OnExecution-Guards, Erfahrungsberichte zu OnExecution Einstellungen

[Ford Prefect]

Hi zusammen,
durch die Diskussionen in den verschiedenen Threads neugierig geworden, würde mich interessieren, welche Produkte den OnExecution-Modus überhaupt anbieten und wie er umgesetzt wurde.

G Data bietet in den aktuellen Versionen OnExecution nicht an.

Ist diese Option bei denen, die sie anbieten, per default aktiviert?
Falls nicht, wie wird dem user diese Option angeboten und "erklärt"?

Beispielfrage zur Umsetzung:
Wenn ich eicar.com.txt per Doppelklick also mit der für .txt als Standard-Anwendung definierten Anwendung öffne, dann sollte sich der Guard melden. Oder etwa nicht?
Wie sieht es aus, wenn ich die Datei mit einem nicht als Standard für .txt definierten Editor öffne?

Gruß
Ford

[SLE]

KAV/KIS:

Standardeinstellung ist die "intelligente Dateiauswahl" - aber problemlos auf on-execution umstellbar. Ein Klick auf Hilfe bringt die grobe Erklärung:

Daneben sind noch die zu prüfenden Dateitypen wählbar:

Eicar.com bei Ausführung


Eicar.txt wird bei Ausführung nicht angemeckert - warum auch?
___

Avast bietet auf jeden Fall noch vergleichbare Einstellungen, NIS, FIS nicht.

Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 14:59

[Hexo]

Also ich hab bei "OnExecution" für mich ein Problem mit der Funktion.

Für mich soll eine AV versuchen, Malware überhaupt nicht erst auf den Rechner zu lassen.
"OnExecution" sieht aber sowas überhaupt nicht vor.
Bei "OnExecution" besteht die Möglichkeit Malware auf dem Rechner zu haben, die aber keinen Schaden erstmal anrichtet, solange sie nicht ausgeführt oder aktiv wird. Erst beim Auslösen wart der Guard vor der Anwendung oder vor dem Fund.

Beispiel ist für mich da EAM.
Stelle ich auf "OnExecution", kann ich munter Maleware runterladen und es passiert nicht. Wenn ich aber die Datei anpacke und z.b. Ausführe, springt der Guard an.

Ich spreche jetzt für mich: Ich möchte gerne bei Lösungen haben. Wenn ich z.b. spiele, stelle ich auf "OnExecution" weil das Leistungsmäßig besser ist... im normalen Betrieb schalte ich wieder auf die Kontrolle von auch beim schreiben und so.

Der Beitrag wurde von Hexo bearbeitet: 12.12.2010, 15:09

[Ford Prefect]

Eicar.txt wird bei Ausführung nicht angemeckert - warum auch?

eicar.com.txt sollte nur als leicht verfügbares Beispiel für "Dokumente" wie PDFs, mp3s, scripte etc. dienen.
Wenn ich z.B. ein "böses" script mit der dafür vorgesehenen Anwendung ausführe, dann sollte sich der guard doch schon melden.

[Gast_control_*]

Für mich soll eine AV versuchen, Malware überhaupt nicht erst auf den Rechner zu lassen.

Ganz meine Meinung - man könnte eine infizierte Datei sogar weiterverteilen da man sie ja nie gestartet hat (siehe Ad-Aware IS)

[SLE]

Ganz meine Meinung - man könnte eine infizierte Datei sogar weiterverteilen da man sie ja nie gestartet hat (siehe Ad-Aware IS)

Und? Abgesehen von der Relevanz solcher Gedankenexperimente ... Vorher prüfen - fertig. Man kann ja auch argumentieren - "wird es eben beim anderen bei Ausführung erkannt..." oder "wer verschickt niemals ausgeführte/ungeprüfte Dinge..." Deshalb braucht es kein permanentes Gerödele eines AVs.
Ich finde die Idee des Threads gar nicht so schlecht: Einen Überblick wer es bietet und wie es implementiert ist. Diskussionen über Sinn und Unsinn wurden an anderer Stelle geführt.

@FP:
Schon klar, aber in einfachen txt-Dateien sollten keine Skripte möglich sein - oder?

Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 15:38

[Gast_claudia_*]

hier mal Avast Einstellmöglichkeiten

[SLE]

@claudia: Bild 1 zeigt ja den WebAV und keine on-execution Reaktion.
Daneben sieht man, dass man bei Avast alles einzeln regeln kann: also beim schreiben und beim öffnen deaktivieren, beim ausführen anlassen = on-execution.

[Gast_claudia_*]

ich weiß - wollte auch gerade das noch anmerken

[Ford Prefect]

@FP:
Schon klar, aber in einfachen txt-Dateien sollten keine Skripte möglich sein - oder?

