KAV 5.0 und ADS |
Willkommen, Gast ( Anmelden | Registrierung )
KAV 5.0 und ADS |
Gast_Optimist_* |
12.06.2004, 13:10
Beitrag
#1
|
Gäste |
Was bedeutet ADS im Zusammenhang mit KAV 5.0?
siehe hier: Mein Englisch reicht zum Verständnis der vorgenannten Diskussion leider nicht aus. |
|
|
12.06.2004, 13:48
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich begreife auch nicht so ganz, warum sie A(lternate)D(ata)S(treams) vom scannen ausschliessen wollen. Oder bremst das den Scan der %er Version aus? Ich kann es nicht beurteilen, da ich die Version 5 nicht nutze.
Ich bin ebenfalls, wie "Schouw", der Meinung, das es wichtig ist, auf Dateien im ADS zu pruefen. Kleine ADS FAQ: http://heysoft.de/Frames/f_faq_ads_de.htm -------------------- MfG Ralf
|
|
|
Gast_Optimist_* |
12.06.2004, 14:46
Beitrag
#3
|
Threadersteller Gäste |
@ raman
Danke für die Aufklärung und den Link. Gruß Bernd |
|
|
12.06.2004, 19:55
Beitrag
#4
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 110 Mitglied seit: 29.02.2004 Mitglieds-Nr.: 450 |
@ raman
das ist aber doch nur die eine Hälfte der Geschichte: QUOTE keith2468: Maybe I'm wrong but I suspect there are 2 separate issues being discussed in this one thread: 1. Scanning for viruses in alternate data streams. Kobra seems to me to be talking about this. 2. Using alternate data streams to store data to reduce AV scan times. And this is what the others are talking about. Es ging doch dem Opener des verlinkten Threads ursprünglich um Punkt 2: Daß KAV im ADS einer Datei quasi unsichtbar Daten unterbringt - vermutlich um die Scanzeit zu verkürzen. Und daß man diese "Markierung" nicht so einfach wieder los wird - sofern man überhaupt davon weiß... Gruß Mela -------------------- They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. -Benjamin Franklin-
|
|
|
12.06.2004, 20:08
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich habe mir die anderen Threads auch dazu noch angesehen. Wenn sie das wirklich so machen sollten, ist es ein Grund fuer mich, KAV5 nicht einzusetzen. Pruefsummen zu einzelnen Dateien koennte man auch geschickter speichern und es funktioniert ja nur mit NTFS Partitionen.
-------------------- MfG Ralf
|
|
|
05.07.2004, 17:22
Beitrag
#6
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Habe mir jetzt auch mal KAV 5 installiert, einen Full-Scan gemacht, neugestartet und etwas mit dem PC "herumgespielt" (-> viele File-Zugriffe provoziert). Anschließend mit "Streams" von Sysinternals und CrucialADS von Crucialsecurity die Festplatte überprüft; ich habe keinen einzigen ADS auf meiner Platte, trotzdem war ein Zweitscan erheblich schneller als der Erstscan (Filecache von Windows wurde vorher geleert, um das als Fehlerquelle auszuschließen)
-------------------- Grüße, Jörg
|
|
|
05.07.2004, 17:39
Beitrag
#7
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Hm, Kaspersky unterbindet die korrekte Funktionsweise der von mir genannten Tools. Da reicht es nicht aus, Kaspersky zu beenden und die Services abzuschalten, da wohl irgendwelche Treiber mitgeladen werden, die das Scannen nach ADS (oder nach den Kaspersky-eigenen ADS) verhindert. Ein Scan im abgesicherten Modus ergab nämlich Streams zuhauf.
-------------------- Grüße, Jörg
|
|
|
05.07.2004, 18:26
Beitrag
#8
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 46 Mitglied seit: 09.03.2004 Mitglieds-Nr.: 472 Betriebssystem: Windows 7 X64 Virenscanner: Kav 2013 Firewall: Windows Firewall |
Hi wo ist eigentlich das Problem daran das Kav die Prüfsummen dahinlegt?
