Firewall-Test |
Willkommen, Gast ( Anmelden | Registrierung )
Firewall-Test |
30.03.2008, 21:55
Beitrag
#41
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Es gibt ja schon einige Diskussionen.
http://www.rokop-security.de/index.php?showtopic=15829 http://www.rokop-security.de/index.php?showtopic=8203&hl -------------------- Yours sincerely
Uwe Kraatz |
|
|
30.03.2008, 22:09
Beitrag
#42
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Danke das Du uns die Suche abgenommen hast, wir sind einfach zu faul Solution-Design
Läuft Kaspersky in der VM ? Dann sollte es ja kein Problem darstellen. Fällt m.E. wegen VM-Detection raus. Also Malware die in einer virtuellen Umgebung anders oder gar nicht reagiert. Man bräuchte ein Testsystem. Da schreib ich lieber IBK kann und frag um seine Meinung. Das ist einfacher. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
30.03.2008, 23:26
Beitrag
#43
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Wobei wir ehm glaube ich einen HIPS Thread brauchen *g* mag die HIPS Postings ein Mod verschieben? Manchmal bleibt mir wirklich die Kinnlade unten, wie verkehrt doch manche Welt sein mag. Das Threadthema sind die Tests von Matousec, er hat jede Erkennung der Tests von AVs in jeder Art ausgeschlossen. "Methodology and rules ... The second and the last exception from this rule is for vendors that offer a product with an antivirus engine and mark any of the tests of Security Software Testing Suite as a virus, an infected code, an unwanted or malicious application, or offend any part of the suite directly using pattern recognitions or any other form of blacklisting." http://www.matousec.com/projects/firewall-challenge/ Alles was AVs betrifft wäre dann wohl OT, oder? ZITAT(simon2011) Ein HIPS mit umfangreicher Whitelist, wie in der Kaspersky 8 Beta, kann ich nur empfehlen. Das ist kein HIPS, sondern wieder nur ein HIPSerl. Die Regeln beziehen sich fast nur auf die Registrierung und die primitivste Funktion, das Melden von jeder Anwendung, die zur Ausführung kommt, ist anscheinend wieder nicht dabei. Ausserdem ist die Verbindung von Anwendungsrechten und Netzwerkrechten ein Schildbürgerstreich. ZITAT(Caimbeul) Ein HIPS bringt demnach (wenn ich mich die Meldungen von Mamutu oder OA erinnere) einem 0815 User absolut gar nix. Doch, enorm viel, er lernt sein System kennen. Er sieht z. B., dass TI unzählige Autostarts, Services und Treiber installiert und beginnt sich zu fragen, ob das sein muss oder ob es da nicht eine bessere Alternative gibt. Der Lerneffekt bei einem AV ist hingegen gleich Null. @ bond7 Antibot und was da bei KIS8 kommt sind HIPS auf Expertenbasis, bald kommt die Vista Version von EQSecure raus, ein fast rein auf Regeln basierendes HIPS. Einfach mal testen und eine Meinung bilden. Hier gibt's schon mal eine kurze Anleitung zum Eingewöhnen: http://www.rokop-security.de/index.php?showtopic=16261 MfG -------------------- |
|
|
31.03.2008, 00:08
Beitrag
#44
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Meine Diskussion mit evil_religion war oder ist ein wenig OT weil es hier um Pure HIPS Erkennungsraten geht und es mit PFWs eigentlich überhaupt gar nix zu tun hat.
Daher verstehe ich Dein Zitat von mir in dem Kontext des Regelwiderspruchs von matousec nicht. Doch, enorm viel, er lernt sein System kennen. Er sieht z. B., dass TI unzählige Autostarts, Services und Treiber installiert und beginnt sich zu fragen, ob das sein muss oder ob es da nicht eine bessere Alternative gibt. Der Lerneffekt bei einem AV ist hingegen gleich Null. "Sorry to burst your bubble." Das will aber ein DAU nicht. Der Effekt ist übrigens Deinstalltion nicht Nachdenken. Glaub mir, das was Du da theoretisch darstellst funktioniert praktisch nicht und es wird auch nie funktionieren. Ergo ein HIPS ist atm ohne klare Erkennungsansage nicht massentauglich und Securityforennutzer sind kein realer Maßstab. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
31.03.2008, 11:05
Beitrag
#45
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
Die Diskussion darf gerne weitergeführt werden, allerdings ohne persönlich zu werden.
wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
31.03.2008, 11:11
Beitrag
#46
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
So richtig mag sich keiner von euch - Caimbeul, evil_religion und subset - eingestehen, dass es jedem einzelnen gut stehen würde, etwas Aggressivität aus den eigenen Postings zu nehmen. Gepaart mit weniger schnippischen Bemerkungen könnte das dann vielleicht eine gute Diskussion werden; korrigiere: hätte sie werden können.
