sad but true... Einstellungen

[Catweazle]

Hallo FataMorgana.

Der Entwickler wird oder darf nicht mehr an sein eigenen AV Programm Namens GAV mehr Arbeiten dürfen und vertreiben, denn er hat jetzt bei einen AV Hersteller einen Job gefunden, Vertragsklauseln usw...

So ist es eben

CATWEAZLE

[FataMorgana]

Moment mal, bin ich jetzt blöd? Oder Du? Oder hast Du das Quote nicht richtig gelesen? Oder habe ich es falsch verstanden?

Für mich sagt raman da durch die Blume, dass Michael zu einem AV-Hersteller geht, der auch Freeware in seinem Sortiment hat. Und wenn man mal von Removal Tools, Online-Scannern etc. absieht, sind das eben nur Alwil, Grisoft, Softwin und H+BEDV. Einverstanden?

[Gast_skep_*]

ich weiß es..ich weiß es.......

[FataMorgana]

ich weiß es..ich weiß es.......

Dann verrat doch wenigstens mal, wer hier auf dem Holzweg ist!

[Catweazle]

Ja skeptiker wenn du was wissen tust, dann teil uns doch mit.

Catweazle.

[Rokop]

Dann verrat doch wenigstens mal, wer hier auf dem Holzweg ist!

Fata Morgana ist auf dem richtigen Weg, aber Euch erzählen soll es Michael selbst !

[JoJo]

na hoffentlich vor dem Release von Duke Nukem Forever

[Gast_Lupin_*]

Ohhh Jetzt wo ich angefangen hab den zu mögen haut er einfach ab

[JFK]

Es ist ja nicht so, dass er ganz vom Erdball verschwunden ist.
Ich nehme an, dass sein Können in seinem neuen Job einfliesst , so dass
wir auch in nächster Zeit einiges von ihm "sehen, hören, lesen, testen" können

JFK

[FataMorgana]

Ich hatte ganz vergessen zu erwähnen, dass natürlich auch die Firma Frisk als neuer Arbeitgeber von Michael in Betracht kommt. Das würde mich natürlich besonders freuen. Ich finde es nämlich sehr schade, dass F-Prot in letzter Zeit so stark nachgelassen hat.

[Rokop]

Ich finde es nämlich sehr schade, dass F-Prot in letzter Zeit so stark nachgelassen hat.

Bei Frisk ist es so wie bei einigen anderen AV Herstellern. Es fehlen die nötigen Innovationen um das Programm von Anderen abzuheben. Die Anforderungen an AV Programme, aber auch die Ansprüche der Nutzer haben sich in den letzten Jahren drastisch geändert. Offensichtlich sind einige Hersteller nicht in der Lage da mit Schritt zu halten. Ich habe mich Michael neulich mal drüber unterhalten. Das Problem ist, daß gerade bei den Signaturen einige fast von vorne anfangen könnten oder müßten, weil ihr Konzept in einer Sackgasse steckt (Stichwort : Signaturen von ungepackter Maware)

[dietlmann]

Hallo Rokop,

auch wenns hier nicht das richtige Forum ist (weil Trojan Hunter), würde mich bei dem Thema "F-PROT" interessieren, wie Du denn über die reine Signaturerkennung von Frisk denkst. Klar, was Innovationen angeht scheint sich da nicht viel zu tun. Auch die Heuristik (einst Vorreiter für solche Methoden) haut einen nicht gerade um. Ich hatte aber immer den Eindruck, daß was die reine Signaturerkennung angeht, F-PROT durchaus gute Leistungen bringt und Frisk die Signaturen auch ordentlich pflegt. Habe F-PROT (DOS) als Notfallscanner von Diskette eingesetzt und war eigentlich immer damit zufrieden.

Gruß
dietlmann

P.S.: Wann erfahren wir denn, wo Gladiator nun hingeht???

[Rokop]

Meldungen wie diese hier



bestärken nicht gerade mein Vertrauen zu diesen Signaturen. Scanne ich mein Trojanertestset, kommen diese Meldungen zuhauf. Es suggeriert mir, daß diese Meldungen von einer Heuristik kommen. Von einer sauberen Erkennung kann man da sicher nicht sprechen.
(gescannt habe ich hier 5 stinknormale, mit UPX gepackte Backdoorserver, von denen 2 mit einer solchen Meldung gefunden wurden)

[raman]

Diese Meldung kommt nicht von der heuristik. Die sind nur nicht gewillt jedem "sch**" einen Namen geben zu muessen. Bei den Sachen die ITW sind, sind sie soweit, das sie wieder "richtige" Namen vergeben. Stefan koennte da mehr zu sagen, wenn er dies lesen sollte

[Rokop]

Diese Meldung kommt nicht von der heuristik.

Ja ich weiss. Ich wollte auch nur sagen, daß es dem User durch solch eine Meldung quasi suggeriert wird. Warum dies so ist, konnte man mir nicht einmal bei Percomp sagen. Daher klingt Deine Erklärung schon recht plausibel.

[raman]

Daher klingt Deine Erklärung schon recht plausibel.

Ich weiss nicht, ob du noch ab und zu mit Makroviren testest. Bei einigen Samples, die man in in Sammlungen sogenanter Tester findet, meldet F-prot haeufiger (not a virus), das hat AFAIK Bontchev so gemacht, da er "gezwungen" wurde diesen "Muell" aufzunehmen, damit F-prot bei solchen Tests besser abschneidet. Mit der /collect option findet F-prot noch mehr solchen kram.

