ShadowDefender, System mit nur einem Klick in VE Einstellungen

[subset]

Und das wäre dann eigentlich wieder ein Argument für eine Sandbox an Stelle einer Gesamtvirtualisierung.

Zuerst Anti-Virus oder Virtualisierung, jetzt Sandbox oder Virtualisierung.
Mit dieser Entweder/Oder Denkweise verpasst man nur die besten Gelegenheiten sich effektiv zu schützen.

Ich verwende Sandboxie für den Browser und Returnil (ein ähnliches Programm wie ShadowDefender) um ganz normale Programme oder auch Malware zu testen.
Diese ganzen 'Light virtualization' Programme wie DeepFreeze, PowerShadow, Returnil, ShadowDefender oder ShadowUser Pro sind dermaßen nützlich im Alltag, eigentlich ein Muss für jeden PC, egal was man sonst drauf hat.

MfG

[Gast_Nightwatch_*]

Zuerst Anti-Virus oder Virtualisierung, jetzt Sandbox oder Virtualisierung.
Mit dieser Entweder/Oder Denkweise verpasst man nur die besten Gelegenheiten sich effektiv zu schützen.

Diese ganzen 'Light virtualization' Programme wie DeepFreeze, PowerShadow, Returnil, ShadowDefender oder ShadowUser Pro sind dermaßen nützlich im Alltag, eigentlich ein Muss für jeden PC, egal was man sonst drauf hat.

Das sehe ich persönlich ganz genauso. Neben dem ShadowDefender läuft bei mir F-Secures Deepguard permanent mit. Einzelne Dateien werden On-Demand getestet. Und ein mal pro Monat wird das System komplett mit F-Secure gescannt.

Momentan teste ich das TruPrevent 2.0 von Panda (PAV 2009 Pro) neben dem SD. Aber egal wie gut es sich auch erweisen mag...der Lizenz-Preis ist einfach zu heftig. Vielleicht bekomm ich ja irgendwie/wo eine kostenlose Lizenz aus dem Bekanntenkreis zum Tauschen, wenn es mir besser gefällt als Deepguard. Um die on-Demand Erkennungsrate geht´s mir primär im Grunde genommen nicht.

EDIT: Panda AV 2009 Pro läuft momentan noch leider mit vielen Fehlern. Bin deshalb wieder zu F-Secure zurück. Mal schauen, wie es in ein paar Wochen bei Panda ausschaut.

Hoffentlich besser als so:




Der Beitrag wurde von Nightwatch bearbeitet: 29.08.2008, 19:02

[Peter 123]

Ich verwende Sandboxie für den Browser und Returnil (ein ähnliches Programm wie ShadowDefender) um ganz normale Programme oder auch Malware zu testen.

Damit wird aber der entscheidende Punkt klar:

- Eine Sandbox ist primär dafür gedacht, Aktivitäten im Internet gefahrlos durchführen zu können (also Surfen, Online-Spiele, Benützung von Messenger-Diensten usw.).
- Die umfassende Virtualisierung (mit ShadowDefender, Returnil usw.) dient vorrangig dazu, Programme (bzw. allenfalls Malware) am Rechner zu testen.

Und das bedeutet auch, dass die Frage nach einem Entweder/Oder durchaus ihre Berechtigung haben kann:
Wer - so wie ich - ohnedies fast nie ein neues Programm installiert (und schon gar nicht Malware testet ), der findet mit einer Sandbox sein Auslangen. Mir geht es vorrangig um "sicheres Surfen"; und das ist offenbar durch die Benützung einer Sandbox in gleicher Weise sichergestellt, wie es bei einer Vollvirtualisierung der Fall wäre.

Mehr Programme am Computer bedeuten immer auch, dass zusätzliches Wissen und Zeit erforderlich sind, um sich mit ihrer Funktionsweise (und ihrer Wartung) auseinanderzusetzen. Gerade bei Programmen, die der Sicherheit dienen, kann es fatal enden, wenn man den Überblick verliert oder ein solches Programm falsch verwendet. Aus diesem Grund möchte ich mir keinesfalls mehr auf den Rechner laden, als für meine Bedürfnisse erforderlich ist.

