BETA: Emsisoft Version 12, Öffentliche Beta jetzt verfügbar |
Willkommen, Gast ( Anmelden | Registrierung )
BETA: Emsisoft Version 12, Öffentliche Beta jetzt verfügbar |
16.02.2017, 11:10
Beitrag
#41
|
|
Fühlt sich hier wohl Gruppe: Mitarbeiter Beiträge: 463 Mitglied seit: 31.08.2012 Wohnort: Münster Mitglieds-Nr.: 9.419 Betriebssystem: Win 10 Pro (x64) |
Muss ich hier mit eingeschränkter Schutzwirkung rechnen? Es werden halt alle Dateitypen, welche nicht ausgeführt, sondern geöffnet werden, nicht mehr gescannt. Skripte zum Beispiel fallen mir da ein. Wie es aussieht, wenn runDLL32.exe eine schädliche DLL lädt, weiß ich nicht. Der Missbrauch von CMD, Powershell, runDLL32 und Konsorten sollte aber vom Verhaltensschutz abgedeckt werden. -------------------- Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
|
|
|
16.02.2017, 13:49
Beitrag
#42
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.138 Mitglied seit: 24.09.2004 Mitglieds-Nr.: 1.424 |
Hmmm, Scripte, die nicht ausgeführt werden? Und was sollen die dann im System anstellen, wenn ich sie im Texteditor aufmache?
-------------------- Diskutiere nie mit einem Idioten!
Er zieht dich auf sein Niveau runter und schlägt dich dort mit seinen eigenen Waffen! |
|
|
16.02.2017, 14:11
Beitrag
#43
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 507 Mitglied seit: 13.07.2004 Wohnort: Niederrhein Mitglieds-Nr.: 1.208 Betriebssystem: W7x64 / Linux Mint Virenscanner: EAM & Sandboxie Firewall: Router / Win FW |
Wie sieht es eigentlich aus, wenn ich EAM OnExecution laufen lasse? Muss ich hier mit eingeschränkter Schutzwirkung rechnen? Meine Av-Tools laufen seit jeher 'On Execution' und ich habe noch nie ein Problem bemerkt. Wie schon gesagt wird es ja erst 'interessant' wenn etwas ausgeführt wird. Einziger möglicher Unterschied wäre das mein System performanter ist. Zumindest etwas. Auch wenn ich mir das dann nur einbilde. |
|
|
16.02.2017, 17:14
Beitrag
#44
|
|
Fühlt sich hier wohl Gruppe: Mitarbeiter Beiträge: 463 Mitglied seit: 31.08.2012 Wohnort: Münster Mitglieds-Nr.: 9.419 Betriebssystem: Win 10 Pro (x64) |
Hmmm, Scripte, die nicht ausgeführt werden? Und was sollen die dann im System anstellen, wenn ich sie im Texteditor aufmache? Ein Skript wird nicht ausgeführt sondern interpretiert. Ausgeführt wird der Interpreter wie z.B. cmd.exe oder powershell.exe. Wenn der Scanner auf On-Execution eingestellt ist, werden lediglich die Interpreter überprüft, aber nicht ihre Skripte, was natürlich sinnlos ist. Hier erklärt Marcos von ESET, dass Skripte bei On-Execution nicht mehr gescannt werden: https://www.wilderssecurity.com/threads/ese...6/#post-2484469 Aber wie bereits gesagt, bei Emsisoft wird der Missbrauch von Interpretern durch den Verhaltenschutz abgedeckt sein, weshalb es nicht so starke Auswirkungen haben sollte wie bei ESET. -------------------- Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
|
|
|
16.02.2017, 17:21
Beitrag
#45
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 404 Mitglied seit: 08.11.2010 Mitglieds-Nr.: 8.244 Betriebssystem: Win 10 Pro x64 Virenscanner: WD Firewall: Win intern |
Ich danke Euch für die Antworten.
Unterm Strich heisst das wohl, das der Faktor Sicherheit > Geschwindigkeit zu vernachlässigen ist und daher On Execution nicht so viel Sinn machen?! |
|
|
16.02.2017, 18:35
Beitrag
#46
|
|
Fühlt sich hier wohl Gruppe: Mitarbeiter Beiträge: 463 Mitglied seit: 31.08.2012 Wohnort: Münster Mitglieds-Nr.: 9.419 Betriebssystem: Win 10 Pro (x64) |
Ich würde mich diesbezüglich direkt an Emsisoft wenden. Soweit ich weiß, benutzt Fabian Wosar die Software auch in der Einstellung On Execution, zumindest hat er es in der Vergangenheit so gemacht.
-------------------- Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
|
|
|
16.02.2017, 19:46
Beitrag
#47
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.701 Mitglied seit: 25.10.2010 Mitglieds-Nr.: 8.227 Betriebssystem: Windows 10 Pro | x64 Virenscanner: F-Secure Firewall: F-Secure |
Bei Emsisoft sollte im OE-Modus nichts schiefgehen - anders als bei anderen AV-Lösungen. [Seitenhieb an]Darum muss man es auch immer draufbehalten [Seitenhieb aus]
|
|
|
16.02.2017, 19:53
Beitrag
#48
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Da mich das Thema auch brennend interessiert, hab ich bei EAM mal einen entsprechenden Topic eröffnet.
