a2 mit IDS |
Willkommen, Gast ( Anmelden | Registrierung )
a2 mit IDS |
Gast_Bo Derek_* |
21.03.2005, 22:02
Beitrag
#1
|
Gäste |
PC Welt berichtet über eine neue Version von a2:
http://www.pcwelt.de/news/sicherheit/108887/index.html Die neue Version verfüge nun über ein IDS. |
|
|
Gast_Rudi Carrera_* |
21.03.2005, 22:04
Beitrag
#2
|
Gäste |
Version 1.6!!!!!!!
Andreas wird sich untreu, war er doch lange gegen ein IDS... Schade.... Rudi Carrera |
|
|
21.03.2005, 22:24
Beitrag
#3
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Er springt halt auf den Behavior Blocker Hype auf. das ist auch eine schnellere, und nicht schlechtere, Methode Malware aufzuspueren, ohne grossartige Wartung. Libarys wie Madhook und z.B. API-Hook gibt es ja schon. Panda(?) nennt es True Prevent und F-secure wirbt ja zur Zeit mit "BlackLight Rootkit Elimination Technology".
Sowas gab es ja zu Doszeiten auh schon. Diese Dinger fand ich immer klasse! -------------------- MfG Ralf
|
|
|
21.03.2005, 22:25
Beitrag
#4
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
QUOTE Andreas wird sich untreu, war er doch lange gegen ein IDS... Vorsicht: es handelt sich dabei nicht um ein Netzwerk-IDS (wie z.B. bei PFWs), sondern wohl eher um ein HIDS/HIPS, vgl. auch diesen Thread:http://www.rokop-security.de/index.php?showtopic=7698&st=0 AFAIK war Andreas nie gegen diese Art von Schutz, im Gegenteil: diese Funktion war auch schon seit Urzeiten angekündigt, und war eigentlich immer als Kernstück von a2 gedacht... (im Gegensatz zum "ollen" Sig-Scanner). edit: raman war schneller... Aber wie gesagt: da die Funktionen schon im ersten a2 geplant waren, kann man eigentlich nicht sagen, dass er mal eben auf den Zug aufgesprungen ist... er hat eher (wie üblich) den Zug (fast) verpasst... Der Beitrag wurde von forge77 bearbeitet: 21.03.2005, 22:28 -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
21.03.2005, 22:56
Beitrag
#5
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich hab gerade mal das neue a2 mit den 2 malware testsets die ich hab scannen lassen .
die erkennungsrate ist extrem niedrig ! aus 1000 objekten wurden nur 19 erkannt. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Bo Derek_* |
21.03.2005, 22:58
Beitrag
#6
|
Threadersteller Gäste |
Ja klar. Warum sollte auch ein IDS Malware erkennen.
|
|
|
21.03.2005, 22:59
Beitrag
#7
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
in der freeware-version ist die funktion IDS garnicht dabei
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Bo Derek_* |
21.03.2005, 23:04
Beitrag
#8
|
Threadersteller Gäste |
Ach so. Dass die Erkennungsleistung von a2 nicht berauschend ist, war uns doch bekannt. Ich dachte, Du hättest wenigstens die Version getestet, um die es hier geht. Obwohl das wie gesagt natürlich auch wenig Sinn macht...
|
|
|
21.03.2005, 23:15
Beitrag
#9
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
@bond7
Was ist denn in deinem Testset so für Malware? Aktuelle Sachen, oder eher altes Zeugs (Dos-Malware etc.)? Denn letzteres hat der Haak bestimmt ganz bewusst nicht eingepflegt (zurecht...) Nichtsdestotrotz ist der a2-Scanner auch insgesamt nicht berauschend... deshalb ist die Fertigstellung des "IDS" schon ein echter Meilenstein für a2... @Bo Das a2-"IDS" sollte schon in der Lage sein, malware-typisches Verhalten zu erkennen. Von daher macht ein Test mit Malware durchaus Sinn... allerdings muss man die Biester dazu alle starten... -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
Gast_Bo Derek_* |
21.03.2005, 23:23
Beitrag
#10
|
Threadersteller Gäste |
Moment mal. "IDS" steht üblicherweise für "Intrusion Detection System" und das erkennt Malware an incoming traffic, der auf Malwareaktivitäten zurückzuführen ist. Laut dem Emsisoft-Support werden z.B. Browser und Virenscanner als Backdoors erkannt. Warum sollte sich dadurch die Erkennungsrate erhöhen? Incoming traffic muss erzeugt werden, damit ein IDS überhaupt aktiv werden kann. Wie Du schon richtig bemerkt hast, müsste Malware ausgeführt werden und darüber hinaus aber auch aktiv sein. Das kann in synthetischen Tests kaum zu einer Erhöhung der Erkennungsleistung führen.