Das sehe ich auch so - hab aber z.B. an PDFs gedacht, bei denen ein Scanner schon mal gern drauf anspringt (wenn auch oft genug als false positive).
Würde der Wächter dann nür beim Öffnen mit er Standard-Anwendung anspringen, oder auch wenn ich mal einen alternativen Viewer nehme?

[Gast_control_*]

"wer verschickt niemals ausgeführte/ungeprüfte Dinge..."

Ja ok, hat auch was

[SLE]

Würde der Wächter dann nür beim Öffnen mit er Standard-Anwendung anspringen, oder auch wenn ich mal einen alternativen Viewer nehme?

Interessanter Punkt - aber es ändert ja nichts daran das die Ursprungsdatei ausgeführt wird, von daher dürfte es keinen Unterschied machen. Bei einer .exe ist es ja auch schnuppe ob sie über den Windows Explorer oder irgendeinen Filemanager gestartet wird.

Wobei bei konkreten Exploits in pdfs auch on-access oft nicht allzuviel bringen sollte.

Edit: Ergänzung

Der Beitrag wurde von SebastianLE bearbeitet: 12.12.2010, 15:49

[Gast_J4U_*]

Ganz meine Meinung - man könnte eine infizierte Datei sogar weiterverteilen da man sie ja nie gestartet hat

...und schwupps sind wir bei der Glaubensfrage, wie sinnvoll es ist, ausgehende Mails zu scannen.

J4U

[Gast_control_*]

...und schwupps sind wir bei der Glaubensfrage, wie sinnvoll es ist, ausgehende Mails zu scannen.

Nö, du hast das Thema verfehlt

[Solution-Design]

onExecution ohne Verhaltensbloker ist ein gewisses Risiko. Zumindest, wenn man häufig mit Datenträgern mittelbekannter Herkunft zu tun hat. Es gibt genügend Exploits, bei welchen ein Scanner das Desaster erst dann erkennt, wenn etwas aufgeführt wird. dll-hijacking oder die LNK-Lücke, da würde die Angriffsfläche größer. Nicht riesig, aber größer. So lange man dieses durch Workarounds umgehen kann, spricht nichts gegen onExecution, so lange man...

Bei EAM schützt das IDS, bei KIS (wenn vernünftig konfiguriert) das HIPS. Bei Avast würde ich, zumindest StandAlone genutzt, die Finger von onExecution lassen....außer... man nutzt Sandboxie. Dann darf jeder Fremddatenträger in der Sandbox starten und gut ist.

Bekannt sind mir jetzt nur KAV/KIS, EAM, Avast, OA++ und NOD32, neu nun wohl auch Ad-Aware, welche onExecution beherrschen. Bei mir darf ein AV nicht onAccess arbeiten, verboten Die PCs sind schon langsam genug. Mich stört sogar schon eine Scheinsoftware wie WindowsDefender. Noch dazu kommt, wer sagt denn, ob das arme AV die Malware überhaupt erkennt? Wie war das? bis zu 20.000 Malware-Files/d, 2.000 im Mittel werden anhand Verbreitungsgraden hinzugefügt. Nach einiger Zeit, werden Familien generisch erkannt (nach meinen Erfahrungen dauert das schon mal ein paar Tage). MDL mit seinen paar Files/d, das ist Promille.

PS, falsche Diskussion, falscher Thread, meine wegen Scan ausgehender Mails.

[SLE]

...Es gibt genügend Exploits, bei welchen ein Scanner das Desaster erst dann erkennt, wenn etwas aufgeführt wird. dll-hijacking oder die LNK-Lücke, da würde die Angriffsfläche größer. ...

Und wo/wie genau schützt hier ein reiner on-access Scanner?

[Lurchi]

Nun, wenn sich der Scanner meldet, heißt das für mich ganz klar: Image zurückspielen!

Auf Bereinigungen verlasse ich mich nicht.

Insofern ist für mich der Zeitpunkt, wann der Scanner anspringt, nicht ganz so entscheidend.
Hauptsache, er springt überhaupt an!

Der Beitrag wurde von Lurchi bearbeitet: 13.12.2010, 08:43

[Gast_control_*]

Nun, wenn sich der Scanner meldet, heißt das für mich ganz klar: Image zurückspielen!

Auf Bereinigungen verlasse ich mich nicht.

Ich werde es ab sofort auch so machen

[Solution-Design]

Und wo/wie genau schützt hier ein reiner on-access Scanner?

Beim Nachladen ihm bekannter Malware. Bei der Verbreitung (auf der HD) ihm bekannter Malware. Die Festplatte könnte so ein Malware-Bunker werden, welcher OnAccess (Erkennung jetzt mal angenommen) direkt auffallen würde, onExecution aber eben erst bei Ausführung einer betroffenen Datei. Es ibt schon Gründe für einen permanenten Wächter. Ich nutze ihn trotzdem nicht

[Gast_control_*]

Die Festplatte könnte so ein Malware-Bunker werden

... aber nur wenn man nie einen On-Demand-Scan startet