a2 mit IDS Einstellungen

[Gast_Bo Derek_*]

PC Welt berichtet über eine neue Version von a2:

http://www.pcwelt.de/news/sicherheit/108887/index.html

Die neue Version verfüge nun über ein IDS.

[Gast_Rudi Carrera_*]

Version 1.6!!!!!!!

Andreas wird sich untreu, war er doch lange gegen ein IDS...

Schade....

Rudi Carrera

[raman]

Er springt halt auf den Behavior Blocker Hype auf. das ist auch eine schnellere, und nicht schlechtere, Methode Malware aufzuspueren, ohne grossartige Wartung. Libarys wie Madhook und z.B. API-Hook gibt es ja schon. Panda(?) nennt es True Prevent und F-secure wirbt ja zur Zeit mit "BlackLight Rootkit Elimination Technology".

Sowas gab es ja zu Doszeiten auh schon. Diese Dinger fand ich immer klasse!

[forge77]

Andreas wird sich untreu, war er doch lange gegen ein IDS...

Vorsicht: es handelt sich dabei nicht um ein Netzwerk-IDS (wie z.B. bei PFWs), sondern wohl eher um ein HIDS/HIPS, vgl. auch diesen Thread:
http://www.rokop-security.de/index.php?showtopic=7698&st=0

AFAIK war Andreas nie gegen diese Art von Schutz, im Gegenteil: diese Funktion war auch schon seit Urzeiten angekündigt, und war eigentlich immer als Kernstück von a2 gedacht... (im Gegensatz zum "ollen" Sig-Scanner).

edit: raman war schneller...
Aber wie gesagt: da die Funktionen schon im ersten a2 geplant waren, kann man eigentlich nicht sagen, dass er mal eben auf den Zug aufgesprungen ist... er hat eher (wie üblich) den Zug (fast) verpasst...

Der Beitrag wurde von forge77 bearbeitet: 21.03.2005, 22:28

[Voyager]

ich hab gerade mal das neue a2 mit den 2 malware testsets die ich hab scannen lassen .
die erkennungsrate ist extrem niedrig !
aus 1000 objekten wurden nur 19 erkannt.

[Gast_Bo Derek_*]

Ja klar. Warum sollte auch ein IDS Malware erkennen.

[Voyager]

in der freeware-version ist die funktion IDS garnicht dabei

[Gast_Bo Derek_*]

Ach so. Dass die Erkennungsleistung von a2 nicht berauschend ist, war uns doch bekannt. Ich dachte, Du hättest wenigstens die Version getestet, um die es hier geht. Obwohl das wie gesagt natürlich auch wenig Sinn macht...

[forge77]

@bond7
Was ist denn in deinem Testset so für Malware? Aktuelle Sachen, oder eher altes Zeugs (Dos-Malware etc.)? Denn letzteres hat der Haak bestimmt ganz bewusst nicht eingepflegt (zurecht...)

Nichtsdestotrotz ist der a2-Scanner auch insgesamt nicht berauschend... deshalb ist die Fertigstellung des "IDS" schon ein echter Meilenstein für a2...

@Bo
Das a2-"IDS" sollte schon in der Lage sein, malware-typisches Verhalten zu erkennen. Von daher macht ein Test mit Malware durchaus Sinn... allerdings muss man die Biester dazu alle starten...

[Gast_Bo Derek_*]

Moment mal. "IDS" steht üblicherweise für "Intrusion Detection System" und das erkennt Malware an incoming traffic, der auf Malwareaktivitäten zurückzuführen ist. Laut dem Emsisoft-Support werden z.B. Browser und Virenscanner als Backdoors erkannt. Warum sollte sich dadurch die Erkennungsrate erhöhen? Incoming traffic muss erzeugt werden, damit ein IDS überhaupt aktiv werden kann. Wie Du schon richtig bemerkt hast, müsste Malware ausgeführt werden und darüber hinaus aber auch aktiv sein. Das kann in synthetischen Tests kaum zu einer Erhöhung der Erkennungsleistung führen.

