Avast 7 Einstellungen

[Firefox 1947]

Hallo claudia,

für mich ist das das erste Problem zwischen Avast und Sandboxie, bis zum Update auf die neuste Version von Avast lief immer alles einwandfrei,

wird der Script-Schutz deaktiviert läuft alles wie es soll, ist allerdings kaum eine Lösung.


Gruß Firefox

[Schattenfang]

Avast glaubt das Sandboxie die Scriptuntersuchung behindert.

wenn sandboxie das kann, können andere das auch. nur mal so zum nachdenken für avast

[Firefox 1947]

Glauben heisst noch nicht wissen.

Gruß Firefox

[Gast_claudia_*]

Hallo claudia,

für mich ist das das erste Problem zwischen Avast und Sandboxie, bis zum Update auf die neuste Version von Avast lief immer alles einwandfrei,

wird der Script-Schutz deaktiviert läuft alles wie es soll, ist allerdings kaum eine Lösung.


Gruß Firefox

wahrscheinlich nicht aufgefallen? plugin-container.exe hat in der Sandbox F/P ausgelöst z.B.

wenn sandboxie das kann, können andere das auch. nur mal so zum nachdenken für avast

wenn Tzuk keinen oder falschen Kompatibilitätsmodus für das AV anbietet wird jedes scheitern, auch Panda!
Er ist dem Fehler aber schon auf der Spur.
(Avast hat halt eine größere Änderung vorgenommen die Sandboxie jetzt anpassen muss damit alles reibungslos läuft)

Der Beitrag wurde von claudia bearbeitet: 23.08.2012, 16:30

[Schattenfang]

wenn Tzuk keinen oder falschen Kompatibilitätsmodus für das AV anbietet wird jedes scheitern, auch Panda!

ihr immer mit eurem panda. was habe ich mit dieser firma zutun? welche genaue rolle spielt mein av beim schreiben von beiträgen zu avast?

zum thema:
wenn der scriptschutz webbasiert ist, also über addon-/plugin funktioniert, dann hast du recht. ansonsten nicht.

[simracer]

wenn sandboxie das kann, können andere das auch. nur mal so zum nachdenken für avast

Na endlich hast du mal wieder einen Grund gefunden, um über Avast herziehen zu können

Der Beitrag wurde von simracer bearbeitet: 23.08.2012, 16:34

[simracer]

zum thema:
wenn der scriptschutz webbasiert ist, also über addon-/plugin funktioniert, dann hast du recht. ansonsten nicht.

Falls es dich interessiert(oder auch nicht):

Der avast! Script-Schutz überprüft Scripte, die auf dem System, in Webbrowsern und speziellen Programmen ausgeführt werden, auf Bedrohungen. Die Programme, die unterstützt werden sind:


Microsoft Internet Explorer
Mozilla Firefox
Google Chrome
Adobe Acrobat Reader
Weitere Programme




Der avast! Script-Schutz wartet darauf, dass eine bestimmte DLL (z.B. mozjs.dll/js3250.dll im Falle von Mozilla Firefox), die die Programme zur Ausführung von Scripten nutzen, geladen wird und dockt dann dort an verschiedene Programmierschnittstellen (APIs) an, um die Scripte zu überprüfen. Es werden NUR offizielle und stabile Versionen der oben genannten Programme geschützt, da einige festgeschriebene Offsets (Addressierungen) innerhalb der DLL Dateien verwendet werden, an denen angesetzt/modifiziert wird.
Der Script-Schutz benötigt den Verhaltens-Schutz, da einige gemeinsame Funktionen genutzt werden.

Quelle: Avadas Forum

Der Beitrag wurde von simracer bearbeitet: 23.08.2012, 16:41

[SLE]

wenn Tzuk keinen oder falschen Kompatibilitätsmodus für das AV anbietet wird jedes scheitern, auch Panda!

Nö, nur die, die auf Prozesse in der Sandbox zugreifen wollen. Geht aber auch oft ohne das Tzuk dafür Templates erstellt: Einfach im Ressourcenzugriffsmonitor schauen was geblockt wird und dann die Sandbox entsprechend einstellen. (er vereinfacht dies nur für Massensoftware)

Zur aktuellen Avast-Sandboxie Geschichte: Reicht hier schon die Installation von SB oder tritt das Problem nur auf wenn der Browser in der Sandbox läuft?

wenn sandboxie das kann, können andere das auch. nur mal so zum nachdenken für avast

Was kann denn Sandboxie hier?

Im ersten Fall, dass es nur Prozesszufgriffe betrifft muss eine Ausnahme her - im anderen Fall, dass die bloße Installation stört liegt das Problem höchstwahrscheinlich auf Treiberebene. Beide Programme setzten ja entsprechende Hooks. Und da Avast derzeit sehr viel, zum Teil grundlegend, ändert (gerade in Bezug auf Sandbox und BB) was eben in der v7 bisher nicht wunschgemäß funktioniert kann sowas vorkommen.