https://support.emsisoft.com/topic/26899-on-execution-frage/ Gruß -------------------- |
|
|
16.02.2017, 21:11
Beitrag
#49
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ein Skript wird nicht ausgeführt sondern interpretiert. Ausgeführt wird der Interpreter wie z.B. cmd.exe oder powershell.exe. Wenn der Scanner auf On-Execution eingestellt ist, werden lediglich die Interpreter überprüft, aber nicht ihre Skripte, was natürlich sinnlos ist. EAM (ebenso wie KIS) prüft da meiner Erfahrung nach tiefer und quasi "die gesamte Befehlskette". Die Erklärung mit dem Skriptinterpretieren greift m.W. zu kurz. Wenn ESET da so wirklich so dilettanitisch vorgehen sollte würde mich das ehrlich gesagt etwas schockieren, aber Aussagen von Marcos sind eh mit Vorsicht zu genießen -------------------- Don't believe the hype!
|
|
|
17.02.2017, 01:17
Beitrag
#50
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 10.12.2016 Mitglieds-Nr.: 10.229 Betriebssystem: Windows 10 Virenscanner: Emsisoft Anti-Malware Firewall: Windows Firewall |
Wir werten bei Scriptformaten das blosse Öffnen der Datei als Versuch sie auszuführen und scannen sie. Bei PE EXE Dateien wird das Mappen in den Speicher mit als ausführbar markierten Speicherseiten als Ausführung gewertet, was sowohl bei Treibern, Anwendungen und DLLs passiert. Entsprechend ist es unbedenklich den File Guard auf On Execution zu stellen. Wäre es nicht für einige Tests notwendig, ware das auch der Default.
-------------------- Best regards,
Fabian Wosar [Development] Emsisoft Team - www.emsisoft.com |
|
|
17.02.2017, 09:39
Beitrag
#51
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.138 Mitglied seit: 24.09.2004 Mitglieds-Nr.: 1.424 |
Also wenn der Unterschied rein am "interpretiert" vs. "ausgeführt" liegen würde, dann hätten wir ein gravierendes Sicherheitsproblem. Suche mal, welche Programmiersprachen es gibt und welche Compiler tatsächlich in Maschinensprache kompilieren. Alle anderen Sprachen werden auf die eine oder andere Art über Runtimes nur interpretiert im weitesten Sinn. D.h. dass ein Programm läuft, dass zur Laufzeit den compilierten Code nimmt und auf Maschinensprache interpretiert.
Und das ist nicht nur bei Script-Sprachen, wie JavaScript so, schon mal geschaut, was in einem "compilierten" Java-File (nicht zu verwechseln mit JavaScript) drinnen steht? Warum glaubst du, dass ReverseEngeneering von vielen Firmen so gefürchtet wird? -------------------- Diskutiere nie mit einem Idioten!
Er zieht dich auf sein Niveau runter und schlägt dich dort mit seinen eigenen Waffen! |
|
|
17.02.2017, 15:02
Beitrag
#52
|
|
Fühlt sich hier wohl Gruppe: Mitarbeiter Beiträge: 463 Mitglied seit: 31.08.2012 Wohnort: Münster Mitglieds-Nr.: 9.419 Betriebssystem: Win 10 Pro (x64) |
Danke für die Erklärung, Fabian.
Jetzt würde mich nur noch brennend interessieren, wie es bei ESET aussieht. -------------------- Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
|
|
|
18.02.2017, 00:24
Beitrag
#53
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.701 Mitglied seit: 25.10.2010 Mitglieds-Nr.: 8.227 Betriebssystem: Windows 10 Pro | x64 Virenscanner: F-Secure Firewall: F-Secure |
Jetzt würde mich nur noch brennend interessieren, wie es bei ESET aussieht. Ich glaube die Antwort wird enttäuschend. Im Übrigen bin ich ebenfalls etwas enttäuscht, dass hier keine Antwort zu meinen beschriebenen Schwierigkeiten gegeben wird. Ich bin wirklich niemand, der grundlos irgendetwas kritisiert. Im Gegenteil - ich habe EAM in den vergangenen Jahren überdurchschnittlich weiterempfohlen und bin nach wie vor überzeugt von dem Programm. Und ich bin auch kein PC-Laie. Aber die bereits beschriebenen, wirklich schwerwiegenden Probleme bei der Deinstallation unter den genannten Voraussetzungen auf völlig unterschiedlichen Systemen und Rechnerzusammensetzungen sind nicht wegzudiskutieren. Ich könnte auch ein Video hier reinstellen, aber es scheint niemanden zu interessieren. Der Beitrag wurde von Schattenfang bearbeitet: 18.02.2017, 00:25 |
|
|
Gast_Oldie_* |
18.02.2017, 07:57
Beitrag
#54
|
Gäste |
Ich glaube die Antwort wird enttäuschend. Im Übrigen bin ich ebenfalls etwas enttäuscht, dass hier keine Antwort zu meinen beschriebenen Schwierigkeiten gegeben wird. Ich bin wirklich niemand, der grundlos irgendetwas kritisiert. Im Gegenteil - ich habe EAM in den vergangenen Jahren überdurchschnittlich weiterempfohlen und bin nach wie vor überzeugt von dem Programm. Und ich bin auch kein PC-Laie. Aber die bereits beschriebenen, wirklich schwerwiegenden Probleme bei der Deinstallation unter den genannten Voraussetzungen auf völlig unterschiedlichen Systemen und Rechnerzusammensetzungen sind nicht wegzudiskutieren. Ich könnte auch ein Video hier reinstellen, aber es scheint niemanden zu interessieren. Versuch es doch einfach mal im Emsisoft-Support-Forum. Dort ist ja die für solche Probleme zuständige Stelle und nach meinen Erfahrungen geben sich die Mitarbeiter von Emsisoft dort große Mühe, allen Fehlern auf den Grund zu gehen. https://support.emsisoft.com/forum/51-germa...tscher-support/ |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 05:19 |