Online Armor 5 RC ist erschienen! Einstellungen

[Julian]

Jo, das Problem ist gefixt... Nebenbei frage ich noch einmal, ob sich bei der v5 etwas getan hat bei der Regelerstellung in der Free-Variante?

Nein, den erweiterten Modus gibt es immer noch nur bei den kostenpflichtigen Versionen.
Ohne den gibt es übrigens auch nicht das neue Datei- und Registryshield.

@Sebastian:
Wahrscheinlich bist du über ein etwas seltsames Scanverhalten von OA gestolpert...
Wenn du es neuinstallieren würdest und jetzt vorm Scan die Signaturen updaten würdest, wäre das Ergebnis vermutlich mit dem von EAM identisch.
In der Tat, verbesserungswürdig.

[Gast_Fabian Wosar_*]

Ist es möglich, dass das Programm irgendwas cacht, weil ich erst ohne Signaturen gescannt habe - und deshalb jetzt auch nach dem updaten die Dateien brav ignoriert? Weil mit anderen Samplesets konnte ich es jetzt nicht reproduzieren...

Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte.

[Julian]

Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte.

Wenn ich mich recht entsinne hatte ich in der Vergangenheit mal das gleiche Problem wie Sebastian, allerdings ohne dass es am SCW lag.

[SLE]

@Sebastian:
Wahrscheinlich bist du über ein etwas seltsames Scanverhalten von OA gestolpert...Wenn du es neuinstallieren würdest und jetzt vorm Scan die Signaturen updaten würdest, wäre das Ergebnis vermutlich mit dem von EAM identisch. In der Tat, verbesserungswürdig.

Denke ich auch, würde/werde ich auch später mal testen mit der Neuinstallation. Aber ich hoffe doch man findet das Problem jetzt mittels der Logs! Sonst wäre das ganz schön derb.

Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte.

Ich truste nicht... Nein die Samples kamen erst hinterher. Zumindest der Wizard ist also unschuldig, aber baut da echt mal noch eine Updatemöglichkeit für das AV ein vor dem Release.

[FreeBSDler]

Sehr interessant auf den ersten Blick.

Steht denn eigentlich schon eine Termin für die finale Version fest ?

[Julian]

Steht denn eigentlich schon eine Termin für die finale Version fest ?

April.

[Taurus]

Hat Emsisoft schon immer ein Trojanisches Pferd als Logo gehabt? Passt irgendwie nicht zu dem, was die Firma macht...

Der Gaul ist noch ein Relikt aus den Anti Trojan Zeiten. Wenn du nicht willst, dass er sich dreht, dann Klick ihn an.

Mit Sandboxie kann es immer noch Probleme geben, z.B. mit Chrome, aber da kann man sich mit Ausnahmen bei OA helfen. Adobe Reader X mit Sandbox sollte allerdings kein Problem mehr sein.
Das Problem mit Chrome ist auch einem Entwickler zugeordnet, es wird also wohl in nicht allzu ferner Zukunft gefixt werden.

Bei mir wird Chrome auch ohne Verwendung von Sandboxie blockiert. Zumindest war es in der Version 4.5 so.

Also der GUI gefällt mir: Sehr gut strukturiert

Hoffe, dass es zu einer Suite mit EAM zusammenwächst.

Version 6.0 wird ein wenig auf sich warten lassen, was einfach daran liegt das der "Unterbau" ein komplett neuer sein wird. Ich bin jedenfalls ebenfalls gespannt wie einige der Funktionen von OA 6.0, EAM 7.0 und Mamutu 4.0 ankommen werden bei den Nutzern .

Ich hoffe nicht, dass alles in die Cloud verlagert wird.

[Julian]

Der Gaul ist noch ein Relikt aus den Anti Trojan Zeiten. Wenn du nicht willst, dass er sich dreht, dann Klick ihn an.

Es geht wohl eher um das Vieh in der Titelleiste.
Ich würd mir auch kein Tapetenmuster mit dem zulegen.

Bei mir wird Chrome auch ohne Verwendung von Sandboxie blockiert. Zumindest war es in der Version 4.5 so.

Das hast du ja schon mal gesagt. Wie wärs, du probierst Version 5?

[SLE]

Ich hoffe nicht, dass alles in die Cloud verlagert wird.

Ach ich denke nicht das man auf lokale Regeln verzichten wird, aber eine Unterstützung möglichst vieler Komponenten aus der Wolke ist eine feine Sache.

Es geht wohl eher um das Vieh in der Titelleiste. Ich würd mir auch kein Tapetenmuster mit dem zulegen.

OT: Mein Scheißhaus ist auch gefliest...

[Taurus]

Das hast du ja schon mal gesagt. Wie wärs, du probierst Version 5?

Der Fehler tritt mit der Version 5 auch noch auf. Es wird die gesamte Internetverbindung blockiert, deshalb kann sich OA auch nicht zum Updateserver verbinden. Neueste Chrome Version wird verwendet.

Angehängte Datei(en)

 APC___2011.03.31_21.39___001.3d.jpg ( 317.23KB ) Anzahl der Downloads: 35

 

[Alexausmdorf]

Also bei mir funktioniert die Combo einwandfrei. Bist du sicher, dass du nicht irgendwelche Regeln verklickt hast und Chrome oder einen Teil von Chrome blockst?

[Taurus]

Also bei mir funktioniert die Combo einwandfrei. Bist du sicher, dass du nicht irgendwelche Regeln verklickt hast und Chrome oder einen Teil von Chrome blockst?

Warum ist dann das gesamte Netzwerk blockiert (=auch kein Update möglich)?? Bei Chrome wird alles erlaubt.