Dir steht es frei meine Beiträge zu melden. Richtig, das steht jedem frei. Und was ist der Sinn? Wollt ihr euch nicht selbst vertragen? Wir sind doch alle zum Spaß und zum eigenen Vergnügen hier. Und nicht um uns von dritter Person belehren oder bevormunden zu lassen. Das Du wieder mal persönlich wirst, war absehbar. Lesen hätte Dir zumindest darüber hinweggeholfen Ob das mal nicht ein Eigentor war. Vielleicht bekommen wir den Thread ja wieder ganz. Ansonsten dürft ihr gerne neue Threads zum Thema eröffnen oder alte Threads (siehe Beitrag von Solution-Design) weiterführen. In jedem Falle bitte noch kurz Durchatmen. Danke! -------------------- |
|
|
31.03.2008, 13:06
Beitrag
#47
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Hi,
Na jedenfalls hat Comodo nach Online Armor auch seine PF bei Matousec nachtesten lassen, gegen Bares natürlich. Jetzt gibt es schon zwei mit 100%... http://www.matousec.com/projects/firewall-...nge/results.php Aber was soll man von Nachtests mit bekannten Tests halten Die ursprünglichen Ergebnisse der ersten Testreihe finden sich unter Vendors' responses: Comodo Firewall Pro scored 98%, Online Armor Personal Firewall scored 94% MfG -------------------- |
|
|
31.03.2008, 13:53
Beitrag
#48
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 24 Mitglied seit: 03.10.2007 Mitglieds-Nr.: 6.477 Betriebssystem: Windows 7 x64 Virenscanner: NIS 2010 Firewall: Router + NIS |
Das ist kein HIPS, sondern wieder nur ein HIPSerl. Die Regeln beziehen sich fast nur auf die Registrierung und die primitivste Funktion, das Melden von jeder Anwendung, die zur Ausführung kommt, ist anscheinend wieder nicht dabei. [...] was da bei KIS8 kommt sind HIPS auf Expertenbasis Naja, du schreibst genau das Gegenteil der Wahrheit. Das Melden von jeder Anwendung, die zur Ausführung kommt, ist weder nötig noch nützlich für einen Großteil der Benutzer. Bei der aktuellen KIS8 Beta tauchen viel weniger Warnmeldungen auf, als es bei dem PDM der KIS6 der Fall war, und das HIPS der KIS8 bietet trotzdem mehr Schutz. Wenn ich da an EQSecure etc. mit den Tausenden Warnmeldungen denke... Ich darf mal auf Folgendes hinweisen: http://www.bit9.com/news-events/press-rele...tails.php?id=65 Dieser Online-Check ist integriert, womit die Aussage ZITAT Eine WhiteList wäre umfangreicher als die momentan bei AVs vorhandene Signaturdatenbank. der Wahrheit entspricht und kein Problem darstellt. Wenn mir demnächst eine unbekannte Malware über den Weg läuft, werde ich das HIPS der KIS8 damit testen. Jegliche Malware, die ich bisher gegen das HIPS getestet habe, wurde sofort in die Gruppe „Untrusted“ gestellt und konnte nicht mal ausgeführt werden. |
|
|
Gast_@ndreas_* |
31.03.2008, 14:03
Beitrag
#49
|
Threadersteller Gäste |
Die Firewall von Eset zeigt sowohl beim Symantec-Check als auch hier keine Schwächen
Der Beitrag wurde von @ndreas bearbeitet: 31.03.2008, 14:04
Angehängte Datei(en)
|
|
|
31.03.2008, 14:26
Beitrag
#50
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.654 Mitglied seit: 20.05.2005 Mitglieds-Nr.: 2.761 Betriebssystem: Windows 10 (64 bit) Virenscanner: Eset NOD 32 Antivirus Firewall: Win 10 |
Die Firewall von Eset zeigt sowohl beim Symantec-Check als auch hier keine Schwächen Warum sollte sie auch ? Letztendlich macht sie von aussen her absolut dicht, genauso gut wie auch die Vista Firewall Und da beim obigen Test nur von aussen versucht wird, was in Erfahrung zu bringen, so scheitert das. Matousec macht Leaktests u. Sicherheit gegen Beenden, d.h. von innen her. Dabei muss jedoch zuerst mal so ein fiktives Schädlingsprogramm auf dem TestPc installiert werden. Dies vornehmlich nach Abschaltung sämtlicher OnAcess Scanner, u. Bestätigungsclicks aller anderen Warnmeldungen Danach wird es gestartet u. gecheckt wie die Firewall dem Herr wird. Wenn nun wer meint, dies entspricht auf seinem Pc seiner täglichen Nutzerpraxis, der soll Matousec Tests als persönlichen Massstab