[Voyager]

@forge77
nein, das dürfte (in der wild zusammgewürftelten malwaresammlung aus 1000 objekten) überwiegend keine DOS-malware (viren) sein , da aus der malwarebezeichnung überwiegend hervorgeht das es netzwerktauglich ist.
aus dem 2ten malwaretestset (ein nicht näher genanntes baukastensystem) ist die erkennungsrate auch nicht so hoch , wo Escan daraus 173 objekte findet , findet a2 nur 138 objekte.

zusatz: auch hier zeigt sich wieder das eine grosse angabe von signaturen (in dem falle schreibt a2 was von 90000 signaturen) nichts über die wirkliche leistungsfähigkeit sagt.

Der Beitrag wurde von bond7 bearbeitet: 22.03.2005, 00:35

[Gast_Janerik_*]

Wer macht eigentlich die Grafiken für a² ? IRON ist ja scheinbar in Luft aufgelöst..

[Gast_piet_*]

@Bo,

du interpretierst das IDS falsch. Was Du meinst ist ein NIDS (Netweork Intr.....). Das a²-IDS stellt ungewöhnliches bzw. Malwaretypisches Verhalten fest wie CodeInjection etc. und springt darauf an. Man kann entsprechend das IDS am Anfang per Whitelist trainieren.

Zum nachlesen...http://www.emsisoft.de/de/software/ids/

piet

[Gast_piet_*]

@bond7,

teste doch mal das ausführen der Malware unter z.B. vmware. Die Schwächen von Scannern sind doch allen bekannt. Du bist theoretisch immer einen Schritt hinterher, ausser eine starke Heuristik ist mit im Spiel.

piet

PS: vergiss es, du hast ja nur die Freeversion da.

Der Beitrag wurde von piet bearbeitet: 22.03.2005, 16:41

[Gast_Bo Derek_*]

du interpretierst das IDS falsch. Was Du meinst ist ein NIDS (Netweork Intr.....). Das a²-IDS stellt ungewöhnliches bzw. Malwaretypisches Verhalten fest wie CodeInjection etc. und springt darauf an. Man kann entsprechend das IDS am Anfang per Whitelist trainieren.
[right][snapback]85485[/snapback][/right]

Danke, aber warum nennt man das dann nicht konsequenterweise "Heuristik". Eine solche mit definierten Ausnahmen im Monitor macht doch auch nichts anderes, oder?

[Gast_piet_*]

Was verstehst Du unter definierten Ausnahmen? Als Heuristik könnte man es sicher durchgehen lassen wenn man die Verhaltensmuster wie CodeIncection etc. unter "Zugehörig zu bestimmten Kategorien" betrachtet.

http://de.wikipedia.org/wiki/Heuristik

Vermutlich klingt IDS bzw. Intrusion Detection System einfach besser (Marketingtechnisch) und Heuristik assoziieren die meisten wohl eher mit bestimmten Scanmethoden.

piet

Der Beitrag wurde von piet bearbeitet: 22.03.2005, 16:54

[forge77]

Wie Du schon richtig bemerkt hast, müsste Malware ausgeführt werden und darüber hinaus aber auch aktiv sein. Das kann in synthetischen Tests kaum zu einer Erhöhung der Erkennungsleistung führen.
[right][snapback]85441[/snapback][/right]

Wieso, man kann doch Malware starten und schauen, ob sich das a2-"IDS" mit einer aussagekräftigen Warnung meldet, und dies dann als Erkennung interpretieren. Bei unserem BOClean-Test, einem reinen Memory-Scanner, haben wir ja auch unser komplettes Testset ausgeführt... ok, waren auch nur gut 500 Samples...
http://home.arcor.de/scheinsicherheit/boclean.htm

[Catweazle]

@ bond7

Du hast deinen Rechner mit tausend Trojaner, also die waren wirklich bei dir Installiert, und konfiguriert, Lauffähig ?

Oder wie hast du das gemacht/getestet ?

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 22.03.2005, 20:30

[Voyager]

@Catweazle

Du hast deinen Rechner mit tausend Trojaner, also die waren wirklich bei dir Installiert, und konfiguriert, Lauffähig ?

nein, nein und nochmals nein .
1000 objekte aus einem passwortgeschütztem archiv in einen freien ordner kopiert und dem AV-scanner dann mitgeteilt nur den 1 ordner zu scannen.

[Gast_Andreas Haak_*]

PC Welt is ja lahm ...

Der Beitrag wurde von Andreas Haak bearbeitet: 24.03.2005, 18:34