Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

3 Seiten V  < 1 2 3  
Reply to this topicStart new topic
> BETA: Emsisoft Version 12, Öffentliche Beta jetzt verfügbar
Der Moloch
Beitrag 16.02.2017, 11:10
Beitrag #41



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 463
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



ZITAT(Skandaloes @ 15.02.2017, 20:04) *
Muss ich hier mit eingeschränkter Schutzwirkung rechnen?


Es werden halt alle Dateitypen, welche nicht ausgeführt, sondern geöffnet werden, nicht mehr gescannt. Skripte zum Beispiel fallen mir da ein. Wie es aussieht, wenn runDLL32.exe eine schädliche DLL lädt, weiß ich nicht. Der Missbrauch von CMD, Powershell, runDLL32 und Konsorten sollte aber vom Verhaltensschutz abgedeckt werden.


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
Krond
Beitrag 16.02.2017, 13:49
Beitrag #42



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.138
Mitglied seit: 24.09.2004
Mitglieds-Nr.: 1.424



Hmmm, Scripte, die nicht ausgeführt werden? Und was sollen die dann im System anstellen, wenn ich sie im Texteditor aufmache?


--------------------
Diskutiere nie mit einem Idioten!
Er zieht dich auf sein Niveau runter und schlägt dich dort mit seinen eigenen Waffen!
Go to the top of the page
 
+Quote Post
Clinton
Beitrag 16.02.2017, 14:11
Beitrag #43



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 507
Mitglied seit: 13.07.2004
Wohnort: Niederrhein
Mitglieds-Nr.: 1.208

Betriebssystem:
W7x64 / Linux Mint
Virenscanner:
EAM & Sandboxie
Firewall:
Router / Win FW



ZITAT(Skandaloes @ 15.02.2017, 20:04) *
Wie sieht es eigentlich aus, wenn ich EAM OnExecution laufen lasse?
Muss ich hier mit eingeschränkter Schutzwirkung rechnen?

Meine Av-Tools laufen seit jeher 'On Execution' und ich habe noch nie ein Problem bemerkt. Wie schon gesagt wird es ja erst 'interessant' wenn etwas ausgeführt wird. Einziger möglicher Unterschied wäre das mein System performanter ist. Zumindest etwas. Auch wenn ich mir das dann nur einbilde.
Go to the top of the page
 
+Quote Post
Der Moloch
Beitrag 16.02.2017, 17:14
Beitrag #44



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 463
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



ZITAT(Krond @ 16.02.2017, 13:49) *
Hmmm, Scripte, die nicht ausgeführt werden? Und was sollen die dann im System anstellen, wenn ich sie im Texteditor aufmache?


Ein Skript wird nicht ausgeführt sondern interpretiert. Ausgeführt wird der Interpreter wie z.B. cmd.exe oder powershell.exe. Wenn der Scanner auf On-Execution eingestellt ist, werden lediglich die Interpreter überprüft, aber nicht ihre Skripte, was natürlich sinnlos ist.

Hier erklärt Marcos von ESET, dass Skripte bei On-Execution nicht mehr gescannt werden:

https://www.wilderssecurity.com/threads/ese...6/#post-2484469

Aber wie bereits gesagt, bei Emsisoft wird der Missbrauch von Interpretern durch den Verhaltenschutz abgedeckt sein, weshalb es nicht so starke Auswirkungen haben sollte wie bei ESET.


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
Skandaloes
Beitrag 16.02.2017, 17:21
Beitrag #45



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 404
Mitglied seit: 08.11.2010
Mitglieds-Nr.: 8.244

Betriebssystem:
Win 10 Pro x64
Virenscanner:
WD
Firewall:
Win intern



Ich danke Euch für die Antworten.
Unterm Strich heisst das wohl, das der Faktor Sicherheit > Geschwindigkeit zu vernachlässigen ist und daher On Execution nicht so viel Sinn machen?!
Go to the top of the page
 
+Quote Post
Der Moloch
Beitrag 16.02.2017, 18:35
Beitrag #46



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 463
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



Ich würde mich diesbezüglich direkt an Emsisoft wenden. Soweit ich weiß, benutzt Fabian Wosar die Software auch in der Einstellung On Execution, zumindest hat er es in der Vergangenheit so gemacht.


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 16.02.2017, 19:46
Beitrag #47



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



Bei Emsisoft sollte im OE-Modus nichts schiefgehen - anders als bei anderen AV-Lösungen. [Seitenhieb an]Darum muss man es auch immer draufbehalten ph34r.gif [Seitenhieb aus]
Go to the top of the page
 
+Quote Post
Hexo
Beitrag 16.02.2017, 19:53
Beitrag #48



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.165
Mitglied seit: 05.10.2010
Wohnort: Im Herzen: New York City
Mitglieds-Nr.: 8.211

Betriebssystem:
Win 10 Pro 64bit
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Windows 10 FW - NAT



Da mich das Thema auch brennend interessiert, hab ich bei EAM mal einen entsprechenden Topic eröffnet.
https://support.emsisoft.com/topic/26899-on-execution-frage/

Gruß


--------------------
Blog
Notebook: Emsisoft Anti-Malware
LastFM Profil: Hier entlang
Go to the top of the page
 
+Quote Post
SLE
Beitrag 16.02.2017, 21:11
Beitrag #49



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Der Moloch @ 16.02.2017, 17:14) *
Ein Skript wird nicht ausgeführt sondern interpretiert. Ausgeführt wird der Interpreter wie z.B. cmd.exe oder powershell.exe. Wenn der Scanner auf On-Execution eingestellt ist, werden lediglich die Interpreter überprüft, aber nicht ihre Skripte, was natürlich sinnlos ist.


