OnExecution-Guards, Erfahrungsberichte zu OnExecution |
Willkommen, Gast ( Anmelden | Registrierung )
OnExecution-Guards, Erfahrungsberichte zu OnExecution |
12.12.2010, 13:56
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.041 Mitglied seit: 11.05.2006 Mitglieds-Nr.: 4.898 Betriebssystem: win7 x64 Virenscanner: G Data TotalProtection Firewall: G Data TotalProtection |
Hi zusammen,
durch die Diskussionen in den verschiedenen Threads neugierig geworden, würde mich interessieren, welche Produkte den OnExecution-Modus überhaupt anbieten und wie er umgesetzt wurde. G Data bietet in den aktuellen Versionen OnExecution nicht an. Ist diese Option bei denen, die sie anbieten, per default aktiviert? Falls nicht, wie wird dem user diese Option angeboten und "erklärt"? Beispielfrage zur Umsetzung: Wenn ich eicar.com.txt per Doppelklick also mit der für .txt als Standard-Anwendung definierten Anwendung öffne, dann sollte sich der Guard melden. Oder etwa nicht? Wie sieht es aus, wenn ich die Datei mit einem nicht als Standard für .txt definierten Editor öffne? Gruß Ford -------------------- Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein |
|
|
12.12.2010, 14:59
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
KAV/KIS:
Standardeinstellung ist die "intelligente Dateiauswahl" - aber problemlos auf on-execution umstellbar. Ein Klick auf Hilfe bringt die grobe Erklärung: Daneben sind noch die zu prüfenden Dateitypen wählbar: Eicar.com bei Ausführung Eicar.txt wird bei Ausführung nicht angemeckert - warum auch? ___ Avast bietet auf jeden Fall noch vergleichbare Einstellungen, NIS, FIS nicht. Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 14:59 -------------------- Don't believe the hype!
|
|
|
12.12.2010, 15:09
Beitrag
#3
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Also ich hab bei "OnExecution" für mich ein Problem mit der Funktion.
Für mich soll eine AV versuchen, Malware überhaupt nicht erst auf den Rechner zu lassen. "OnExecution" sieht aber sowas überhaupt nicht vor. Bei "OnExecution" besteht die Möglichkeit Malware auf dem Rechner zu haben, die aber keinen Schaden erstmal anrichtet, solange sie nicht ausgeführt oder aktiv wird. Erst beim Auslösen wart der Guard vor der Anwendung oder vor dem Fund. Beispiel ist für mich da EAM. Stelle ich auf "OnExecution", kann ich munter Maleware runterladen und es passiert nicht. Wenn ich aber die Datei anpacke und z.b. Ausführe, springt der Guard an. Ich spreche jetzt für mich: Ich möchte gerne bei Lösungen haben. Wenn ich z.b. spiele, stelle ich auf "OnExecution" weil das Leistungsmäßig besser ist... im normalen Betrieb schalte ich wieder auf die Kontrolle von auch beim schreiben und so. Der Beitrag wurde von Hexo bearbeitet: 12.12.2010, 15:09 -------------------- |
|
|
12.12.2010, 15:15
Beitrag
#4
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.041 Mitglied seit: 11.05.2006 Mitglieds-Nr.: 4.898 Betriebssystem: win7 x64 Virenscanner: G Data TotalProtection Firewall: G Data TotalProtection |
Eicar.txt wird bei Ausführung nicht angemeckert - warum auch? eicar.com.txt sollte nur als leicht verfügbares Beispiel für "Dokumente" wie PDFs, mp3s, scripte etc. dienen. Wenn ich z.B. ein "böses" script mit der dafür vorgesehenen Anwendung ausführe, dann sollte sich der guard doch schon melden. -------------------- Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein |
|
|
Gast_control_* |
12.12.2010, 15:24
Beitrag
#5
|
Gäste |
|
|
|
12.12.2010, 15:30
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ganz meine Meinung - man könnte eine infizierte Datei sogar weiterverteilen da man sie ja nie gestartet hat (siehe Ad-Aware IS) Und? Abgesehen von der Relevanz solcher Gedankenexperimente ... Vorher prüfen - fertig. Man kann ja auch argumentieren - "wird es eben beim anderen bei Ausführung erkannt..." oder "wer verschickt niemals ausgeführte/ungeprüfte Dinge..." Deshalb braucht es kein permanentes Gerödele eines AVs. Ich finde die Idee des Threads gar nicht so schlecht: Einen Überblick wer es bietet und wie es implementiert ist. Diskussionen über Sinn und Unsinn wurden an anderer Stelle geführt. @FP: Schon klar, aber in einfachen txt-Dateien sollten keine Skripte möglich sein - oder? Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 15:38 -------------------- Don't believe the hype!
|
|
|
Gast_claudia_* |
12.12.2010, 15:33
Beitrag
#7
|
Gäste |
hier mal Avast Einstellmöglichkeiten
|
|
|
12.12.2010, 15:36
Beitrag
#8
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
@claudia: Bild 1 zeigt ja den WebAV und keine on-execution Reaktion.
