KAV 5.0 und ADS Einstellungen

[Gast_Optimist_*]

Was bedeutet ADS im Zusammenhang mit KAV 5.0?
siehe hier:

Mein Englisch reicht zum Verständnis der vorgenannten Diskussion leider nicht aus.

[raman]

Ich begreife auch nicht so ganz, warum sie A(lternate)D(ata)S(treams) vom scannen ausschliessen wollen. Oder bremst das den Scan der %er Version aus? Ich kann es nicht beurteilen, da ich die Version 5 nicht nutze.
Ich bin ebenfalls, wie "Schouw", der Meinung, das es wichtig ist, auf Dateien im ADS zu pruefen.

Kleine ADS FAQ: http://heysoft.de/Frames/f_faq_ads_de.htm

[Gast_Optimist_*]

@ raman
Danke für die Aufklärung und den Link.
Gruß
Bernd

[Mela]

@ raman

das ist aber doch nur die eine Hälfte der Geschichte:

keith2468: Maybe I'm wrong but I suspect there are 2 separate issues being discussed in this one thread:

1.  Scanning for viruses in alternate data streams.  Kobra seems to me to be talking about this.

2.  Using alternate data streams to store data to reduce AV scan times.  And this is what the others are talking about.

Es ging doch dem Opener des verlinkten Threads ursprünglich um Punkt 2: Daß KAV im ADS einer Datei quasi unsichtbar Daten unterbringt - vermutlich um die Scanzeit zu verkürzen. Und daß man diese "Markierung" nicht so einfach wieder los wird - sofern man überhaupt davon weiß...

Gruß
Mela

[raman]

Ich habe mir die anderen Threads auch dazu noch angesehen. Wenn sie das wirklich so machen sollten, ist es ein Grund fuer mich, KAV5 nicht einzusetzen. Pruefsummen zu einzelnen Dateien koennte man auch geschickter speichern und es funktioniert ja nur mit NTFS Partitionen.

[Joerg]

Habe mir jetzt auch mal KAV 5 installiert, einen Full-Scan gemacht, neugestartet und etwas mit dem PC "herumgespielt" (-> viele File-Zugriffe provoziert). Anschließend mit "Streams" von Sysinternals und CrucialADS von Crucialsecurity die Festplatte überprüft; ich habe keinen einzigen ADS auf meiner Platte, trotzdem war ein Zweitscan erheblich schneller als der Erstscan (Filecache von Windows wurde vorher geleert, um das als Fehlerquelle auszuschließen)

[Joerg]

Hm, Kaspersky unterbindet die korrekte Funktionsweise der von mir genannten Tools. Da reicht es nicht aus, Kaspersky zu beenden und die Services abzuschalten, da wohl irgendwelche Treiber mitgeladen werden, die das Scannen nach ADS (oder nach den Kaspersky-eigenen ADS) verhindert. Ein Scan im abgesicherten Modus ergab nämlich Streams zuhauf.

[Johnyx]

Hi wo ist eigentlich das Problem daran das Kav die Prüfsummen dahinlegt?

Btw. Ich hab meinen Rechner Mal mit dem Programm gescannt (nicht im Abgesicherten Modus) und es hat ein paar Thumbs.db gefunden z.B.:

"!!! ADS FOUND !!! Name=:encryptable:$DATA File=C:\Programme\Futuremark\3DMark03\iq\Thumbs.db"

Hat das etwas zu bedeuten? (Windowsprobleme,etc.)

[Stefan]

Im Verlaufsprotokoll von GoBack werden bei mir alle von KAV gescannten Dateien als geändert und mit dem Zusatz ":KAVICHS" bezeichnet. Könnte das auch damit zu tun haben?

[Joerg]

Im Verlaufsprotokoll von GoBack werden bei mir alle von KAV gescannten Dateien als geändert und mit dem Zusatz ":KAVICHS" bezeichnet. Könnte das auch damit zu tun haben?

Ja, das sind die Streams, die angelegt werden.

[Gast_Faith_*]

kann mir einer bitte erklären, was ADS bedeutet

ist das wirklich wichtig dass ADS gescannt wird ?

wenn nicht, was hat das für auswirkungen ?

[Manu]

kann mir einer bitte erklären, was ADS bedeutet  

ist das wirklich wichtig dass ADS gescannt wird ?

wenn nicht, was hat das für auswirkungen ?

Was zum lesen...

Hier ging es jedoch nicht um das Scannen von ADS-Informationen, sondern vom Ablegen von Informationen im "ADS-Teil".
KAV 5 legt dort Infos ab, damit es beim nächsten mal weiß, ob diese Datei wiede rneu gesannt werden muss, oder ob sie noch im gleichen Zustand wie beim letzten Scan ist.

Der Beitrag wurde von Manu bearbeitet: 05.07.2004, 20:56

[Gast_Faith_*]

kann mir einer bitte erklären, was ADS bedeutet  

ist das wirklich wichtig dass ADS gescannt wird ?

wenn nicht, was hat das für auswirkungen ?

Was zum lesen...

