Es gibt ja schon einige Diskussionen.
http://www.rokop-security.de/index.php?showtopic=15829
http://www.rokop-security.de/index.php?showtopic=8203&hl

Danke das Du uns die Suche abgenommen hast, wir sind einfach zu faul Solution-Design



Fällt m.E. wegen VM-Detection raus. Also Malware die in einer virtuellen Umgebung anders oder gar nicht reagiert.

Man bräuchte ein Testsystem. Da schreib ich lieber IBK kann und frag um seine Meinung. Das ist einfacher.

Manchmal bleibt mir wirklich die Kinnlade unten, wie verkehrt doch manche Welt sein mag.
Das Threadthema sind die Tests von Matousec, er hat jede Erkennung der Tests von AVs in jeder Art ausgeschlossen.
"Methodology and rules
...
The second and the last exception from this rule is for vendors that offer a product with an antivirus engine and mark any of the tests of Security Software Testing Suite as a virus, an infected code, an unwanted or malicious application, or offend any part of the suite directly using pattern recognitions or any other form of blacklisting."
http://www.matousec.com/projects/firewall-challenge/

Alles was AVs betrifft wäre dann wohl OT, oder?


Das ist kein HIPS, sondern wieder nur ein HIPSerl.
Die Regeln beziehen sich fast nur auf die Registrierung und die primitivste Funktion,
das Melden von jeder Anwendung, die zur Ausführung kommt, ist anscheinend wieder nicht dabei.
Ausserdem ist die Verbindung von Anwendungsrechten und Netzwerkrechten ein Schildbürgerstreich.


Doch, enorm viel, er lernt sein System kennen. Er sieht z. B., dass TI unzählige Autostarts, Services und Treiber installiert
und beginnt sich zu fragen, ob das sein muss oder ob es da nicht eine bessere Alternative gibt.
Der Lerneffekt bei einem AV ist hingegen gleich Null.

@ bond7

Antibot und was da bei KIS8 kommt sind HIPS auf Expertenbasis, bald kommt die Vista Version von EQSecure raus,
ein fast rein auf Regeln basierendes HIPS.
Einfach mal testen und eine Meinung bilden.
Hier gibt's schon mal eine kurze Anleitung zum Eingewöhnen:
http://www.rokop-security.de/index.php?showtopic=16261

MfG

Meine Diskussion mit evil_religion war oder ist ein wenig OT weil es hier um Pure HIPS Erkennungsraten geht und es mit PFWs eigentlich überhaupt gar nix zu tun hat.

Daher verstehe ich Dein Zitat von mir in dem Kontext des Regelwiderspruchs von matousec nicht.


"Sorry to burst your bubble." Das will aber ein DAU nicht. Der Effekt ist übrigens Deinstalltion nicht Nachdenken. Glaub mir, das was Du da theoretisch darstellst funktioniert praktisch nicht und es wird auch nie funktionieren.

Ergo ein HIPS ist atm ohne klare Erkennungsansage nicht massentauglich und Securityforennutzer sind kein realer Maßstab.

Die Diskussion darf gerne weitergeführt werden, allerdings ohne persönlich zu werden.

wizard

So richtig mag sich keiner von euch - Caimbeul, evil_religion und subset - eingestehen, dass es jedem einzelnen gut stehen würde, etwas Aggressivität aus den eigenen Postings zu nehmen. Gepaart mit weniger schnippischen Bemerkungen könnte das dann vielleicht eine gute Diskussion werden; korrigiere: hätte sie werden können.


Richtig, das steht jedem frei. Und was ist der Sinn? Wollt ihr euch nicht selbst vertragen? Wir sind doch alle zum Spaß und zum eigenen Vergnügen hier. Und nicht um uns von dritter Person belehren oder bevormunden zu lassen.


Ob das mal nicht ein Eigentor war.

Vielleicht bekommen wir den Thread ja wieder ganz. Ansonsten dürft ihr gerne neue Threads zum Thema eröffnen oder alte Threads (siehe Beitrag von Solution-Design) weiterführen. In jedem Falle bitte noch kurz Durchatmen. Danke!

Hi,



Na jedenfalls hat Comodo nach Online Armor auch seine PF bei Matousec nachtesten lassen, gegen Bares natürlich.
Jetzt gibt es schon zwei mit 100%...
http://www.matousec.com/projects/firewall-...nge/results.php

Aber was soll man von Nachtests mit bekannten Tests halten
Die ursprünglichen Ergebnisse der ersten Testreihe finden sich unter Vendors' responses:
Comodo Firewall Pro scored 98%, Online Armor Personal Firewall scored 94%

MfG

Naja, du schreibst genau das Gegenteil der Wahrheit.
Das Melden von jeder Anwendung, die zur Ausführung kommt, ist weder nötig noch nützlich für einen Großteil der Benutzer.
Bei der aktuellen KIS8 Beta tauchen viel weniger Warnmeldungen auf, als es bei dem PDM der KIS6 der Fall war, und das HIPS der KIS8 bietet trotzdem mehr Schutz.
Wenn ich da an EQSecure etc. mit den Tausenden Warnmeldungen denke...

