64-Bit, HIPS/BB Erfahrungsberichte, Eure Erfahrungen mit HIPS/BB unter 64-Bit Einstellungen

[ABE]

Dachte mir mal, ich eröffne einen neuen Topic

Ich fange mal mit mir selbst an :
Aktuell werde ich das Gefühl nicht los, das unter 64-Bit dem Kaspersky-HIPS so ziemlich nichts das Wasser reichen kann, aber Comodo in Verbindung mit avast! scheint auch eine sehr schnelle und vor allem sichere Kombination zu sein.
Der Selbsttest mit AVGs ID-Schutz in Kombination mit avast! war auch recht erfolgreich, nur so richtig begeistern kann mich AVGs Antibot-Verschnitt nicht
Outpost ist eine reine Katastrophe, Threatfire bremst meine Rechner merklich aus (besonders Google Chrome).
Postet doch eure Erfahrungen bzgl. HIPS/BB/IDS und deren evtl. Kombination mit einem AV.

Der Beitrag wurde von ABE bearbeitet: 08.02.2010, 20:52

[Habakuck]

Kaspersky's HIPS ist cool!

Threatfire überzeugt mich von der Schutzleistung nicht. Allerdings auch auf 32-bit nicht.

Avast's BB ist bisher nichts dolles.

Der Beitrag wurde von Habakuck bearbeitet: 08.02.2010, 20:54

[Gast_Solaris_*]

Avast's BB ist bisher nichts dolles.

Zudem funktioniert´s nicht auf x64-Systemen.

[ABE]

Kaspersky's HIPS ist cool!

Das kann man so ziemlich stehen lassen. Macht kaum Popups, und in der 2010 dank Sebastian's Skin schön in Ordnern zu konfigurieren.
Habe da immer meine eigenen Ordner (Apps, Spiele, Browser,...) mit ihren eigenen Rechten
Kaspersky macht schon einen guten Job, wenn es darum geht, verschiedene "Innovationen" sinnvoll in einem Paket zu releasen.

Avast's BB ist bisher nichts dolles.

Ist wohl einfach noch zu neu auf dem Markt, hoffentlich stecken die noch Arbeit rein

F-Secures Deepguard und Panda's TruPrevent finde ich auch noch interessant, allerdings überzeugen mich die Suites persönlich nicht.

[Julian]

Outpost ist eine reine Katastrophe,

In der Tat, das HIPS ist auf Seven x64 für die Tonne.
Das Kaspersky-HIPS ist IMO in der Praxis derzeit die Referenz, allerdings fehlen schon einige Features.

Das einzige Programm, was mich anhand Leaktests auf Seven x64 zufrieden stellen konnte, war Sandboxie (Ist ja im Grunde in HIPS für einzelne Prozesse mit Virtualisierung. ).

[Anar]

Das Ding ist: Ich persönlich halte Sandboxes und HIPS auf x64 Systemen für gefährlich. Behavior Blocker sind letztlich zwar identisch implementiert, aber dort erwartet der User keine echte Sicherheit. Ich kenn dutzende Leute, die leichtsinnig werden, weil "aus Sandboxie geht eh nichts raus" oder "an meine wichtigen Sachen kommen unerlaubte Anwendungen dank HIPS eh nicht ran". Ich kenn aber niemanden der meint: "Hey, ich hab ThreatFire. Ich lass mal sicherheitstechnisch die Sau raus."
Während man unter x86 die meisten HIPS und Sandboxes als sicher bezeichnen kann, ist dies unter x64 derzeit bei keinem Produkt der Fall. Leider.

[ABE]

Das Ding ist: Ich persönlich halte Sandboxes und HIPS auf x64 Systemen für gefährlich. Behavior Blocker sind letztlich zwar identisch implementiert, aber dort erwartet der User keine echte Sicherheit.

Ich persönlich sehe es aber so, das die jetzigen HIPSe und Sandboxen bereits einen weit umfassenderen Schutz bieten als klassische AVs wie GDATA oder ESET, denn meist ist da ohne Erkennung volles Durchkommen möglich

Deinen Punkt mit dem "ich hab ein HIPS, jetzt kann nichts mehr vorbei" kann ich aber trotzdem bestätigen. Meist geht es sogar mir selbst so, das dieser Gedanke kommt

Der Beitrag wurde von ABE bearbeitet: 08.02.2010, 21:14

[subset]

Während man unter x86 die meisten HIPS und Sandboxes als sicher bezeichnen kann, ist dies unter x64 derzeit bei keinem Produkt der Fall.

Das ist irgendwie so ein Nullsummenspiel mit OS und Schutzprogramme.
Mit x86 hat man heftigere Bedrohungen, aber auch bessere Schutzprogramme.
Mit x64 fallen einige Bedrohungen weg, dafür sind die Schutzprogramme schwächer.

