GDATA 2011, Verbesserungsvorschläge / Wünsche Einstellungen

[Tiranon]

Hallo

die Entwickler von der 2011er Version von GDATA arbeiten bestimmt schon hart an der neuen Version. Jetzt wollte ich mal fragen (nur so aus Neugier) was Ihr Euch so für die neue Version wünschen würdet oder welche Verbesserungen Ihr gern haben wollt?

Vielleicht geben wir den Entwicklern ja noch eine "kleine" Idee!

Freu mich auf Eure zahlreichen Beiträge

Vielen Dank und liebe Grüße

[waky]

@ Julian

klar wenn du mit der API von nem Betriebsystem und Phyton klar kommst kannste jedes programm killen das bezieht sich nicht nur auf Gdata

und wie ich geschrieben habe es gibt keinen 100%igen schutz aber es ist aufjedenfall besser als nur das programm zu betrachten was sich ins netz verbindet wie jede Stino FW

Und bei Rootkits ist alles möglich: Vielleicht nutzt es Windows-Prozesse zum Internet-Zugriff (machen auf Nicht-Rootkits), vielleicht modifiziert es die Netzwerkschnittstelle so, dass gar keine Verbindung angezeigt wird etc.

Könntest du das belegen ? Vorallem bitte den letzten teil das keine Verbindung angezeigt wird.

Der Beitrag wurde von waky bearbeitet: 09.11.2009, 00:39

[Julian]

@ Julian

klar wenn du mit der API von nem Betriebsystem und Phyton klar kommst kannste jedes programm killen das bezieht sich nicht nur auf Gdata

Kann man schon, wahrscheinlich. Programme wie Online Armor oder Comodo haben so einen guten Selbstschutz, dass die Chance, dass Malware sie killen wird, astronomisch klein sein dürfte.
Gdata lässt sich wahrscheinlich selbst mit der Jahre alten APT von DiamondCS töten. Das heißt, der Selbstschutz taugt nicht die Bohne und wenn Malware erst einmal aktiv geworden ist, könnte die Chance hoch sein, dass Gdata um die Ecke gebracht wird.
Auf x64 lässt sich Gdata eh über den Taskmanger beenden.
Außerdem hattest du gesagt, dass die FW gut bei Code-Injektion wäre. Die Matousec-Tests beweisen u.a. auch davon genau das Gegenteil. Die CPILSUITE hatte ich nur gebracht, weil jeder damit sofort sehen kann, was ich meine.
Beispiele TDSS-Varianten: Gibts an jeder Ecke, werden wenn sie neu sind naturgemäß oft (auch von Gdata) nicht erkannt. Der mülli.. mäßige (Ich möcht mir nicht wieder vorwerfen lassen, ich würde "bashen" ) Verhaltensblocker von Gdata hat gegen die keine Chance, und ich wette, die FW würde auch nichts (Brauchbares) melden.
Ich fürchte nur, dass ich das nicht so ohne weiteres demonstrieren kann, weil die Dinger meistens in einer VM nicht funktionieren.

und wie ich geschrieben habe es gibt keinen 100%igen schutz aber es ist aufjedenfall besser als nur das programm zu betrachten was sich ins netz verbindet wie jede Stino FW

Genau das macht die von Gdata doch? Und dieser Ansatz, dass die FW die von den ins Internet funkenden Programmen die geladenen Komponenten prüft, der ist schon ein alter Hut bzw. nicht mehr aktuell, weil Malware das, u.a. mit Rootkit-Funktionalität (TDSS, keine Seltenheit), massenhaft umgeht. Deshalb haben auch alle guten FWs um eine HIPS-Komponente aufgestockt, weil alles andere nicht mehr wirkungsvoll bei heutiger Malware ist.

Könntest du das belegen ? Vorallem bitte den letzten teil das keine Verbindung angezeigt wird.

Kann ich nicht, aber du wirst mir glauben müssen, dass Malware, wenn sie Ring 0-Zugriff hat, alles mit deinem BS bzw. dessen Kernel machen kann, z.B. auch deiner Firewall alles mögliche vorgaukeln.
Und was nützt es einem, zu erkennen, dass eine verdächtige Verbindung aufgebaut wurde, wenn darüber schon die ganze Zeit Daten wie Seriennummern, Accounts etc. gesendet werden?
Futsch ist futsch.

@Virusscanner: Vielleicht solltest du in Zukunft auch bei unfundierten "Gdata Komponente X ist genial weil sag ich nich"-Aussagen dich beschweren, dann würde dein in Teilen sicherlich berechtigter Einspruch Einwand glaubwürdiger wirken.

Edit: Einspruch durch Einwand ersetzt.

Der Beitrag wurde von Julian bearbeitet: 09.11.2009, 16:46

[Ford Prefect]

Auf x64 lässt sich Gdata eh über den Taskmanger beenden.

Ist zumindest aktuell nicht möglich