Das hat absolut gar nichts(!) mit der Dekompilierung einer APK zu tun. Die Android Sandbox ist was völlig anderes!
Zum Vergrößern anklicken....
Das habe ich ja auch gar nicht geschrieben. Das Sandboxing bezog sich auf das Thema Virenscanner auf Mobile Plattformen und nicht auf das Dekompilieren von APKs.

Vielleicht solltest du die Beiträge einfach mal lesen anstatt von oben herab arrogant und aggressiv zu antworten.
 
  • Gefällt mir
Reaktionen: Ro155
M-X schrieb:
Vielleicht solltest du die Beiträge einfach mal lesen anstatt von oben herab arrogant und aggressiv zu antworten.
Zum Vergrößern anklicken....
vielleicht sollten sich einige User mit dem Thema richtig auseinandersetzen, bevor so sinnlose Behauptungen aufgestellt werden, die mit sinnlosen Diskussionen untermauert werden
Ergänzung ()

Virus Total macht nämlich nichts anderes als eine App
 
siggi%%44 schrieb:
Virus Total macht nämlich nichts anderes als eine App
Zum Vergrößern anklicken....
Eine Virus-App auf dem Handy kann aufgrund des Sandboxings doch, das haben wir ja schon besprochen, nicht auf andere Apps oder Daten zugreifen, wenn keine Rechte erteilt werden - daher ist eine Virus App sehr limitiert.

VT selbst ist doch eine Website mit einem Server, auf dem ganz andere Scanner laufen?! Dort können ja auch APK Malware Scanner laufen, die für Windows / Linux programmiert sind und daher die APK decompilieren und dann nach schadhaftem Code schauen.

Oder möchtest Du sagen, dass VT nur Android Virus Apps selbst einsetzt, weswegen das verhalten identisch sein soll!?
 
ILikeCB schrieb:
Eine Virus-App auf dem Handy kann aufgrund des Sandboxings doch, das haben wir ja schon besprochen, nicht auf andere Apps oder Daten zugreifen, wenn keine Rechte erteilt werden - daher ist eine Virus App sehr limitiert.
Zum Vergrößern anklicken....
Ja, genau. Das haben wir schon "besprochen". Eine App hat keinen Zugriff auf Appdaten. Aber: DARUM GEHT ES HIER DOCH GAR NICHT!

Es geht darum, ob eine AV App eine APK dekompiliert. Tut sie aber nicht. Virus Total ebenso wenig. Also AV App = Virus Total!

ILikeCB schrieb:
VT selbst ist doch eine Website mit einem Server, auf dem ganz andere Scanner laufen?!
Zum Vergrößern anklicken....
Nein

ILikeCB schrieb:
Dort können ja auch APK Malware Scanner laufen, die für Windows / Linux programmiert sind und daher die APK decompilieren und dann nach schadhaftem Code schauen.
Zum Vergrößern anklicken....
Eine APK - egal wo sie gespeichert ist - kann NICHT KOMPLETT dekompiliert werden. Könnte man den Code auf diese Weise herausfiltern, wäre jede App auch Open Source, weil die Source ja dann problemlos extrahiert werden kann. Das ist aber nicht so. Darum gint es ja extra Apps, die Open Source sind, weil es i.d.R. sonst keinen Weg gibt, an den Code zu kommen.

Du kannst ohne Root auf jede APK auf deinem Handy zugreifen, weil dieses eine Verzeichnis bei jedem Android der letzten 15 Jahre nur als read-only gemountet ist. Du brauchst nur einen richtigen Dateibrowser oder ADB, um auf die APK zuzugreifen. Daher kann das auch jede AV App. Aber sie kann die APKs NICHT dekompilieren.
Ergänzung ()

APK => signiertes ZIP-Archiv bestehend aus:
  • Androidmanifest.xml
  • /META-INF
  • /lib
  • /res
  • classes.dex
  • resources.arsc
  • andere

Eine APK vernünftig zu öffnen, nennt sich auch dekompilieren. Aber hier geht es um die classes.dex (teilweise dekompilierbar) und die Libraries, die "disassembled" (dekompiliert) werden. Spätestens hier hast du null Chance, an den C++ Code zu kommen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz