Online Armor 5 RC ist erschienen! |
Willkommen, Gast ( Anmelden | Registrierung )
Online Armor 5 RC ist erschienen! |
31.03.2011, 16:44
Beitrag
#21
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Jo, das Problem ist gefixt... Nebenbei frage ich noch einmal, ob sich bei der v5 etwas getan hat bei der Regelerstellung in der Free-Variante? Nein, den erweiterten Modus gibt es immer noch nur bei den kostenpflichtigen Versionen. Ohne den gibt es übrigens auch nicht das neue Datei- und Registryshield. @Sebastian: Wahrscheinlich bist du über ein etwas seltsames Scanverhalten von OA gestolpert... Wenn du es neuinstallieren würdest und jetzt vorm Scan die Signaturen updaten würdest, wäre das Ergebnis vermutlich mit dem von EAM identisch. In der Tat, verbesserungswürdig. -------------------- |
|
|
Gast_Fabian Wosar_* |
31.03.2011, 16:46
Beitrag
#22
|
Gäste |
Ist es möglich, dass das Programm irgendwas cacht, weil ich erst ohne Signaturen gescannt habe - und deshalb jetzt auch nach dem updaten die Dateien brav ignoriert? Weil mit anderen Samplesets konnte ich es jetzt nicht reproduzieren... Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte. |
|
|
31.03.2011, 16:49
Beitrag
#23
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte. Wenn ich mich recht entsinne hatte ich in der Vergangenheit mal das gleiche Problem wie Sebastian, allerdings ohne dass es am SCW lag. -------------------- |
|
|
31.03.2011, 17:11
Beitrag
#24
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
@Sebastian: Wahrscheinlich bist du über ein etwas seltsames Scanverhalten von OA gestolpert...Wenn du es neuinstallieren würdest und jetzt vorm Scan die Signaturen updaten würdest, wäre das Ergebnis vermutlich mit dem von EAM identisch. In der Tat, verbesserungswürdig. Denke ich auch, würde/werde ich auch später mal testen mit der Neuinstallation. Aber ich hoffe doch man findet das Problem jetzt mittels der Logs! Sonst wäre das ganz schön derb. Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte. Ich truste nicht... Nein die Samples kamen erst hinterher. Zumindest der Wizard ist also unschuldig, aber baut da echt mal noch eine Updatemöglichkeit für das AV ein vor dem Release. -------------------- Don't believe the hype!
|
|
|
31.03.2011, 18:25
Beitrag
#25
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 687 Mitglied seit: 24.08.2009 Wohnort: Königswinter Mitglieds-Nr.: 7.694 Betriebssystem: Manjaro Linux x64 XFCE Virenscanner: ClamTk Firewall: Router |
Sehr interessant auf den ersten Blick.
Steht denn eigentlich schon eine Termin für die finale Version fest ? -------------------- Notebook: Manjaro Linux XFCE x64
|
|
|
31.03.2011, 18:37
Beitrag
#26
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Steht denn eigentlich schon eine Termin für die finale Version fest ? April. -------------------- |
|
|
31.03.2011, 19:05
Beitrag
#27
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 311 Mitglied seit: 21.08.2009 Mitglieds-Nr.: 7.689 Betriebssystem: Windows 7 x64 SP1 Virenscanner: Emsisoft Anti Malware Firewall: keine |
Hat Emsisoft schon immer ein Trojanisches Pferd als Logo gehabt? Passt irgendwie nicht zu dem, was die Firma macht... Der Gaul ist noch ein Relikt aus den Anti Trojan Zeiten. Wenn du nicht willst, dass er sich dreht, dann Klick ihn an. Mit Sandboxie kann es immer noch Probleme geben, z.B. mit Chrome, aber da kann man sich mit Ausnahmen bei OA helfen. Adobe Reader X mit Sandbox sollte allerdings kein Problem mehr sein. Das Problem mit Chrome ist auch einem Entwickler zugeordnet, es wird also wohl in nicht allzu ferner Zukunft gefixt werden. Bei mir wird Chrome auch ohne Verwendung von Sandboxie blockiert. Zumindest war es in der Version 4.5 so. Also der GUI gefällt mir: Sehr gut strukturiert Hoffe, dass es zu einer Suite mit EAM zusammenwächst. Version 6.0 wird ein wenig auf sich warten lassen, was einfach daran liegt das der "Unterbau" ein komplett neuer sein wird. Ich bin jedenfalls ebenfalls gespannt wie einige der Funktionen von OA 6.0, EAM 7.0 und Mamutu 4.0 ankommen werden bei den Nutzern . Ich hoffe nicht, dass alles in die Cloud verlagert wird. -------------------- |
|
|
31.03.2011, 19:39
Beitrag
#28
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Der Gaul ist noch ein Relikt aus den Anti Trojan Zeiten. Wenn du nicht willst, dass er sich dreht, dann Klick ihn an. Es geht wohl eher um das Vieh in der Titelleiste. Ich würd mir auch kein Tapetenmuster mit dem zulegen. Bei mir wird Chrome auch ohne Verwendung von Sandboxie blockiert. Zumindest war es in der Version 4.5 so. Das hast du ja schon mal gesagt. Wie wärs, du probierst Version 5? -------------------- |
|
|
31.03.2011, 20:08
Beitrag
#29
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ich hoffe nicht, dass alles in die Cloud verlagert wird. Ach ich denke nicht das man auf lokale Regeln verzichten wird, aber eine Unterstützung möglichst vieler Komponenten aus der Wolke ist eine feine Sache. Es geht wohl eher um das Vieh in der Titelleiste. Ich würd mir auch kein Tapetenmuster mit dem zulegen. OT: Mein Scheißhaus ist auch gefliest... -------------------- Don't believe the hype!