[wizard]

Auch die Heuristik (einst Vorreiter für solche Methoden) haut einen nicht gerade um.

Bei Win32-Viren ist die Heuristik von F-Prot gar nicht so übel. In der DOS Version aktiviert man diese zusätzliche Heuristik übrigens über den /AI Switch.

Ich hatte aber immer den Eindruck, daß was die reine Signaturerkennung angeht, F-PROT durchaus gute Leistungen bringt und Frisk die Signaturen auch ordentlich pflegt.

Stimmt, wenn es um Viren/Würmer geht.

Habe F-PROT (DOS) als Notfallscanner von Diskette eingesetzt und war eigentlich immer damit zufrieden.

Ich auch.

wizard

[raman]

Bei Win32-Viren ist die Heuristik von F-Prot gar nicht so übel. In der DOS Version aktiviert man diese zusätzliche Heuristik übrigens über den /AI Switch.

Sie mag nicht schlecht sein, aber das geht auf Kosten von Fehlalarmen. Im besonderen von Dateien die mit "exotischeren" Runtimepackern gepackt sind. Noch schlimmer ist es mit der /AI heuristik. Frag mal pjan!

[wizard]

Im besonderen von Dateien die mit "exotischeren" Runtimepackern gepackt sind.

Wenn etwas mit einem "exotischen" Runtimepacker gepackt ist, dann ist es schon verdächtig. Da würde ich der Heuristik die Fehlalarme nicht generell verübeln.

wizard

[SkeeveDCD]

Das würde mich natürlich besonders freuen. Ich finde es nämlich sehr schade, dass F-Prot in letzter Zeit so stark nachgelassen hat.

Worauf genau begründest du diese Aussage?

Bei Frisk ist es so wie bei einigen anderen AV Herstellern. Es fehlen die nötigen Innovationen um das Programm von Anderen abzuheben.

Wohl eher, die Geldgeber und CEOs sehen nicht ein, Geld für "interne Features" auszugeben, die sich schlecht vermarkten lassen? Die investieren lieber in einer neue GUI als in eine neue Scan-Engine. Siehe Symantec, die stellen doch nur noch Vaporware da, die irgendwelche Aktionen vortaeuscht um es mal überspitzt auszudrücken (und nicht nur bei NAV).

Mal vom Geld abgesehen, du kannst die Scanengine nicht beliebig verkomplizieren, irgendwann kommen wir dann bei einer Geschwindigkeit von 1 File/Minute an. ;-)

Du denn über die reine Signaturerkennung von Frisk denkst. Klar, was Innovationen angeht scheint sich da nicht viel zu tun.

Was willst du auch bei einer Signatur-Erkennung grossartig an Innovation bringen? Eher was bei der Identifikation von Viren, sprich Verwendung von CRC32/MD5 anstelle von Bytesignaturen. Aber das ist ja auch schon Jahre alt.

Habe F-PROT (DOS) als Notfallscanner von Diskette eingesetzt und war eigentlich immer damit zufrieden.

Ich wuerde gerne wissen, viele User sich heute noch auf einen derartigen Problemfall vorbereiten - bzw. überhaupt das Wissen dazu haben. Naja, im Zweifelsfall wird die Platte formatiert und Windows neu installiert.

P.S.: Wann erfahren wir denn, wo Gladiator nun hingeht???

Evtl. aendert sich ja bald das Farbschema eines gewissen Antiviren-Programms nach Grün, dann wissen wir wo Michael gelandet ist.

Meldungen wie diese hier ... bestärken nicht gerade mein Vertrauen zu diesen Signaturen. Scanne ich mein Trojanertestset, kommen diese Meldungen zuhauf. Es suggeriert mir, daß diese Meldungen von einer Heuristik kommen. Von einer sauberen Erkennung kann man da sicher nicht sprechen.

Aehm, wieso kommst du zu dem Schluss das dies eine Signaturerkennung ist? Das ist die Backdoor-Heuristik und natuerlich ist eine Heuristik keine saubere (sprich eindeutige) Erkennung. Ich verstehe das Problem nicht ganz. Da wurde einfach für die Backdoor keine eindeutige Signatur eingebaut, weil die Backdoor-Heuristik das ganze schon erkennt.

meldet F-prot haeufiger (not a virus), das hat AFAIK Bontchev so gemacht, da er "gezwungen" wurde diesen "Muell" aufzunehmen, damit F-prot bei solchen Tests besser abschneidet. "

Oh, da kann ich dir ein Lied von singen. Das Problem ist, viele Leute können gar nicht beurteilen ob sie da ein funktionsfaehiges Sample vorliegen haben. Den Profitester erkennt man schon daran, das er sein Testset selber erstellt hat, d.h. eigene Baits verwendet und die Viren erneut repliziert hat.
Gerade bei den Makroviren gab es wegen des !"(§!("QW*# Dateiformats (den Programmierer davon will ich noch unbedingt erschiessen eines Tages) und der mangelhaften Unterstuetzung dieses Formates durch die Antiviren-Programme diverse Collection-Only-Files.

Sie mag nicht schlecht sein, aber das geht auf Kosten von Fehlalarmen. Im besonderen von Dateien die mit "exotischeren" Runtimepackern gepackt sind. Noch schlimmer ist es mit der /AI heuristik.

Naja, das ist ja auch keine Heuristik die die eigentlichen Befehle und API-Aufrufe in einem Programm meldet, sondern lediglich nach PE-Dateien mit "obszönen" Strukturen sucht.
Wenn dann noch diverse Runtimepacker ihren Unpackcode in bester Virenmanier einfügen gibts halt Fehlalarme.