EAM (ebenso wie KIS) prüft da meiner Erfahrung nach tiefer und quasi "die gesamte Befehlskette". Die Erklärung mit dem Skriptinterpretieren greift m.W. zu kurz. Wenn ESET da so wirklich so dilettanitisch vorgehen sollte würde mich das ehrlich gesagt etwas schockieren, aber Aussagen von Marcos sind eh mit Vorsicht zu genießen wink.gif



--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Fabian Wosar
Beitrag 17.02.2017, 01:17
Beitrag #50



Ist neu hier


Gruppe: Mitglieder
Beiträge: 3
Mitglied seit: 10.12.2016
Mitglieds-Nr.: 10.229

Betriebssystem:
Windows 10
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Windows Firewall



Wir werten bei Scriptformaten das blosse Öffnen der Datei als Versuch sie auszuführen und scannen sie. Bei PE EXE Dateien wird das Mappen in den Speicher mit als ausführbar markierten Speicherseiten als Ausführung gewertet, was sowohl bei Treibern, Anwendungen und DLLs passiert. Entsprechend ist es unbedenklich den File Guard auf On Execution zu stellen. Wäre es nicht für einige Tests notwendig, ware das auch der Default.


--------------------
Best regards,

Fabian Wosar [Development]
Emsisoft Team - www.emsisoft.com
Go to the top of the page
 
+Quote Post
Krond
Beitrag 17.02.2017, 09:39
Beitrag #51



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.138
Mitglied seit: 24.09.2004
Mitglieds-Nr.: 1.424



Also wenn der Unterschied rein am "interpretiert" vs. "ausgeführt" liegen würde, dann hätten wir ein gravierendes Sicherheitsproblem. Suche mal, welche Programmiersprachen es gibt und welche Compiler tatsächlich in Maschinensprache kompilieren. Alle anderen Sprachen werden auf die eine oder andere Art über Runtimes nur interpretiert im weitesten Sinn. D.h. dass ein Programm läuft, dass zur Laufzeit den compilierten Code nimmt und auf Maschinensprache interpretiert.

Und das ist nicht nur bei Script-Sprachen, wie JavaScript so, schon mal geschaut, was in einem "compilierten" Java-File (nicht zu verwechseln mit JavaScript) drinnen steht? Warum glaubst du, dass ReverseEngeneering von vielen Firmen so gefürchtet wird?


--------------------
Diskutiere nie mit einem Idioten!
Er zieht dich auf sein Niveau runter und schlägt dich dort mit seinen eigenen Waffen!
Go to the top of the page
 
+Quote Post
Der Moloch
Beitrag 17.02.2017, 15:02
Beitrag #52



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 463
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



Danke für die Erklärung, Fabian.

Jetzt würde mich nur noch brennend interessieren, wie es bei ESET aussieht.


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 18.02.2017, 00:24
Beitrag #53



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(Der Moloch @ 17.02.2017, 16:02) *
Jetzt würde mich nur noch brennend interessieren, wie es bei ESET aussieht.

Ich glaube die Antwort wird enttäuschend.

Im Übrigen bin ich ebenfalls etwas enttäuscht, dass hier keine Antwort zu meinen beschriebenen Schwierigkeiten gegeben wird. Ich bin wirklich niemand, der grundlos irgendetwas kritisiert. Im Gegenteil - ich habe EAM in den vergangenen Jahren überdurchschnittlich weiterempfohlen und bin nach wie vor überzeugt von dem Programm. Und ich bin auch kein PC-Laie. Aber die bereits beschriebenen, wirklich schwerwiegenden Probleme bei der Deinstallation unter den genannten Voraussetzungen auf völlig unterschiedlichen Systemen und Rechnerzusammensetzungen sind nicht wegzudiskutieren. Ich könnte auch ein Video hier reinstellen, aber es scheint niemanden zu interessieren.

Der Beitrag wurde von Schattenfang bearbeitet: 18.02.2017, 00:25
Go to the top of the page
 
+Quote Post
Gast_Oldie_*
Beitrag 18.02.2017, 07:57
Beitrag #54






Gäste






ZITAT(Schattenfang @ 18.02.2017, 00:24) *
Ich glaube die Antwort wird enttäuschend.

Im Übrigen bin ich ebenfalls etwas enttäuscht, dass hier keine Antwort zu meinen beschriebenen Schwierigkeiten gegeben wird. Ich bin wirklich niemand, der grundlos irgendetwas kritisiert. Im Gegenteil - ich habe EAM in den vergangenen Jahren überdurchschnittlich weiterempfohlen und bin nach wie vor überzeugt von dem Programm. Und ich bin auch kein PC-Laie. Aber die bereits beschriebenen, wirklich schwerwiegenden Probleme bei der Deinstallation unter den genannten Voraussetzungen auf völlig unterschiedlichen Systemen und Rechnerzusammensetzungen sind nicht wegzudiskutieren. Ich könnte auch ein Video hier reinstellen, aber es scheint niemanden zu interessieren.


Versuch es doch einfach mal im Emsisoft-Support-Forum. Dort ist ja die für solche Probleme zuständige Stelle und nach meinen Erfahrungen geben sich die Mitarbeiter von Emsisoft dort große Mühe, allen Fehlern auf den Grund zu gehen.
https://support.emsisoft.com/forum/51-germa...tscher-support/
Go to the top of the page
 
+Quote Post

3 Seiten V  < 1 2 3
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 11:28
Impressum