Ich darf mal auf Folgendes hinweisen: http://www.bit9.com/news-events/press-rele...tails.php?id=65
Dieser Online-Check ist integriert, womit die Aussage
der Wahrheit entspricht und kein Problem darstellt.

Wenn mir demnächst eine unbekannte Malware über den Weg läuft, werde ich das HIPS der KIS8 damit testen.
Jegliche Malware, die ich bisher gegen das HIPS getestet habe, wurde sofort in die Gruppe „Untrusted“ gestellt und konnte nicht mal ausgeführt werden.

Die Firewall von Eset zeigt sowohl beim Symantec-Check als auch hier keine Schwächen

Der Beitrag wurde von @ndreas bearbeitet: 31.03.2008, 14:04

Warum sollte sie auch ?
Letztendlich macht sie von aussen her absolut dicht, genauso gut wie auch die Vista Firewall

Und da beim obigen Test nur von aussen versucht wird, was in Erfahrung zu bringen, so scheitert das.

Matousec macht Leaktests u. Sicherheit gegen Beenden, d.h. von innen her.
Dabei muss jedoch zuerst mal so ein fiktives Schädlingsprogramm auf dem TestPc installiert werden.
Dies vornehmlich nach Abschaltung sämtlicher OnAcess Scanner, u. Bestätigungsclicks aller anderen Warnmeldungen
Danach wird es gestartet u. gecheckt wie die Firewall dem Herr wird.

Wenn nun wer meint, dies entspricht auf seinem Pc seiner täglichen Nutzerpraxis, der soll Matousec Tests als persönlichen Massstab heranziehen.

Wer aber der Meinung ist, Security ist ein Gesamtpaket aus Brain, OnAcess Scanner u. Firewall für den sind sie nur sehr bedingt aussagekräftig.
Noch dazu, wenn Personal Firewalls nur auf seine Tests hingetrimmt werden.

Wer lässt schon nur eine Desktopfirewall laufen u. erwartet sich, dass sie ihn vor allem schützt.
Speziell wenn ein OnAcess Scanner wohl schon die meisten dieser Schädling erkennt bevor sie sich im System breit machen.
Denn wenn was einmal auf der Festplatte ist, u. bereits in Ruhe Daten gesammelt hat u. nun erst von einer Desktopfirewall "vielleicht" beim übermitteln dieser Daten nach draussen entdeckt wird, hat das System bereits komprimittiert. Neu aufsetzen des Systems dann oft notwendig.
Deswegen lieber vorher mal nachdenken u. guter Scanner bzw. noch wenn man meint es sei unabdingbar ein Hipps dazu, damit erst gar nichts auf die Platte kommt.
Denn eine Superdesktopfirewall die angeblich alles meldet was raus will, gibt es nicht, u. wie oben schon ausgeführt vorher darauf achten, dass es gar nicht erst soweit kommt.

Sorry, ich stand wohl etwas auf dem Schlauch
Da der Sourcecode für die Leaktests öffentlich ist, denke ich nicht, dass ein halbwegs gewiefter Malwareschreiber nicht dazu in der Lage wäre, seinen "Schätzchen" den Weg an manchen Firewalls vorbei mit diesen Leakteststs zu ermöglichen und mit Runtimepackern das Teil vor dem AV zu verstecken.
Bleibt die Frage, wie gut er das macht, um die Heuristiken von guten AVs auszutricksen. Bei Emulatoren fällt dies sicherlich schwerer als bei statischen Heuristiken. Welches AV jetzt genau welche Art von Heuristik(en) verwendet, weiss ich leider nicht.



Die Zahl ist IMO realistisch, da Nichts starten kann, ohne dass das HIPS etwas merkt bzw. sich das Programm auf dem System einnisten kann / andere Prozesse modifizieren kann.

Ich beschrieb die Funktionalität des KIS 2009 Beta HIPS, der Rest ist deine Überzeugung.


Das liegt dann wohl an deiner "Malware", im Kaspersky Forum liest man gegenteiliges.
Das HIPS versagt derzeit sogar noch bei altbekannten Testprogrammen.
http://forum.kaspersky.com/index.php?showtopic=64570

MfG

Das heißt ein HIPS bietet tatsächlich konzeptbedingt eine extrem hohe Erkennungsrate, um allerdings effektiv zu arbeiten braucht es Whitelist oder Blacklistfilter oder eine Kombination aus Filtern und Lern/Erkennungsroutinen, sonst kann es nur die Änderung am System melden und muss es dem User überlassen eine Wertung vorzunehmen, welche idR positiv ausfällt, denn man wollte die Datei ja ausführen.