heranziehen. Wer aber der Meinung ist, Security ist ein Gesamtpaket aus Brain, OnAcess Scanner u. Firewall für den sind sie nur sehr bedingt aussagekräftig. Noch dazu, wenn Personal Firewalls nur auf seine Tests hingetrimmt werden. Wer lässt schon nur eine Desktopfirewall laufen u. erwartet sich, dass sie ihn vor allem schützt. Speziell wenn ein OnAcess Scanner wohl schon die meisten dieser Schädling erkennt bevor sie sich im System breit machen. Denn wenn was einmal auf der Festplatte ist, u. bereits in Ruhe Daten gesammelt hat u. nun erst von einer Desktopfirewall "vielleicht" beim übermitteln dieser Daten nach draussen entdeckt wird, hat das System bereits komprimittiert. Neu aufsetzen des Systems dann oft notwendig. Deswegen lieber vorher mal nachdenken u. guter Scanner bzw. noch wenn man meint es sei unabdingbar ein Hipps dazu, damit erst gar nichts auf die Platte kommt. Denn eine Superdesktopfirewall die angeblich alles meldet was raus will, gibt es nicht, u. wie oben schon ausgeführt vorher darauf achten, dass es gar nicht erst soweit kommt. |
|
|
31.03.2008, 15:46
Beitrag
#51
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Ok, wir haben folgende Ausgangssituation: PFW erkennt Leaktest 1-10. AV erkennt Leaktest 1-10 nicht. Ich gehe davon aus ein AV ist wichtiger als eine PFW, eine PFW alleine macht keinen Sinn. Ergo wir haben immer ein AV wenn wir ein PFW haben. Wir modifizieren die Leaktests so das sie ihre Funktion + eine Trojanerfunktion übermitteln. Variante A: Das AV erkennt aufgrund der fiktiven Veränderung alle Leaktests. Ergo die PFW wird inkl. HIPS recht nutzlos. Variante B: Das AV erkennt nicht die veränderten Leaktests. Ergo das HIPS der PFW hilft uns reale (als soche stufe ich Leaktests erstmal nicht ein) Bedrohungen abzuweheren. Darauf wollte ich hinaus. Sprich kann ein Leaktest so verändert werden, dass er schädlich wird und nicht von einem AV erkannt wird. Das Ganze funktioniert natürlich nur wenn man von der Annahme AV + PFW/HIPS ausgeht, aber ich kenne niemanden der eine PFW oder HIPS nutzt ohne ein AV zu nutzen. Sorry, ich stand wohl etwas auf dem Schlauch Da der Sourcecode für die Leaktests öffentlich ist, denke ich nicht, dass ein halbwegs gewiefter Malwareschreiber nicht dazu in der Lage wäre, seinen "Schätzchen" den Weg an manchen Firewalls vorbei mit diesen Leakteststs zu ermöglichen und mit Runtimepackern das Teil vor dem AV zu verstecken. Bleibt die Frage, wie gut er das macht, um die Heuristiken von guten AVs auszutricksen. Bei Emulatoren fällt dies sicherlich schwerer als bei statischen Heuristiken. Welches AV jetzt genau welche Art von Heuristik(en) verwendet, weiss ich leider nicht. Abschließend bestreite ich übrigens auch nicht die Wirksamkeit eines HIPS ich wunderte mich nur über die extreme Zahl von fast 100%, welche ich für sicherheitsbedenklich für Normalanwender halte (Gründe s.o.) und eigentlich diese Zahl die Anwendung eines AV konterkarieren müsste. Allerdings habe ich wie gesagt noch keinen Sicherheitsexperten gefunden der ein pures HIPS empfiehlt. Der Kaspersky Test von av-comparatives mit 99% von 2006 ist zumindest mit einer deutlich größeren Anzahl Samples durchgeführt worden, als der von SafenSec. Ich würde gerne mal Mamutu, OA bzw PDM(KAV) gegen die Standardsamples bei av-comparatives sehen und ob sich hier die 99.999% Bewahrheiten. Die Zahl ist IMO realistisch, da Nichts starten kann, ohne dass das HIPS etwas merkt bzw. sich das Programm auf dem System einnisten kann / andere Prozesse modifizieren kann. -------------------- |
|
|
31.03.2008, 15:59
Beitrag
#52
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Naja, du schreibst genau das Gegenteil der Wahrheit. Das Melden von jeder Anwendung, die zur Ausführung kommt, ist weder nötig noch nützlich für einen Großteil der Benutzer. Ich beschrieb die Funktionalität des KIS 2009 Beta HIPS, der Rest ist deine Überzeugung. Jegliche Malware, die ich bisher gegen das HIPS getestet habe, wurde sofort in die Gruppe „Untrusted“ gestellt und konnte nicht mal ausgeführt werden. Das liegt dann wohl an deiner "Malware", im Kaspersky Forum liest man gegenteiliges. Das HIPS versagt derzeit sogar noch bei altbekannten Testprogrammen. http://forum.kaspersky.com/index.php?showtopic=64570 MfG -------------------- |