Was ich bei Gelegenheit vielleicht dennoch einmal tun werde: interessehalber ein Programm wie ShadowDefender oder Returnil kurz ausprobieren. Wer sich für eine solche Lösung entscheidet, sollte aber im Auge behalten, ob sie die Option des sogenannten "session saving" anbietet, also die Möglichkeit, auch nach Neustart in derselben virtuellen Umgebung wie zuvor fortzusetzen. Ohne diese Option wird man nämlich keine Programme testen können, die erst nach einem Neustart des Computers laufen.

- Bei ShadowDefender scheint es diese Option nicht zu geben:

"Shadow Defender"
[...]
- Veränderungen gehen nach Neustart verloren

(Eventuell ist das in der Bezahlversion anders? Auf der Homepage konnte ich dazu nichts finden.)

- Bei Returnil ist das "session saving" laut Information auf der Homepage nur in der Bezahlversion möglich:
http://www.returnilvirtualsystem.com/index.../comparison.htm

Und diese Frage ist für mich auch noch ungeklärt:

Aber wie ist es möglich das Programm so zu konfigurieren, dass nun die Updates von NAV oder anderen Programmen übernommen werden? Möchte immer im Shadow-Modus bleiben...außer bei Installationen..... Nur die Updates müssten funktionieren.....weiß jemand von Euch Rat?

Ich denke da - so wie LateNight - vor allem an die Updates der Virenschutzdefinitionen (bzw. möglicherweise auch Windows-Updates). Wenn die stattfinden, während sich meine ganze Festplatte im Shadow-Modus befindet, dann gehen die doch auch verloren, sobald ich den Computer herunterfahre.

Der Beitrag wurde von Peter 123 bearbeitet: 30.08.2008, 05:41

[Gast_Nightwatch_*]

Wer sich für eine solche Lösung entscheidet, sollte aber im Auge behalten, ob sie die Option des sogenannten "session saving" anbietet, also die Möglichkeit, auch nach Neustart in derselben virtuellen Umgebung wie zuvor fortzusetzen. Ohne diese Option wird man nämlich keine Programme testen können, die erst nach einem Neustart des Computers laufen.

- Bei ShadowDefender scheint es diese Option nicht zu geben:

Ich denke da - so wie LateNight - vor allem an die Updates der Virenschutzdefinitionen (bzw. möglicherweise auch Windows-Updates). Wenn die stattfinden, während sich meine ganze Festplatte im Shadow-Modus befindet, dann gehen die doch auch verloren, sobald ich den Computer herunterfahre.

Hallo Peter

Zum ersten Punkt ("session saving") :

Es gibt beim Shadow Defender kein klassisches Session Saving, das stimmt. Natürlich wird der Schattenmodus nach Neustart fortgesetzt, wenn man es so konfiguriert. Aber die gesamte Session wird nicht gespeichert, sondern nur die Dateien und Ordner, die man in der Exclusion-List hat. Returnil ist meiner Meinung nach das einzige Programm aus der Sparte, dass so etwas anbietet.


Zum Zweiten (AV-Programm):

Ja. Die Updates gehen komplett verloren, wenn man das Verzeichnis nicht ausschließt. Dieses gestaltet sich manchmal nicht einfach. Die neuen Signaturen-Datenbanken lassen sich leicht über APP-Data etc. erfassen, so dass zumindest sie erhalten bleiben. Anders sieht es bei Programm-Modul-Updates aus, da dabei evtl. auch Dateien im System32-Ordner verändert werden. Solche Updates werden diesbezüglich nicht übernommen, da es in der Regel nicht sinnvoll ist, diese Folder von der Komplettvirtualisierung auszuschließen .