Btw. Ich hab meinen Rechner Mal mit dem Programm gescannt (nicht im Abgesicherten Modus) und es hat ein paar Thumbs.db gefunden z.B.: "!!! ADS FOUND !!! Name=:encryptable:$DATA File=C:\Programme\Futuremark\3DMark03\iq\Thumbs.db" Hat das etwas zu bedeuten? (Windowsprobleme,etc.) |
|
|
05.07.2004, 18:33
Beitrag
#9
|
|
Ist unverzichtbar Gruppe: Freunde Beiträge: 4.014 Mitglied seit: 27.03.2004 Mitglieds-Nr.: 522 Betriebssystem: Windows 11 Pro Virenscanner: F-Secure IS Firewall: Router, Windows-Firewall |
Im Verlaufsprotokoll von GoBack werden bei mir alle von KAV gescannten Dateien als geändert und mit dem Zusatz ":KAVICHS" bezeichnet. Könnte das auch damit zu tun haben?
-------------------- Gruß
Stefan |
|
|
05.07.2004, 18:36
Beitrag
#10
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
QUOTE(Stefan @ 5. July 2004, 19:32) Im Verlaufsprotokoll von GoBack werden bei mir alle von KAV gescannten Dateien als geändert und mit dem Zusatz ":KAVICHS" bezeichnet. Könnte das auch damit zu tun haben? Ja, das sind die Streams, die angelegt werden. -------------------- Grüße, Jörg
|
|
|
Gast_Faith_* |
05.07.2004, 20:46
Beitrag
#11
|
Gäste |
kann mir einer bitte erklären, was ADS bedeutet
ist das wirklich wichtig dass ADS gescannt wird ? wenn nicht, was hat das für auswirkungen ? |
|
|
05.07.2004, 20:54
Beitrag
#12
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
QUOTE(Faith @ 5. July 2004, 21:45) kann mir einer bitte erklären, was ADS bedeutet ist das wirklich wichtig dass ADS gescannt wird ? wenn nicht, was hat das für auswirkungen ? Was zum lesen... Hier ging es jedoch nicht um das Scannen von ADS-Informationen, sondern vom Ablegen von Informationen im "ADS-Teil". KAV 5 legt dort Infos ab, damit es beim nächsten mal weiß, ob diese Datei wiede rneu gesannt werden muss, oder ob sie noch im gleichen Zustand wie beim letzten Scan ist. Der Beitrag wurde von Manu bearbeitet: 05.07.2004, 20:56 -------------------- |
|
|
Gast_Faith_* |
05.07.2004, 21:00
Beitrag
#13
|
Gäste |
QUOTE(Manu @ 5. July 2004, 21:53) QUOTE(Faith @ 5. July 2004, 21:45) kann mir einer bitte erklären, was ADS bedeutet ist das wirklich wichtig dass ADS gescannt wird ? wenn nicht, was hat das für auswirkungen ? Was zum lesen... Hier ging es jedoch nicht um das Scannen von ADS-Informationen, sondern vom Ablegen von Informationen im "ADS-Teil". KAV 5 legt dort Infos ab, damit es beim nächsten mal weiß, ob diese Datei wiede rneu gesannt werden muss, oder ob sie noch im gleichen Zustand wie beim letzten Scan ist. danke für den Link, aber mein Englisch ist so ziemlich mies , also ich nix verstehen |
|
|
05.07.2004, 21:51
Beitrag
#14
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
Also, dann mach ich mich mal ran...
