ThreatFire noch zeitgemäß? |
Willkommen, Gast ( Anmelden | Registrierung )
ThreatFire noch zeitgemäß? |
Gast_uweli1967_* |
20.09.2011, 20:16
Beitrag
#1
|
Gäste |
Da wir ja hier in einem Security Forum sind würde ich gerne die Wissenden hier fragen: Ist ThreatFire noch zeitgemäß? kann es noch mit anderen BehaviorGuards bzw. HIPS'en mithalten oder versagt es bei was weiß ich von Arten von Malware bei der andere Verhaltenschutz Programme/Module eben nicht versagen?
|
|
|
Gast_uweli1967_* |
20.09.2011, 22:39
Beitrag
#2
|
Gäste |
Ja leider Voyager, aber ganz beerdigen tut ja Symantec PC Tools und TF sowie die PCT FW nicht, beide(TF und FW) leben ja noch ich frag mich, warum Symantec TF und die PCT FW nicht komplett eingestampft hat
Was mich aber wirklich interessieren würde: ist TF in der Lage aktuelle Malware wie diverse Rootkits, Zeus Trojaner und wie die alle heissen zu erkennen und zu stoppen? und bei welchen dieser "Viecher" würde TF versagen wo zum Beispiel Mamutu oder Norton usw. nicht versagen? Der Beitrag wurde von uweli1967 bearbeitet: 20.09.2011, 22:42 |
|
|
21.09.2011, 15:10
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Was mich aber wirklich interessieren würde: ist TF in der Lage aktuelle Malware wie diverse Rootkits, Zeus Trojaner und wie die alle heissen zu erkennen und zu stoppen? und bei welchen dieser "Viecher" würde TF versagen wo zum Beispiel Mamutu oder Norton usw. nicht versagen? Schnelltest: Threatfire und Mamutu im Vergleich gegen ausgewählte Schadsoftware. Norton habe ich nicht mitgetestet, da es hier schwer bis unmöglich ist SONAR allein als BB zu testen, zum zweiten ist der Einsatz so nicht vorgesehen. __ Testumgebung: - VM (Vbox) Win7x86-SP1 aktuell. - Getestete Software die einzige installierte Securitysoftware. Zurücksetzen der VM nach jedem Einzeltest. Produkte und Einstellungen: - Threatfire (v4-7-053): Standardeinstellungen (Level 3), bei einem Fail wurde der Test nochmal mit Level 5 wiederholt, um zu sehen ob sich hier ein anderes Ergebnis zeigt. - Mamutu (v3-0-019): Paranoid-Modus aktiviert. Da automatische blocken/erlauben gemäß der Communityentscheidungen deaktiviert. Da natürlich wenige getestete Samples nie einen Gesamtüberblick über die Schutzwirkung eines Produktes erlauben, und man sich deshalb immer die Relevanzfrage stellen muss, wurde sich auf recht aktuelle, nachweislich gefährliche und verbreitete Samples konzentriert. __ Ergebnisse: (1) Rootkit-TDL4. VTT | TE Threatfire: Erkennt immerhin, dass sich der Dropper mehrfach kopieren will. Weitere Verhaltensweisen des Rootkits nicht erkannt. Mamutu: Warnungen vor rootkitähnlichem Verhalten & vor direktem Festplattenzugriff (MBR). (2) Rootkit-ZeroAccess. VTT | TE Threatfire: keinerlei Meldung. *Will ich bei Gelegenheit nochmal auf einem realen System prüfen... Mamutu: Erkennt die Manipulation aktiver Prozesse. *Man beachte: Community-Empfehlungen sind nicht immer sinnvoll... (3) Trojaner-SpyEye. VTT | TE Threatfire: Prozessmanipulation erkannt. Mamutu: Prozessmanipulation erkannt. (4) Ransom-WinLock VTT | TE Threatfire: Erkennt (je nachdem wieviel man erlaubt :-) ) die Prozessmanipulation, das kopieren an mehrere Orte sowie das Eintragen in den Autostart. Mamutu: Prozessmanipulation erkannt. Fazit: Mamutu erkannte im Schnelltest mehr, Threatfire war oft detaillierter und schlägt sich auch beachtlich. Dies soll und kann natürlich nicht über technische Unzulänglichkeiten der Programmierung (s.o.) hinwegtäuschen. Ob jeder Nutzer mit den Medlungen beider Programme zurechtkommen und die richtigen Entscheidungen treffen würde ist auch ein anderes Thema. Der Beitrag wurde von SLE bearbeitet: 21.09.2011, 15:12 -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.06.2024, 07:51 |