|
|
|
31.03.2011, 20:44
Beitrag
#30
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 311 Mitglied seit: 21.08.2009 Mitglieds-Nr.: 7.689 Betriebssystem: Windows 7 x64 SP1 Virenscanner: Emsisoft Anti Malware Firewall: keine |
Das hast du ja schon mal gesagt. Wie wärs, du probierst Version 5? Der Fehler tritt mit der Version 5 auch noch auf. Es wird die gesamte Internetverbindung blockiert, deshalb kann sich OA auch nicht zum Updateserver verbinden. Neueste Chrome Version wird verwendet.
Angehängte Datei(en)
-------------------- |
|
|
31.03.2011, 22:35
Beitrag
#31
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 622 Mitglied seit: 01.11.2009 Mitglieds-Nr.: 7.817 Betriebssystem: MS W 7 64Bit / OS X 10.8 Virenscanner: EAM / OS X :P |
Also bei mir funktioniert die Combo einwandfrei. Bist du sicher, dass du nicht irgendwelche Regeln verklickt hast und Chrome oder einen Teil von Chrome blockst?
|
|
|
01.04.2011, 19:01
Beitrag
#32
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 311 Mitglied seit: 21.08.2009 Mitglieds-Nr.: 7.689 Betriebssystem: Windows 7 x64 SP1 Virenscanner: Emsisoft Anti Malware Firewall: keine |
Also bei mir funktioniert die Combo einwandfrei. Bist du sicher, dass du nicht irgendwelche Regeln verklickt hast und Chrome oder einen Teil von Chrome blockst? Warum ist dann das gesamte Netzwerk blockiert (=auch kein Update möglich)?? Bei Chrome wird alles erlaubt. -------------------- |
|
|
02.04.2011, 18:27
Beitrag
#33
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Zur allgemeinen Info wegen dem von mir berichteten Scanfehler bei OA++:
Nur ein Erstscan ohne Signaturen führt(e) dazu, dass OA++ zukünfitig bei den entsprechenden Files blind bleibt. Durchaus ernstzunehmen für Anwender die aus guter Gewohnheit gleich nach der Installation mal wild losscannen. Fabian W. konnte die Sache nachstellen. Und was soll ich sagen: Schnelle Reaktion und netter Kontakt Die neuen Setups sind/werden dahingehend nachgebessert (selbst probiert), dass der Assistent gleich auch die Signaturen updatet. Damit wird es ganz schwer das Problem wieder hervorzukitzeln. Also: quasi-gefixt! _ Ja, ich teste OA5 jetzt etwas länger und muss sagen: Bisher, OK - gefällt. (Die Version 4.5 hatte ich ausgelassen - meine OA Erfahrungen sind also etwas her) Es sind zwar einige Dinge, die ich für verbesserungsfähig halte, aber enormes Potential ist zweifellos da. Fürchterliche Angst macht mir, dass ich auf Win7x86 nur 320 Pkte. im verbuggten CLT erziele (SetWinEventHook & SetWindowsHookEx) - nein Spass beiseite, elende Leaktests. Sämtliche echte & brauchbare Malware die ich bisher getestet habe wurde an irgendeiner Stelle gemeldet - und darauf kommt es ja irgendwo an. Mal sehen Shit - tatsächlich ein Beitrag von mir, wo ich positiv über Emsisoft schreibe. Da soll nochmal einer behaupten ich bashe Der Beitrag wurde von SebastianLE bearbeitet: 02.04.2011, 18:35 -------------------- Don't believe the hype!