Hier ging es jedoch nicht um das Scannen von ADS-Informationen, sondern vom Ablegen von Informationen im "ADS-Teil".
KAV 5 legt dort Infos ab, damit es beim nächsten mal weiß, ob diese Datei wiede rneu gesannt werden muss, oder ob sie noch im gleichen Zustand wie beim letzten Scan ist.

danke für den Link, aber mein Englisch ist so ziemlich mies , also ich nix verstehen

[Manu]

Also, dann mach ich mich mal ran...

Nur NTFS-Partitionen unterstützen ADS (Alternate Data Streams).
ADS ist versteckt und deshalb auch gefährlich, da sich z.B. Trojaner darin einnisten können.
Der ADS-Teil kann nicht gelöscht werden - man muss die zum ADS-Teil zugehörige Datei löschen.

ADS-Dateien werden nicht mit einbezogen, wenn Du Dir den verfügbaren Seicherplatz des Laufwerks anzeigen lässt.
Ein Programm könnte also eine ads-Datei aufblähen und man würde es so an sich gar nicht merken.

Die ADS-Geschichte wurde hauptsächlich wegen Kompatibilität zum Macintosh entwickelt. Dieser arbeitet nämlich immer mit zwei Teilen (one data fork, and one resource fork).

Und nun zu KAV 5:
KAV 5 macht sich das zu nutze und erkennt durch Ausnutzung dieses ADS-Teils ob eine Datei schon mal gescannt wurde und ob sie seitdem verändert wurde.
Wenn sie nicht verändert wurde, kann KAV 5 diese Datei überspringen.

Und das was nun wohl etwas aufstößt ist, dass KAV 5 hier "ungefragt" Infos im System ablegt, die der User nicht so ohne weiteres entfernen kann...


So, ich bitte um Korrekturen.

[Mela]

KAV 5 macht sich das zu nutze und erkennt durch Ausnutzung dieses ADS-Teils ob eine Datei schon mal gescannt wurde und ob sie seitdem verändert wurde.
Wenn sie nicht verändert wurde, kann KAV 5 diese Datei überspringen.

Dumme Frage, aber könnte ein unbekannter Trojaner z. B. eine vermeintliche ADS-Markierung durch KAV auch "imitieren" oder ist das prinzipiell unmöglich?

Und das was nun wohl etwas aufstößt ist, dass KAV 5 hier "ungefragt" Infos im System ablegt, die der User nicht so ohne weiteres entfernen kann...

soweit es mich betrifft, ist das genau der Punkt. Welche mehr oder weniger guten Gründe KAV dafür auch haben mag, ich würde es vorziehen, bei der Installation darüber informiert zu werden. Und da man diese "Zusatzdaten" auch nicht so einfach wieder los wird, sollte KAV bei seiner Deinstallation auch die Möglichkeit bieten, diese wieder entfernen zu lassen.


Gruß
Mela

[Gast_Nautilus_*]

Ich halte dieses Flagging (ob mit oder ohne Nutzung von ADS) für gefährlich. Wenn es irgendwie gelingt, Malware incl. einem "bereits geprüft" Eintrag auf dem Computer abzuspeichern, besteht die Gefahr, dass der Scanner anschliessend "blind" wird und die Datei nicht mehr prüft.

Es macht mich auch etwas stutzig, dass sich z.B. SennaSpy (der ja ohnehin für seine besondere KAV-Affinität bekannt ist -- siehe z.B. AVPOffset) wieder für die Interna der KAV Engine zu interessieren beginnt ...

[Manu]

Es macht mich auch etwas stutzig, dass sich z.B. SennaSpy (der ja ohnehin für seine besondere KAV-Affinität bekannt ist -- siehe z.B. AVPOffset) wieder für die Interna der KAV Engine zu interessieren beginnt ...

Verlierst Du bitte noch ein/zwei Sätze mehr darüber oder legst ein paar Links nach...?
Was meinst Du damit?

[Gast_Nautilus_*]

Verlinken mag ich das nicht, weil dies gegen die Boardregeln verstossen würde (d.h., keine Links zu Malwareseiten). SennaSpy ist ein nicht ganz unbekannter Hacker/Trojaner-, Wurm und Virusschreiber. Was er diesmal ganz genau vor hat, weiss ich natürlich auch nicht.

Es erscheint mir aber relativ interessant mal herauszufinden, was für Infos KAV denn in den ADS schreibt. Man könnte diese Info auch mal in den ADS einer noch nicht gescannten, identischen Datei kopieren und dann schauen, ob KAV sie noch scannt usw. usw.

Der Beitrag wurde von Nautilus bearbeitet: 06.07.2004, 07:12

[Gast_Dracula_*]

Wenn man bei Kav 5 die Virensignatur updatet, wird dann nicht auch der MD5 cache geleert und alle Daten werden neu eingelesen und gescannt?

Der Beitrag wurde von Dracula bearbeitet: 06.07.2004, 12:47

[Gast_Dracula_*]

Heißt das jetzt, das man Kav 5 nicht benutzen soll?