|
|
31.03.2008, 16:09
Beitrag
#53
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Das heißt ein HIPS bietet tatsächlich konzeptbedingt eine extrem hohe Erkennungsrate, um allerdings effektiv zu arbeiten braucht es Whitelist oder Blacklistfilter oder eine Kombination aus Filtern und Lern/Erkennungsroutinen, sonst kann es nur die Änderung am System melden und muss es dem User überlassen eine Wertung vorzunehmen, welche idR positiv ausfällt, denn man wollte die Datei ja ausführen.
Kommt das so hin? -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
31.03.2008, 16:50
Beitrag
#54
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 24 Mitglied seit: 03.10.2007 Mitglieds-Nr.: 6.477 Betriebssystem: Windows 7 x64 Virenscanner: NIS 2010 Firewall: Router + NIS |
Ich beschrieb die Funktionalität des KIS 2009 Beta HIPS Dann solltest du es nochmal ganz genau unter die Lupe nehmen. Das liegt dann wohl an deiner "Malware", im Kaspersky Forum liest man gegenteiliges. Wo? Ich rede nicht von Leaktests, sondern von echter Malware.Das HIPS versagt derzeit sogar noch bei altbekannten Testprogrammen. Was damit zusammenhängt, dass einige Leaktests als vertrauenswürdig eingestuft werden, was eigentlich auch richtig ist, denn ein Testprogramm ist ja nicht schädlich. Bis zur Finalversion soll das Problem aber gelöst sein.http://forum.kaspersky.com/index.php?showtopic=64570 Das heißt ein HIPS bietet tatsächlich konzeptbedingt eine extrem hohe Erkennungsrate, um allerdings effektiv zu arbeiten braucht es Whitelist oder Blacklistfilter oder eine Kombination aus Filtern und Lern/Erkennungsroutinen, sonst kann es nur die Änderung am System melden und muss es dem User überlassen eine Wertung vorzunehmen, welche idR positiv ausfällt, denn man wollte die Datei ja ausführen. Kommt so hin würde ich sagen.
Der Beitrag wurde von simon2011 bearbeitet: 31.03.2008, 16:52 |
|
|
31.03.2008, 16:56
Beitrag
#55
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Hi,
von Erkennungsraten spricht man gemeinhin in Zusammenhang mit Blacklists. Eine AV- oder ein AS-Programm erkennt Schadprogramme auf Basis von Signaturen der Schadprogramme in der jeweiligen Blacklist. Solche Backlists spielen aber bei HIPS keine sehr große Rolle, Prevx 2 oder DriveSentry haben eine, bei Online Armor AV+ oder ThreatFire Pro kommt die Blacklist Funktion mit einem AV Modul dazu. Whitelists haben einige, oft sind es alle von Microsoft signierten Dateien, bei Comodo (verkauft eigentlich Signaturen) kommen noch die eigenen Kunden dazu oder komplett eigene Datenbanken. In Mode ist derzeit auch noch das Community Feature, z. B. bei Mamutu: wenn User ab einer gewissen Prozentzahl das Programm zulassen, wird das Programm (nach Einstellung) automatisch erlaubt, auch eine Variante von Black- bzw. White-list. Manche HIPS kommen aber weder mit einer Blacklist noch einer Whitelist auf den PC, wie z. B. System Safety Monitor und EQSecure. HIPS können also auch allein mit ihren Features wirksam Schützen. Bei EQSecure wären das u. A.: - startup control of executables, termination of processes and or threads, - startup of a remote thread, - system shutdown - control access to libaries, loading of drivers, - access to physical memory - low level data access - install a global hook - installation of drivers or services - keylogger protection - registry protection - file protection usw. Das reicht, um ein System wirksam zu schützen. MfG -------------------- |
|
|
31.03.2008, 17:02
Beitrag
#56