Nur NTFS-Partitionen unterstützen ADS (Alternate Data Streams). ADS ist versteckt und deshalb auch gefährlich, da sich z.B. Trojaner darin einnisten können. Der ADS-Teil kann nicht gelöscht werden - man muss die zum ADS-Teil zugehörige Datei löschen. ADS-Dateien werden nicht mit einbezogen, wenn Du Dir den verfügbaren Seicherplatz des Laufwerks anzeigen lässt. Ein Programm könnte also eine ads-Datei aufblähen und man würde es so an sich gar nicht merken. Die ADS-Geschichte wurde hauptsächlich wegen Kompatibilität zum Macintosh entwickelt. Dieser arbeitet nämlich immer mit zwei Teilen (one data fork, and one resource fork). Und nun zu KAV 5: KAV 5 macht sich das zu nutze und erkennt durch Ausnutzung dieses ADS-Teils ob eine Datei schon mal gescannt wurde und ob sie seitdem verändert wurde. Wenn sie nicht verändert wurde, kann KAV 5 diese Datei überspringen. Und das was nun wohl etwas aufstößt ist, dass KAV 5 hier "ungefragt" Infos im System ablegt, die der User nicht so ohne weiteres entfernen kann... So, ich bitte um Korrekturen. -------------------- |
|
|
06.07.2004, 01:32
Beitrag
#15
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 110 Mitglied seit: 29.02.2004 Mitglieds-Nr.: 450 |
QUOTE KAV 5 macht sich das zu nutze und erkennt durch Ausnutzung dieses ADS-Teils ob eine Datei schon mal gescannt wurde und ob sie seitdem verändert wurde. Wenn sie nicht verändert wurde, kann KAV 5 diese Datei überspringen. Dumme Frage, aber könnte ein unbekannter Trojaner z. B. eine vermeintliche ADS-Markierung durch KAV auch "imitieren" oder ist das prinzipiell unmöglich? QUOTE(Manu @ 5. July 2004, 22:50) Und das was nun wohl etwas aufstößt ist, dass KAV 5 hier "ungefragt" Infos im System ablegt, die der User nicht so ohne weiteres entfernen kann... soweit es mich betrifft, ist das genau der Punkt. Welche mehr oder weniger guten Gründe KAV dafür auch haben mag, ich würde es vorziehen, bei der Installation darüber informiert zu werden. Und da man diese "Zusatzdaten" auch nicht so einfach wieder los wird, sollte KAV bei seiner Deinstallation auch die Möglichkeit bieten, diese wieder entfernen zu lassen. Gruß Mela -------------------- They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. -Benjamin Franklin-
|
|
|
Gast_Nautilus_* |
06.07.2004, 06:30
Beitrag
#16
|
Gäste |
Ich halte dieses Flagging (ob mit oder ohne Nutzung von ADS) für gefährlich. Wenn es irgendwie gelingt, Malware incl. einem "bereits geprüft" Eintrag auf dem Computer abzuspeichern, besteht die Gefahr, dass der Scanner anschliessend "blind" wird und die Datei nicht mehr prüft.
Es macht mich auch etwas stutzig, dass sich z.B. SennaSpy (der ja ohnehin für seine besondere KAV-Affinität bekannt ist -- siehe z.B. AVPOffset) wieder für die Interna der KAV Engine zu interessieren beginnt ... |
|
|
06.07.2004, 06:57
Beitrag
#17
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
QUOTE(Nautilus @ 6. July 2004, 07:29) Es macht mich auch etwas stutzig, dass sich z.B. SennaSpy (der ja ohnehin für seine besondere KAV-Affinität bekannt ist -- siehe z.B. AVPOffset) wieder für die Interna der KAV Engine zu interessieren beginnt ... Verlierst Du bitte noch ein/zwei Sätze mehr darüber oder legst ein paar Links nach...? Was meinst Du damit? -------------------- |
|
|
Gast_Nautilus_* |
06.07.2004, 07:11
Beitrag
#18
|
Gäste |
Verlinken mag ich das nicht, weil dies gegen die Boardregeln verstossen würde (d.h., keine Links zu Malwareseiten). SennaSpy ist ein nicht ganz unbekannter Hacker/Trojaner-, Wurm und Virusschreiber. Was er diesmal ganz genau vor hat, weiss ich natürlich auch nicht.
Es erscheint mir aber relativ interessant mal herauszufinden, was für Infos KAV denn in den ADS schreibt. Man könnte diese Info auch mal in den ADS einer noch nicht gescannten, identischen Datei kopieren und dann schauen, ob KAV sie noch scannt usw. usw. Der Beitrag wurde von Nautilus bearbeitet: 06.07.2004, 07:12 |
|
|
Gast_Dracula_* |
06.07.2004, 12:20
Beitrag
#19
|
Gäste |
Wenn man bei Kav 5 die Virensignatur updatet, wird dann nicht auch der MD5 cache geleert und alle Daten werden neu eingelesen und gescannt?
Der Beitrag wurde von Dracula bearbeitet: 06.07.2004, 12:47 |
|
|
Gast_Dracula_* |
06.07.2004, 12:41
Beitrag
#20
|
Gäste |
Heißt das jetzt, das man Kav 5 nicht benutzen soll?
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 30.05.2024, 23:27 |