Ich regel das folgendermaßen:
Da F-Secure bei mir nicht on-access läuft (bis auf Deepguard), update ich das Programm in regelmäßigen Abständen nach Bedarf, wenn ich einen Komplett-Scan mache. Bei Kaspersky oder anderen kann man Signaturen- und Programm-Updates getrennt konfigurieren: Signaturen automatisch/Programm-Updates manuell. Diese Programme haben den Vorteil, dass sie zumindest von den Definitionen her betrachtet immer aktuell im ShadowMode laufen können.

Ganz hundertprozentig zufrieden bin ich mit dem Setup auch noch nicht. Die Kombi HIPS und ShadowMode gefällt mir zwar...aber Dein angesprochenes Problem ist ein kleiner schwarzer Fleck auf der Weste.
Schade, dass ShadowDefender keine Option anbietet, ein komplettes Programm auf die Exclusion-List zu setzen. Wahrscheinlich ist das aber technisch sehr schwierig umzusetzen, weil die gesamte Virtualisierung on-the-fly gestaltet sein müsste.

Von daher ist es wohl wie mit allen anderen Dingen auch: Man kann halt nicht alles haben

Der Beitrag wurde von Nightwatch bearbeitet: 30.08.2008, 12:46

[Peter 123]

Hallo Nightwatch,
vielen Dank für deine interessante - und vor allem sehr offene - Antwort. Insbesondere die Sache mit den Virenschutzupdates halte ich für sehr problematisch - jedenfalls bezogen auf meine Situation. Wenn du nur manchmal den Scanner verwendest, gestaltet sich das Ganze natürlich einfacher, indem du, wie geschildert, die "versäumten" Updates einfach hin und wieder nachholst. Aber ich würde auf den permanenten Echtzeitschutz des Virenschutzprogramms keinesfalls verzichten wollen. Und die Vornahme einer speziellen Konfigurierung ist mir - als Laien - bei einer Sicherheitskomponente viel zu heikel.

Damit will ich keinesfalls etwas gegen ein Programm wie ShadowDefender, Returnil usw. gesagt haben. Aber es gehört offenbar doch eher in die Hände der "fortgeschrittenen" Computerbenutzer - nämlich "fortgeschritten" sowohl was ihr Wissen als auch was die Nutzung ihres Computers (Programmtests usw.) betrifft. Als einfacher Surfer und allenfalls Messenger-Verwender lasse ich da mal lieber die Finger davon (bleibe aber natürlich konsequenter Benützer und massiver Befürworter einer Sandbox).

_________________

PS: Kleiner Nachtrag:

In einem Spezialfall ist ein Programm wie ShadowDefender oder Returnil vielleicht auch beim Surfen, Chatten usw. die ideale Lösung. Nämlich dann, wenn man unerfahrene Nutzer vorübergehend an seinen eigenen Computer lässt. Da ist es wohl wirklich die einfachste Lösung, ein solches Programm mit einem Mausklick zu aktivieren, dann die betreffende Person (z.B. Kinder, Enkel, ...) nach Belieben am Computer schalten und walten zu lassen, und nach dem Herunterfahren beim Neustart wieder ein sauberes System zu haben.

Das habe ich gerade in zwei Beiträgen in "Wilders Security Forums" gelesen, und es erscheint mir plausibel:

Much simpler aproach [than Sandboxie] is Returnil, to set it always in shadowmode and hide the icons on the desktop and in systemtray,after the kids leave for mom,then restore it to your preferred setup.

Exactly. Returnil is the App of choice for the Grandchild trojan. Just turn it on before you let them on the computer and reboot when they go home. If you don't tell them what returnil is they won't know enough to mess with it.

Genial.

Allenfalls entgangene Updates könnte man in diesem Fall ja gleich nachholen, sobald man wieder die Herrschaft über seinen Computer zurückerlangt hat.

Und sicherer als eine Sandbox ist eine Gesamtvirtualisierung in diesem Fall wohl deshalb, weil bei der Sandbox die Gefahr besteht, dass ein ahnungsloser Nutzer etwas aus der Sandbox herauslässt und zB. schädliche Software direkt am Rechner installiert.

Der Beitrag wurde von Peter 123 bearbeitet: 31.08.2008, 00:21