Ich würde aber trotz allem wetten Tzuk ist schneller als Avast in Problemanalyse und Beseitigung ;-)

Der Rest wäre kein Avast Problem...natürlich lässt sich dieses Programm von Malware mit entsprechenden Rechten ausknipsen, wie jedes andere auch.


Der Beitrag wurde von SLE bearbeitet: 23.08.2012, 16:51

[Gast_claudia_*]

Das Problem besteht "nur" wenn FF in der Sandbox läuft.

Zitat
Ich kann nicht zuverlässig reproduzieren dieses Problem. Aber ich merkte, dass die Kompatibilität Einstellungen für avast! in Sandboxie sollte für die aktuelle Version aktualisiert werden. Bitte öffnen Sie Sandbox Einstellungen> Resource Access> IPC Access> Direct Access, klicken Sie auf Hinzufügen und fügen:

* \ BaseNamedObjects * \ * avscr *. Map

Ich würde gerne wissen, ob das Hinzufügen dieses Mittel einen Unterschied macht, wenn Sie wieder zu aktivieren Script Shield in avast.
(ist noch nicht die Lösung- leider)

Und

Vielleicht in Ihrem Fall, sind zusätzliche Ressourcen erforderlich. Können Sie auf dem Resource Access Monitor log wiederum in Sandboxie vor dem Öffnen Firefox in Sandboxe, dann schreiben Sie Ihre Log-Daten hier einmal Firefox hängt? Thanks.

[SLE]

Puh, der Original Link wäre leichter zu lesen ;-)

Also wenn sich ein Avast Nutzer einigermaßen mit Sandboxie auskennt bzw. die FAQ lesen kann, dann kann er ja mal den Resourcenzugriffsmonitor von Sandboxie mitlaufen lassen und das Problem reproduzieren.

[Schattenfang]

Was kann denn Sandboxie hier?

na, das meinte ich: [...] liegt das Problem höchstwahrscheinlich auf Treiberebene. Beide Programme setzten ja entsprechende Hooks.
wenn ich durch entsprechendes setzen von hooks das scriptshield von avast aushebeln kann, dann stimmt etwas im selbstschutzkonzept nicht. tzuk expertenwissen in allen ehren, aber es gibt auch schlaue leute auf der bösen seite.

Der Beitrag wurde von Schattenfang bearbeitet: 23.08.2012, 17:33

[SLE]

wenn ich durch entsprechendes setzen von hooks das scriptshield von avast aushebeln kann, dann stimmt etwas im selbstschutzkonzept nicht. tzuk expertenwissen in allen ehren, aber es gibt auch schlaue leute auf der bösen seite.

Naja, zum einen ist das Problem ja hier leichter und anders gelagert - einfach eine weitere Ausnahme in Sandboxie und gut. (Sandboxie Forum) Von daher spricht der Bug eigentlich für die Sicherheit von Sandboxie und nicht für oder gegen Avast.

Zum anderen: Software die schon installiert ist und auf Kernelebene agieren kann, kann jedes AV ausknipsen: Selbstschutz hin oder her. So auch Malware.

Wenn solche Malware folglich an der schon installierter Schutzsoftware vorbeigeht hast du auch ein Problem. (einige ZeroAccess Varianten waren da schöne Beispiele.)
Und da hilft auch kein Selbstschutz - dieser ist eh viel eher Marketing als schutzrelevant wenn man es genau nimmt. (Wenn Malware nicht erkannt wird und agieren kann - was spielt es da für eine Rolle wenn sie das AV auch noch ausknipst/beendet? Im Grunde genommen sogar blöd wenn man das macht - da merkt der User eher wenn was nicht stimmt)

Der Beitrag wurde von SLE bearbeitet: 23.08.2012, 17:44

[Schattenfang]

Und da hilft auch kein Selbstschutz - dieser ist eh viel eher Marketing als schutzrelevant wenn man es genau nimmt.

also kaspersky und dr.web schieße ich mit zeroaccess in der regel nicht ab. das ist ganz selten. ich glaube schon, dass man das technisch hinkriegt - im generellen meine ich.

(Wenn Malware nicht erkannt wird und agieren kann - was spielt es da für eine Rolle wenn sie das AV auch noch ausknipst/beendet?

ja, das stimmt natürlich. aber es gibt ja auch noch andere schutzkomponenten, deren nachträgliche funktion nicht ganz unerheblich sein kann.

im falle von avast ist es mir immer noch schleierhaft, wie ein prozess, der nicht über den browserprozess läuft, durch sandboxie ausgesperrt werden kann.