Daneben sieht man, dass man bei Avast alles einzeln regeln kann: also beim schreiben und beim öffnen deaktivieren, beim ausführen anlassen = on-execution. -------------------- Don't believe the hype!
|
|
|
Gast_claudia_* |
12.12.2010, 15:38
Beitrag
#9
|
Gäste |
ich weiß - wollte auch gerade das noch anmerken
|
|
|
12.12.2010, 15:41
Beitrag
#10
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.041 Mitglied seit: 11.05.2006 Mitglieds-Nr.: 4.898 Betriebssystem: win7 x64 Virenscanner: G Data TotalProtection Firewall: G Data TotalProtection |
@FP: Schon klar, aber in einfachen txt-Dateien sollten keine Skripte möglich sein - oder? Das sehe ich auch so - hab aber z.B. an PDFs gedacht, bei denen ein Scanner schon mal gern drauf anspringt (wenn auch oft genug als false positive). Würde der Wächter dann nür beim Öffnen mit er Standard-Anwendung anspringen, oder auch wenn ich mal einen alternativen Viewer nehme? -------------------- Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein |
|
|
Gast_control_* |
12.12.2010, 15:41
Beitrag
#11
|
Gäste |
|
|
|
12.12.2010, 15:46
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Würde der Wächter dann nür beim Öffnen mit er Standard-Anwendung anspringen, oder auch wenn ich mal einen alternativen Viewer nehme? Interessanter Punkt - aber es ändert ja nichts daran das die Ursprungsdatei ausgeführt wird, von daher dürfte es keinen Unterschied machen. Bei einer .exe ist es ja auch schnuppe ob sie über den Windows Explorer oder irgendeinen Filemanager gestartet wird. Wobei bei konkreten Exploits in pdfs auch on-access oft nicht allzuviel bringen sollte. Edit: Ergänzung Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 15:49 -------------------- Don't believe the hype!
|
|
|
Gast_J4U_* |
12.12.2010, 15:56
Beitrag
#13
|
Gäste |
|
|
|
Gast_control_* |
12.12.2010, 16:01
Beitrag
#14
|
Gäste |
|
|
|
12.12.2010, 16:58
Beitrag
#15
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
onExecution ohne Verhaltensbloker ist ein gewisses Risiko. Zumindest, wenn man häufig mit Datenträgern mittelbekannter Herkunft zu tun hat. Es gibt genügend Exploits, bei welchen ein Scanner das Desaster erst dann erkennt, wenn etwas aufgeführt wird. dll-hijacking oder die LNK-Lücke, da würde die Angriffsfläche größer. Nicht riesig, aber größer. So lange man dieses durch Workarounds umgehen kann, spricht nichts gegen onExecution, so lange man...
Bei EAM schützt das IDS, bei KIS (wenn vernünftig konfiguriert) das HIPS. Bei Avast würde ich, zumindest StandAlone genutzt, die Finger von onExecution lassen....außer... man nutzt Sandboxie. Dann darf jeder Fremddatenträger in der Sandbox starten und gut ist. Bekannt sind mir jetzt nur KAV/KIS, EAM, Avast, OA++ und NOD32, neu nun wohl auch Ad-Aware, welche onExecution beherrschen. Bei mir darf ein AV nicht onAccess arbeiten, verboten Die PCs sind schon langsam genug. Mich stört sogar schon eine Scheinsoftware wie WindowsDefender. Noch dazu kommt, wer sagt denn, ob das arme AV die Malware überhaupt erkennt? Wie war das? bis zu 20.000 Malware-Files/d, 2.000 im Mittel werden anhand Verbreitungsgraden hinzugefügt. Nach einiger Zeit, werden Familien generisch erkannt (nach meinen Erfahrungen dauert das schon mal ein paar Tage). MDL mit seinen paar Files/d, das ist Promille. PS, falsche Diskussion, falscher Thread, meine wegen Scan ausgehender Mails. -------------------- Yours sincerely
Uwe Kraatz |
|
|
12.12.2010, 17:22
Beitrag
#16
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
...Es gibt genügend Exploits, bei welchen ein Scanner das Desaster erst dann erkennt, wenn etwas aufgeführt wird. dll-hijacking oder die LNK-Lücke, da würde die Angriffsfläche größer. ... Und wo/wie genau schützt hier ein reiner on-access Scanner? -------------------- Don't believe the hype!
|
|
|
13.12.2010, 07:24
Beitrag
#17
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 422 Mitglied seit: 20.10.2009 Wohnort: Berlin Mitglieds-Nr.: 7.794 Betriebssystem: Linux Mint / Windows XP Virenscanner: - / Panda Cloud AV free |
Nun, wenn sich der Scanner meldet, heißt das für mich ganz klar: Image zurückspielen!
Auf Bereinigungen verlasse ich mich nicht. Insofern ist für mich der Zeitpunkt, wann der Scanner anspringt, nicht ganz so entscheidend. Hauptsache, er springt überhaupt an! Der Beitrag wurde von Lurchi bearbeitet: 13.12.2010, 08:43 |
|
|
Gast_control_* |
13.12.2010, 07:45
Beitrag
#18
|
Gäste |
|
|
|
13.12.2010, 08:53
Beitrag
#19
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Und wo/wie genau schützt hier ein reiner on-access Scanner? Beim Nachladen ihm bekannter Malware. Bei der Verbreitung (auf der HD) ihm bekannter Malware. Die Festplatte könnte so ein Malware-Bunker werden, welcher OnAccess (Erkennung jetzt mal angenommen) direkt auffallen würde, onExecution aber eben erst bei Ausführung einer betroffenen Datei. Es ibt schon Gründe für einen permanenten Wächter. Ich nutze ihn trotzdem nicht -------------------- Yours sincerely
Uwe Kraatz |
|
|
Gast_control_* |
13.12.2010, 09:09
Beitrag
#20
|
Gäste |
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 26.04.2024, 01:05 |