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Was damit zusammenhängt, dass einige Leaktests als vertrauenswürdig eingestuft werden, was eigentlich auch richtig ist, denn ein Testprogramm ist ja nicht schädlich. Bis zur Finalversion soll das Problem aber gelöst sein. Leider hat das seltsame Verhalten vom HIPS nichts damit zu tun, dass einige Leaktests als vertrauenswürdig eingestuft werden. Es ist einfach ein eigenständiger Bug. Ich hoffe, dass dieser bis zur Final behoben wird. Bei KIS 7 wurde ein ähnlicher Fehler bis heute nicht gefixt... -------------------- |
|
|
31.03.2008, 20:01
Beitrag
#57
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Das heißt ein HIPS bietet tatsächlich konzeptbedingt eine extrem hohe Erkennungsrate, um allerdings effektiv zu arbeiten braucht es Whitelist oder Blacklistfilter oder eine Kombination aus Filtern und Lern/Erkennungsroutinen, sonst kann es nur die Änderung am System melden und muss es dem User überlassen eine Wertung vorzunehmen, welche idR positiv ausfällt, denn man wollte die Datei ja ausführen. Kommt das so hin? Vielleicht erinnert sich der ein oder andere noch an die erste asquared-Version, bevor es Antimalware geheißen hat. Das Ding hat wirklich alles, jeden Furz gemeldet und der Nutzer musste jeden Furz auch freigeben. Verschiedene Benutzer haben einfach auf OK geklickt, damit es weiter ging. Selbst in Version 1.6 war das noch schlimm genug. Irgendwann bekam asquared eine Intelligenzspritze, wurde also entschärft und war benutzbar. Meine damalige Anfrage nach einer Whitelist wurde verneint aus von mir schon erwähnten Gründen. Wie groß soll diese sein, wie/wer soll sie pflegen und bis wann ist sie gültig. Nur bis zum nächsten Patch eben. So ist der Schutz durch eine HIPS ein Verbanquespiel zwischen nervendem und gut aufgeteiltem Schutz, welcher dem Nutzer auch hilft. Manche HIPS kommen aber weder mit einer Blacklist noch einer Whitelist auf den PC, wie z. B. System Safety Monitor und EQSecure. HIPS können also auch allein mit ihren Features wirksam Schützen. Bei EQSecure wären das u. A.: - startup control of executables, termination of processes and or threads, - startup of a remote thread, - system shutdown - control access to libaries, loading of drivers, - access to physical memory - low level data access - install a global hook - installation of drivers or services - keylogger protection - registry protection - file protection Wo wir fast bei der Funktionsweise von AntiBot mit seinen über 70 Überwachungspunkten wären -------------------- Yours sincerely
Uwe Kraatz |
|
|
31.03.2008, 21:50
Beitrag
#58
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Wo wir fast bei der Funktionsweise von AntiBot mit seinen über 70 Überwachungspunkten wären Ich bin mir nicht sicher, was du mit Überwachungspunkten meinst, vielleicht Prozesse? Antibot, die OEM Version von Primary Response SafeConnect, ist ein Verhaltensblocker auf der Basis von 288 (?) "Signaturen" (Behaviors Monitored). Das Programm soll also "böse" Prozesse am Verhalten erkennen. Ein begeisterter NIS User meint dazu auf Wilders Security: "I think Antibot is not agressive enough (probably to avoid false positives) to provide solid protection." http://www.wilderssecurity.com/showpost.ph...amp;postcount=3 ThreatFire funktioniert ähnlich, ist aber gratis. MfG -------------------- |
|
|
31.03.2008, 21:58
Beitrag
#59
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Hmm , uns vermeintlichen HIPS Gegnern (ich kenn keine) wirft man vor das Produkt nicht zu verstehen aber sieht es anders rum etwa besser aus , versteht man die Konkurenzprodukte ? Nein
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
31.03.2008, 22:28
Beitrag
#60
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
..., versteht man die Konkurenzprodukte ? Konkurrenzprodukte. Sehr seltsame Formulierung. Ein Schelm, wer Böses dabei denkt. Ich versuche hier keine Software zu verkaufen, ich kenne also so gesehen keine "Konkurrenzprodukte". MfG -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.05.2024, 09:41 |