Der Zugewinn an Sicherheit wird meiner Ansicht nach bei x64 aber vollkommen überschätzt, die Rootkit Sache wird einfach total überbewertet.
Wenn man dann mal vorführt, wie gut auch ältere KillDisk und KillMBR Malware usw. mit x64 funktioniert, dann ist die Phantasterei vom sicheren x64 Windows bald zu Ende.

Mir persönlich ist derzeit x86 bei weitem lieber, da kann ich mich wenigstens wirkungsvoll mit HIPS, Sandbox und Virtualisierung schützen, bei x64 kann ich das nicht.

MfG

[Julian]

Gibt es schon Malware, welche gezielt x64 Sicherheitssoftware umgeht? Da wären die Malware-Hersteller reichlich dämlich, zumindest KIS, Comodo, Outpost, ... könnte man auch einfach dahingehend gezielt umgehen, dass man Techniken anwendet, die sie derzeit sowieso nicht abfangen.

Außerdem bietet Sandboxie an, Prozesse mit eingeschränkten Rechten zu starten bzw. ist das bei x64 vorkonfiguriert. Dass es Exploits für Browser und PDF gibt, die einem trotzdem gefährlich werden können, bezweifle ich.

Edit: @subset: Wo gerät ein Europäer denn an MBR- oder Disk-Killer? Die Epoche ist doch eigentlich schon seit längerem vorbei. Mag allerdings sein, dass so etwas im Wirrwarr von chinesischen Malware-Sites noch vorkommt. Und MBR-Rootkits würden schon wieder auf x64 nicht funktionieren oder wären leicht zu entdecken.

Der Beitrag wurde von Julian bearbeitet: 08.02.2010, 22:02

[Gast_daca_*]

Avast's BB ist bisher nichts dolles.

Was muss man eigentlich anstellen um den in Action zu sehen? Den sieht man seltener als den Yeti ...

[Gast_Metabolit_*]

Ich gebe Dir mal einen Link zu einer Seite. Dann nimmst Du Dir was zu essen und was zu trinken und setzt Dich vor deinen PC. Dann stellst Du Avast auf "scharf" und machst Dir noch Prevx oder a2 drauf und Du hast dann die Action die Du mit dem BB von Avast vermisst Dein Essen wird schimmeln und dein Kaffe verdunsten weil Du gar keine Zeit mehr vor lauter klicken hast

Avast BB - Das wird noch,.... trotz manchem Skeptiker hier

Der Beitrag wurde von Metabolit bearbeitet: 08.02.2010, 22:54

[subset]

Wo gerät ein Europäer denn an MBR- oder Disk-Killer?

Aktuell bei Zimuse...
http://www.virustotal.com/analisis/cb2d85e...a740-1265644890

Das Ding ist aber so umständlich mit einem Treiber gemacht, dass es unter 64-Bit nicht funktioniert.
Das liegt aber wohl an der Wurm Funktionalität und nicht daran, dass dies für das Überschreiben der Sektoren, auch unter 64-bit, notwendig ist.

Natürlich haben solche Exoten nicht die große Bedeutung, aber der ganz große Anteil der weit verbreiteten, gewöhnlichen Malware funktioniert unter x64 sowieso gleich wie unter x86.

MfG

[BlackDevil]

Moin Moin

Ich nutze momentan Nod32 & ThreatFire, weil es zu mir und meiner Schutzvorstellung am besten passt. Abgerundet wir das ganze von Shadow Defender. Ich finde aber auch das Kaspersky in der 2010 Version ein sehr gutes HIPS hat. Was die Schutzleistung von Threatfire betrieft , kann ich persönlich nichts negatives berichten. Bei den Tests die ich durchgeführt habe versagte TF nicht, und ergänzte sich super mit Nod.
Comodo kann man ohne Avast! nehmen, weil der AntiVirus mindestens gleichwertig ist (meine Erfahrung nach).

[FreeBSDler]

Hier bei mir unter Win 7 Ultimate 64 Bit, rennt Comodo FW mit Defense+ und Eset Nod 4 AV.
Löppt super, ja ausgesprochen gut. IMO mit die beste Kombi unter x64 WIn 7.
Unter Win XP Prof. x86 bekomme ich diese Kombi nicht ans laufen. :-(

Ein Bekannter von mir nutzt unterm gleichen Win 7 nur Comodo IS 3.14 (tutti completti) , und das ist tatsächlich auch sauber am laufen. Nach seinem Bekunden hat Comodo CIS das Avast sogar übertroffen....
Der Kerl macht im WWW viel Mist, ist regelrecht ein Draufgänger, und wenn der das sagt.

[Gast_Solaris_*]

Was muss man eigentlich anstellen um den in Action zu sehen?

Hi
Der Avast!-BB in der derzeitigen Form ist leider nur ein Kernel-Schutz, um vor Rootkit-Installationen zu schützen.
Heißt: Wenn Du kernelbasierte Malware ausführst, sollte er im besten Fall anschlagen. Auf 64-Systemen ist er stumm....aus gegebenen Gründen .
Andere Meldungen wirst Du momentan nicht provozieren können.

Gruß,
Solaris