Kommt das so hin?

Dann solltest du es nochmal ganz genau unter die Lupe nehmen.
Wo? Ich rede nicht von Leaktests, sondern von echter Malware.
Was damit zusammenhängt, dass einige Leaktests als vertrauenswürdig eingestuft werden, was eigentlich auch richtig ist, denn ein Testprogramm ist ja nicht schädlich. Bis zur Finalversion soll das Problem aber gelöst sein.

Kommt so hin würde ich sagen.

Der Beitrag wurde von simon2011 bearbeitet: 31.03.2008, 16:52

Hi,

von Erkennungsraten spricht man gemeinhin in Zusammenhang mit Blacklists.
Eine AV- oder ein AS-Programm erkennt Schadprogramme auf Basis von Signaturen der Schadprogramme in der jeweiligen Blacklist.
Solche Backlists spielen aber bei HIPS keine sehr große Rolle, Prevx 2 oder DriveSentry haben eine, bei Online Armor AV+ oder ThreatFire Pro kommt die Blacklist Funktion mit einem AV Modul dazu.

Whitelists haben einige, oft sind es alle von Microsoft signierten Dateien, bei Comodo (verkauft eigentlich Signaturen) kommen noch die eigenen Kunden dazu oder komplett eigene Datenbanken.

In Mode ist derzeit auch noch das Community Feature, z. B. bei Mamutu: wenn User ab einer gewissen Prozentzahl das Programm zulassen, wird das Programm (nach Einstellung) automatisch erlaubt, auch eine Variante von Black- bzw. White-list.

Manche HIPS kommen aber weder mit einer Blacklist noch einer Whitelist auf den PC, wie z. B. System Safety Monitor und EQSecure.
HIPS können also auch allein mit ihren Features wirksam Schützen.
Bei EQSecure wären das u. A.:
- startup control of executables, termination of processes and or threads,
- startup of a remote thread,
- system shutdown
- control access to libaries, loading of drivers,
- access to physical memory
- low level data access
- install a global hook
- installation of drivers or services
- keylogger protection
- registry protection
- file protection
usw.
Das reicht, um ein System wirksam zu schützen.

MfG

Leider hat das seltsame Verhalten vom HIPS nichts damit zu tun, dass einige Leaktests als vertrauenswürdig eingestuft werden. Es ist einfach ein eigenständiger Bug.
Ich hoffe, dass dieser bis zur Final behoben wird. Bei KIS 7 wurde ein ähnlicher Fehler bis heute nicht gefixt...

Vielleicht erinnert sich der ein oder andere noch an die erste asquared-Version, bevor es Antimalware geheißen hat. Das Ding hat wirklich alles, jeden Furz gemeldet und der Nutzer musste jeden Furz auch freigeben. Verschiedene Benutzer haben einfach auf OK geklickt, damit es weiter ging. Selbst in Version 1.6 war das noch schlimm genug. Irgendwann bekam asquared eine Intelligenzspritze, wurde also entschärft und war benutzbar. Meine damalige Anfrage nach einer Whitelist wurde verneint aus von mir schon erwähnten Gründen. Wie groß soll diese sein, wie/wer soll sie pflegen und bis wann ist sie gültig. Nur bis zum nächsten Patch eben. So ist der Schutz durch eine HIPS ein Verbanquespiel zwischen nervendem und gut aufgeteiltem Schutz, welcher dem Nutzer auch hilft.



Wo wir fast bei der Funktionsweise von AntiBot mit seinen über 70 Überwachungspunkten wären

Ich bin mir nicht sicher, was du mit Überwachungspunkten meinst, vielleicht Prozesse?
Antibot, die OEM Version von Primary Response SafeConnect, ist ein Verhaltensblocker auf der Basis von 288 (?) "Signaturen" (Behaviors Monitored). Das Programm soll also "böse" Prozesse am Verhalten erkennen.

Ein begeisterter NIS User meint dazu auf Wilders Security:
"I think Antibot is not agressive enough (probably to avoid false positives) to provide solid protection."
http://www.wilderssecurity.com/showpost.ph...amp;postcount=3

ThreatFire funktioniert ähnlich, ist aber gratis.

MfG

Hmm , uns vermeintlichen HIPS Gegnern (ich kenn keine) wirft man vor das Produkt nicht zu verstehen aber sieht es anders rum etwa besser aus , versteht man die Konkurenzprodukte ? Nein

Konkurrenzprodukte. Sehr seltsame Formulierung. Ein Schelm, wer Böses dabei denkt.
Ich versuche hier keine Software zu verkaufen, ich kenne also so gesehen keine "Konkurrenzprodukte".

MfG