|
|
|
02.04.2011, 19:53
Beitrag
#34
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Fürchterliche Angst macht mir, dass ich auf Win7x86 nur 320 Pkte. im verbuggten CLT erziele (SetWinEventHook & SetWindowsHookEx) - nein Spass beiseite, elende Leaktests. Da hast du wohl einen Bug in der x32-Version gefunden. -------------------- |
|
|
02.04.2011, 20:19
Beitrag
#35
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Da hast du wohl einen Bug in der x32-Version gefunden. Wollt ich nicht Dieser YouTube Man kommt ja durch - allerdings auf XP. Aber ich habe es jetzt auf Win7 in der VM und real getestet. -------------------- Don't believe the hype!
|
|
|
02.04.2011, 20:45
Beitrag
#36
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
Wollt ich nicht Dieser YouTube Man kommt ja durch - allerdings auf XP. Aber ich habe es jetzt auf Win7 in der VM und real getestet. Hier ist mal der Original-Leaktest: CPILSuite.7z ( 468.22KB ) Anzahl der Downloads: 24 Wenn ich mich recht entsinne, läuft der auch unter Winodws 7 x32. Test 2 oder 3 entspricht dann wohl SetWinEventHook. -------------------- |
|
|
02.04.2011, 21:09
Beitrag
#37
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Hier ist mal der Original-Leaktest... 1 und 3 werden erkannt, 2 nicht. -------------------- Don't believe the hype!
|
|
|
Gast_metabolit_* |
02.04.2011, 21:19
Beitrag
#38
|
Gäste |
Also mach ich was falsch. Bei mir werden alle 3 erkannt.
|
|
|
02.04.2011, 21:35
Beitrag
#39
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
-------------------- Don't believe the hype!
|
|
|
Gast_Fabian Wosar_* |
02.04.2011, 21:54
Beitrag
#40
|
Gäste |
Hallo,
Generell kann ich das Problem bestätigen das CLT unter Windows 7 x86 meldet, dass die Tests fehlgeschlagen seien. Allerdings schlägt bei mir die Code Injection an sich dennoch fehl. Am besten lässt sich das am SetWinEventHook Test zeigen: QUELLTEXT .text:100010BB mov eax, hmodWinEventProc .text:100010C0 push 6 ; dwFlags .text:100010C2 push 0 ; idThread .text:100010C4 push 0 ; idProcess .text:100010C6 push offset HandleWinEvent; pfnWinEventProc .text:100010CB push eax ; hmodWinEventProc .text:100010CC push 7FFFFFFFh ; eventMax .text:100010D1 push 1 ; eventMin .text:100010D3 call ds:SetWinEventHook Der Code bewirkt im Endeffekt, daß Windows die DLL in andere Prozesse lädt und dort bei Ankunft eines Events die Funktion HandleWinEvent ausführt. Nun, HandleWinEvent macht folgendes: QUELLTEXT .text:10001080 sub esp, 104h .text:10001086 push 104h ; nSize .text:1000108B lea eax, [esp+108h+Filename] .text:1000108F push eax ; lpFilename .text:10001090 push 0 ; hModule .text:10001092 call ds:GetModuleFileNameA .text:10001098 lea ecx, [esp+104h+Filename] .text:1000109B push ecx ; lpOutputString .text:1000109C call ds:OutputDebugStringA .text:100010A2 add esp, 104h .text:100010A8 retn 1Ch Was dort gemacht wird ist es wird der Dateiname des derzeitigen Prozesses ermittelt (GetModuleFileNameA) und dann mit Hilfe der OutputDebugStringA Funktion als Debug Nachricht ausgegeben. Das bedeutet im Falle einer erfolgreichen Injektion, sollte im Debugger oder in Microsofts DebugView ein Prozesspfad zu sehen sein. Ist es aber nicht: Bedeutet die Injection an sich schlägt fehl. Aus irgend einem Grund gibt OA allerdings keinen "Access Denied" Fehler zurück wie sonst üblich, weshalb CLT denkt die Injection hätte geklappt. Der SetWindowsHookEx Test hat leider keinen solchen Debug Output den man zeigen könnte. Allerdings hab ich geschaut ob die DLL in irgend einen Prozess geladen wurde, was aber nicht der Fall war. Im Endeffekt scheint es sich also nur um ein Anzeige Problem zu handeln. Ich werd mal sehen ob sich das bis zum 5.0 Release beheben lässt. Den Release verschieben werden wir deshalb allerdings nicht. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 22.05.2024, 11:49 |