|
|
|
21.03.2005, 23:26
Beitrag
#11
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@forge77
nein, das dürfte (in der wild zusammgewürftelten malwaresammlung aus 1000 objekten) überwiegend keine DOS-malware (viren) sein , da aus der malwarebezeichnung überwiegend hervorgeht das es netzwerktauglich ist. aus dem 2ten malwaretestset (ein nicht näher genanntes baukastensystem) ist die erkennungsrate auch nicht so hoch , wo Escan daraus 173 objekte findet , findet a2 nur 138 objekte. zusatz: auch hier zeigt sich wieder das eine grosse angabe von signaturen (in dem falle schreibt a2 was von 90000 signaturen) nichts über die wirkliche leistungsfähigkeit sagt. Der Beitrag wurde von bond7 bearbeitet: 22.03.2005, 00:35 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Janerik_* |
22.03.2005, 09:58
Beitrag
#12
|
Gäste |
Wer macht eigentlich die Grafiken für a² ? IRON ist ja scheinbar in Luft aufgelöst..
|
|
|
Gast_piet_* |
22.03.2005, 16:38
Beitrag
#13
|
Gäste |
@Bo,
du interpretierst das IDS falsch. Was Du meinst ist ein NIDS (Netweork Intr.....). Das a²-IDS stellt ungewöhnliches bzw. Malwaretypisches Verhalten fest wie CodeInjection etc. und springt darauf an. Man kann entsprechend das IDS am Anfang per Whitelist trainieren. Zum nachlesen...http://www.emsisoft.de/de/software/ids/ piet |
|
|
Gast_piet_* |
22.03.2005, 16:41
Beitrag
#14
|
Gäste |
@bond7,
teste doch mal das ausführen der Malware unter z.B. vmware. Die Schwächen von Scannern sind doch allen bekannt. Du bist theoretisch immer einen Schritt hinterher, ausser eine starke Heuristik ist mit im Spiel. piet PS: vergiss es, du hast ja nur die Freeversion da. Der Beitrag wurde von piet bearbeitet: 22.03.2005, 16:41 |
|
|
Gast_Bo Derek_* |
22.03.2005, 16:44
Beitrag
#15
|
Threadersteller Gäste |
QUOTE(piet @ 22.03.2005, 16:37) du interpretierst das IDS falsch. Was Du meinst ist ein NIDS (Netweork Intr.....). Das a²-IDS stellt ungewöhnliches bzw. Malwaretypisches Verhalten fest wie CodeInjection etc. und springt darauf an. Man kann entsprechend das IDS am Anfang per Whitelist trainieren. [right][snapback]85485[/snapback][/right] Danke, aber warum nennt man das dann nicht konsequenterweise "Heuristik". Eine solche mit definierten Ausnahmen im Monitor macht doch auch nichts anderes, oder? |
|
|
Gast_piet_* |
22.03.2005, 16:53
Beitrag
#16
|
Gäste |
Was verstehst Du unter definierten Ausnahmen? Als Heuristik könnte man es sicher durchgehen lassen wenn man die Verhaltensmuster wie CodeIncection etc. unter "Zugehörig zu bestimmten Kategorien" betrachtet.
http://de.wikipedia.org/wiki/Heuristik Vermutlich klingt IDS bzw. Intrusion Detection System einfach besser (Marketingtechnisch) und Heuristik assoziieren die meisten wohl eher mit bestimmten Scanmethoden. piet Der Beitrag wurde von piet bearbeitet: 22.03.2005, 16:54 |
|
|
22.03.2005, 19:28
Beitrag
#17
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 439 Mitglied seit: 10.06.2003 Mitglieds-Nr.: 102 |
QUOTE(Bo Derek @ 21.03.2005, 23:22) Wie Du schon richtig bemerkt hast, müsste Malware ausgeführt werden und darüber hinaus aber auch aktiv sein. Das kann in synthetischen Tests kaum zu einer Erhöhung der Erkennungsleistung führen. Wieso, man kann doch Malware starten und schauen, ob sich das a2-"IDS" mit einer aussagekräftigen Warnung meldet, und dies dann als Erkennung interpretieren. Bei unserem BOClean-Test, einem reinen Memory-Scanner, haben wir ja auch unser komplettes Testset ausgeführt... ok, waren auch nur gut 500 Samples... [right][snapback]85441[/snapback][/right] http://home.arcor.de/scheinsicherheit/boclean.htm -------------------- "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
|
|
|
22.03.2005, 20:28
Beitrag
#18
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
@ bond7
Du hast deinen Rechner mit tausend Trojaner, also die waren wirklich bei dir Installiert, und konfiguriert, Lauffähig ? Oder wie hast du das gemacht/getestet ? Catweazle Der Beitrag wurde von Catweazle bearbeitet: 22.03.2005, 20:30 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
23.03.2005, 05:53
Beitrag
#19
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@Catweazle
QUOTE Du hast deinen Rechner mit tausend Trojaner, also die waren wirklich bei dir Installiert, und konfiguriert, Lauffähig ? nein, nein und nochmals nein . 1000 objekte aus einem passwortgeschütztem archiv in einen freien ordner kopiert und dem AV-scanner dann mitgeteilt nur den 1 ordner zu scannen. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Andreas Haak_* |
24.03.2005, 18:31
Beitrag
#20
|
Gäste |
PC Welt is ja lahm ...
Der Beitrag wurde von Andreas Haak bearbeitet: 24.03.2005, 18:34 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 03.06.2024, 17:29 |