Der Beitrag wurde von Schattenfang bearbeitet: 23.08.2012, 17:57

[SLE]

also kaspersky und dr.web schieße ich mit zeroaccess in der regel nicht ab. das ist ganz selten. ich glaube schon, dass man das technisch hinkriegt - im generellen meine ich.

Nö. Ep_X0FF hat mal eine zeitlang ein paar POCs kreiert, da war es auch mit dem Selbstschutz der beiden schnell vorbei. Mit Tools wie Malware Defender kann ich die Dateien von KIS ändern während der Selbstschutz läuft etc. Alles weil solche Programme eben auch auf Kernelebene funktionieren. Wenn sie einmal installiert sind, sind Securitylösungen machtlos - trotz Selbstschutz.

Securitysoftware kann versuchen zu verhindern das, bzw. über gescheite HIPS Implementierungen alarmieren wenn, sich andere Programme mit entsprechenden Rechten installieren. (Das ist z.B. auch ein Grund, warum bei ESET Selbstschutz und HIPS gekoppelt sind, auch wenn es 99,x% der Nutzer nicht verstehen. Im Automode hat das HIPS dort sonst fast keine andere Funktion...aber das ist ein anderes Thema)

Und natürlich, es gibt Komponenten die zeichnen auf was unbekannte Programme anstellen und sind dann selbst im Nachhinein in der Lage Änderungen rückgängig zu machen. Bei den Heimanwenderprodukten jedoch recht selten: Außer KIS sind mir nur noch 2 Programme bekannt, bei denen so ein Rollback geht. Dort aber rudimentär.

Aber wie gesagt: Wenn das Schutzprogramm zuerst installiert ist gilt es Malware aufzuhalten. Wenn diese vorbeikommt ist es i.d.R. doch völlig egal das Programm noch auszuknipsen.

BTT:

im falle von avast ist es mir immer noch schleierhaft, wie ein prozess, der nicht über den browserprozess läuft, durch sandboxie ausgesperrt werden kann.

Eben deshalb: Der Browser läuft in der Sandbox und wird auch von IPCs isoliert. Es gibt in Sandboxie eben auch einige gewisse Einschränkungen "in die Sandbox hinein". Hier findest du die Details (im konkreten Fall sind die Erläuterungen im Abschnitt "Inter-ProcessObjects" relevant)

Also hier kann ich wirklich kein Problem bei Avast sehen.

Der Beitrag wurde von SLE bearbeitet: 23.08.2012, 18:41

[Schattenfang]

Eben deshalb: Der Browser läuft in der Sandbox und wird auch von IPCs isoliert.

ja, klar. daher muss das scriptshield zwangsläufig auf den browserprozess zugreifen. anders als z.b. der oa-guard. ich meine im sinne von : OpenIpcPath=$:programXY.exe . in diesem fall kann avast nichts machen. außer es verbietet die ini-einstellung von sb. kaspersky kann das.
aber sollte es nicht so sein, müssten sb-hooks dafür verantwortlich sein. natürlich zieht dann das argument, dass es eh zu spät ist, wenn sich malware bereits installiert hat. aber dann wäre ja noch die frage zu klären, warum gerade dieser prozess betroffen ist und kein weiterer. allein durch api-hooking? die zweite frage wäre dann noch, warum dies mit anderen sicherheitslösungen nicht ebenso passiert. ich weiß, dass f-secure mit dem deepguard advanced process control ähnliche probleme hatte, aber nur beim zugriff auf den browserprozess (und selbstverständlich bei der prozessüberwachung). das wäre bei avast anders, außer es läuft doch ausschließlich darüber. variante 1=unproblematisch, variante 2=problematisch.

hoffe, du verstehst mich

Der Beitrag wurde von Schattenfang bearbeitet: 23.08.2012, 19:01

[Lurchi]

Update von Sandboxie behebt avast-Inkompatibilität:

Version 3.74
Released on 25 August 2012.

"Improved compatibility with avast! Antivirus"

[Gast_claudia_*]

DANKE

Ja kann ich bestätigen. Jetzt werden auch die Scripte wenn FF in Sandboxie läuft untersucht.

[Firefox 1947]

Alles wieder ok, danke.

Gruß Firefox

[Scoty]

Leider funktioniert Avast 7 ISS derzeit unter Windows 8 RTM Build 9200 nicht richtig was auch in deren Forum inzwischen bestätigt wird nach dem ich darauf hingewiesen hatte. Wenn die Firewall an ist so funktioniert der Store nicht mehr so wie alle anderen Apps. Hoffentlich kommt da schnell ein fix dafür.

[maneater]

them dazu im deutsch avast forum: http://forum.avadas.de/threads/4735-Ist-av...ws-8-kompatibel