[SLE]

Zur allgemeinen Info wegen dem von mir berichteten Scanfehler bei OA++:
Nur ein Erstscan ohne Signaturen führt(e) dazu, dass OA++ zukünfitig bei den entsprechenden Files blind bleibt. Durchaus ernstzunehmen für Anwender die aus guter Gewohnheit gleich nach der Installation mal wild losscannen.

Fabian W. konnte die Sache nachstellen. Und was soll ich sagen: Schnelle Reaktion und netter Kontakt
Die neuen Setups sind/werden dahingehend nachgebessert (selbst probiert), dass der Assistent gleich auch die Signaturen updatet. Damit wird es ganz schwer das Problem wieder hervorzukitzeln. Also: quasi-gefixt!
_
Ja, ich teste OA5 jetzt etwas länger und muss sagen: Bisher, OK - gefällt. (Die Version 4.5 hatte ich ausgelassen - meine OA Erfahrungen sind also etwas her)
Es sind zwar einige Dinge, die ich für verbesserungsfähig halte, aber enormes Potential ist zweifellos da.
Fürchterliche Angst macht mir, dass ich auf Win7x86 nur 320 Pkte. im verbuggten CLT erziele (SetWinEventHook & SetWindowsHookEx) - nein Spass beiseite, elende Leaktests.
Sämtliche echte & brauchbare Malware die ich bisher getestet habe wurde an irgendeiner Stelle gemeldet - und darauf kommt es ja irgendwo an. Mal sehen

Shit - tatsächlich ein Beitrag von mir, wo ich positiv über Emsisoft schreibe. Da soll nochmal einer behaupten ich bashe


Der Beitrag wurde von SebastianLE bearbeitet: 02.04.2011, 18:35

[Julian]

Fürchterliche Angst macht mir, dass ich auf Win7x86 nur 320 Pkte. im verbuggten CLT erziele (SetWinEventHook & SetWindowsHookEx) - nein Spass beiseite, elende Leaktests.

Da hast du wohl einen Bug in der x32-Version gefunden.

[SLE]

Da hast du wohl einen Bug in der x32-Version gefunden.

Wollt ich nicht Dieser YouTube Man kommt ja durch - allerdings auf XP. Aber ich habe es jetzt auf Win7 in der VM und real getestet.

[Julian]

Wollt ich nicht Dieser YouTube Man kommt ja durch - allerdings auf XP. Aber ich habe es jetzt auf Win7 in der VM und real getestet.

Hier ist mal der Original-Leaktest:
 CPILSuite.7z ( 468.22KB ) Anzahl der Downloads: 24

Wenn ich mich recht entsinne, läuft der auch unter Winodws 7 x32.
Test 2 oder 3 entspricht dann wohl SetWinEventHook.

[SLE]

Hier ist mal der Original-Leaktest...

1 und 3 werden erkannt, 2 nicht.

[Gast_metabolit_*]

Also mach ich was falsch. Bei mir werden alle 3 erkannt.

[SLE]

Also mach ich was falsch. Bei mir werden alle 3 erkannt.

OS?

[Gast_Fabian Wosar_*]

Hallo,

Generell kann ich das Problem bestätigen das CLT unter Windows 7 x86 meldet, dass die Tests fehlgeschlagen seien. Allerdings schlägt bei mir die Code Injection an sich dennoch fehl. Am besten lässt sich das am SetWinEventHook Test zeigen:

QUELLTEXT

.text:100010BB                 mov     eax, hmodWinEventProc
.text:100010C0                 push    6              ; dwFlags
.text:100010C2                 push    0              ; idThread
.text:100010C4                 push    0              ; idProcess
.text:100010C6                 push    offset HandleWinEvent; pfnWinEventProc
.text:100010CB                 push    eax            ; hmodWinEventProc
.text:100010CC                 push    7FFFFFFFh      ; eventMax
.text:100010D1                 push    1              ; eventMin
.text:100010D3                 call    ds:SetWinEventHook

Der Code bewirkt im Endeffekt, daß Windows die DLL in andere Prozesse lädt und dort bei Ankunft eines Events die Funktion HandleWinEvent ausführt. Nun, HandleWinEvent macht folgendes:

QUELLTEXT

.text:10001080                 sub     esp, 104h
.text:10001086                 push    104h           ; nSize
.text:1000108B                 lea     eax, [esp+108h+Filename]
.text:1000108F                 push    eax            ; lpFilename
.text:10001090                 push    0              ; hModule
.text:10001092                 call    ds:GetModuleFileNameA
.text:10001098                 lea     ecx, [esp+104h+Filename]
.text:1000109B                 push    ecx            ; lpOutputString
.text:1000109C                 call    ds:OutputDebugStringA
.text:100010A2                 add     esp, 104h
.text:100010A8                 retn    1Ch

Was dort gemacht wird ist es wird der Dateiname des derzeitigen Prozesses ermittelt (GetModuleFileNameA) und dann mit Hilfe der OutputDebugStringA Funktion als Debug Nachricht ausgegeben. Das bedeutet im Falle einer erfolgreichen Injektion, sollte im Debugger oder in Microsofts DebugView ein Prozesspfad zu sehen sein. Ist es aber nicht:



Bedeutet die Injection an sich schlägt fehl. Aus irgend einem Grund gibt OA allerdings keinen "Access Denied" Fehler zurück wie sonst üblich, weshalb CLT denkt die Injection hätte geklappt. Der SetWindowsHookEx Test hat leider keinen solchen Debug Output den man zeigen könnte. Allerdings hab ich geschaut ob die DLL in irgend einen Prozess geladen wurde, was aber nicht der Fall war.

Im Endeffekt scheint es sich also nur um ein Anzeige Problem zu handeln. Ich werd mal sehen ob sich das bis zum 5.0 Release beheben lässt. Den Release verschieben werden wir deshalb allerdings nicht.