Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[ciacomo]

Aber mal ganz erlich, Kaspersky ist dort nee Katastrophe , das soll den User schützen und nicht mit 10 Meldungen beschäftigen..

Da kann ich nur zustimmen.
Ich möchte den Otto normalverbraucher sehen, der mit diesen Meldungen was anfangen kann und die Gefahr ist real, dann aus unwissenheit auf zulassen gedrückt wird.
Da finde ich die Norton Lösung weitaus Praxisnäher.


VG

Der Beitrag wurde von ciacomo bearbeitet: 10.06.2010, 12:26

[SLE]

Da kann ich nur zustimmen.
Ich möchte den Otto normalverbraucher sehen, der mit diesen Meldungen was anfangen kann und die Gefahr ist real, dann aus unwissenheit auf zulassen gedrückt wird.

Hallo? Ich habe geschrieben, dass ich das Programm auf Ueerinteraktion und alles Nachfragen gestellt habe. HIPS halt, ne. Wenn ich ein ruhiges KIS will aktiviere ich den Automatikmodus -der standardmäßig für Ottonormalverbraucher an ist. So - und wenn das Objekt dann durchkommt dürfen wir auf KIS draufhauen

[Voyager]

So - und wenn das Objekt dann durchkommt dürfen wir auf KIS draufhauen

Machs doch mal.

[SLE]

Machs doch mal.

Hab ich doch! Nicht ein Popup - das Argument Otto-Normaluser würde mit Popups erschlagen fällt also aus


Mit dem Schutz ist es leider etwas anders
1.) Es erfolgt eine Analyse durch die gnadenlose AVZ-Heuristik (100 ist der Wert für die höchste Bedrohung) und die darausfolgende Gruppeneinordnung für AutoHIPS:


Für KIS Kennner könnte ich hier aufhören - aber ich will mal nicht so sein.

2.) Das ging durch...


3.) Wirklich erfolgreich herunterladen kann das Ding aber irgendwie nicht - aber es knallt sich unter richtigem Namen in den Autostart


Der Beitrag wurde von SebastianLE bearbeitet: 10.06.2010, 18:19

[Voyager]

Man kann also sagen ohne Popups und Userentscheidung ist der Schutzfaktor nur sehr gering bis garnicht vorhanden und auf Symantec hauen die Leute drauf nur weil dessen Verhaltensblocker funktioniert

[SLE]

Ja - hab ich je das Gegenteil behauptet? Nur was hat Symantec wenn der Verhaltensblocker versagt? Reser.Reputation.1?

[Julian]

Update: Wenn ich die XP-VM aktualisiere, also SP3 + Patches, dann blocken KIS und Comodo das Sample korrekt.
Wenn in der VM nur SP3 installiert ist, treten diese Anomalien auf. Seltsam, seltsam...

Also immer schön Windows aktuell halten.

Outpost wird trotzdem gekillt.

[Solution-Design]

Outpost wird trotzdem gekillt.

Auch wenn der Verhaltenserkennungsschieberegler (oder war es eine Programmüberwachung?) ganz oben hängt?

[Julian]

Hab ich nicht getestet, weil dies nur die Komponentenkontrolle beeinflusst.
Alle HIPS-Features waren an. Von daher vermutlich: Ja.

Wäre interessent zu wissen, wie es das macht. Auf x64 passiert dies, wie gesagt, nicht.

[Solution-Design]

Hab ich nicht getestet, weil dies nur die Komponentenkontrolle beeinflusst.
Alle HIPS-Features waren an. Von daher vermutlich: Ja.

Denke eher nein. Noch dazu gibt es doch so was wie Passwortschutz. Kannst ja mal testen.

PS: Hatte das mit Outpost Abschalten durch Malware auch mal. Schieberegler nach oben und die Sache war behoben. Kenne leider mangels Verwendung die Bezeichnungen nicht mehr.

Der Beitrag wurde von Solution-Design bearbeitet: 15.06.2010, 21:58

[Julian]

Ich habs getestet: Der Schieberegler hat, wie ich es erwartet habe, nichts gebracht. Wie könnte er auch? Ob ein Prozess mit bestimmten Komponenten im Speicher ins Internet darf, ist in diesem Fall egal.
Der Passwortschutz bringt auch nichts.

Btw: Man kann den Outpost-GUI-Prozess einfach mit APT (auf x32 mit Kill 10) killen. Also kein Kunststück, was die Malware da vollbracht hat.

[Habakuck]

Ja - hab ich je das Gegenteil behauptet? Nur was hat Symantec wenn der Verhaltensblocker versagt? Reser.Reputation.1?

Hat jemand Lust das mit NIS 2011 und der erweiterten Firewall zu testen?

Würde mich interessieren was passiert wenn man SONAR, AV und Reputation abschaltet und nur die erweiterte Ereignisskontrolle machen lässt...

Bei meinen Leaktests hier schlägt die sich nämlich echt ganz ausgezeichnet! Sogar der PCFlank Leaktest wird nun ab der 2011er geblockt! (WIn7 x64)
Das hat Outpost nicht geschaft.

Der Beitrag wurde von Habakuck bearbeitet: 19.06.2010, 10:29

[Voyager]

Würde mich interessieren was passiert wenn man SONAR, AV und Reputation abschaltet und nur die erweiterte Ereignisskontrolle machen lässt...

Und was sollte das dann beweisen ?

[markus17]

Er möchte einfach wissen, ob die Firewall den "Angriff" blocken kann. Ein Firewalltest sozusagen. :p

[Habakuck]

Er möchte einfach wissen, ob die Firewall den "Angriff" blocken kann. Ein Firewalltest sozusagen. :p

Naja, wenn das Teil eine Art Downloader ist dann könnte ich mir gut vorstellen, dass es nicht weit kommt.

Wenn ich mir die erweiterte Firewall der 2011er angucke dann ist sie in meinem Augen auf dem besten Wege ein nettes kleines HIPS zu werden.

Wie geasgt: Outpost ist auf x64 nicht in der Lage den PCFlank Leaktest zu bestehen!! Und das als Firewall mit noch so vielen Asuzeichnungen.
NIS 2011 blockt ihn! Das ist beachtlich wie ich finde!

[Voyager]

Naja, wenn das Teil eine Art Downloader ist dann könnte ich mir gut vorstellen, dass es nicht weit kommt.

Dafür gibt es ja jetzt die Verhaltensblocker , eine Firewall in dem Sinne eines dezidierten Sicherheitsfeatures ist heute eigentlich garnicht mehr notwendig. Maximal als integrierte Komponente zusammen mit dem IPS was ähnlich wie eine Firewall arbeitet.

[Habakuck]

Dafür gibt es ja jetzt die Verhaltensblocker , eine Firewall in dem Sinne eines dezidierten Sicherheitsfeatures ist heute eigentlich garnicht mehr notwendig. Maximal als integrierte Komponente zusammen mit dem IPS was ähnlich wie eine Firewall arbeitet.

Weiss ich doch. Das sollte eine Fallstudie werden!

Denn wenn SONAR läuft ist es extrem schwierig zu sagen was die Firewall leistet. Und da ich ganz aus dem Häuschen bin ^^ weil für die 2011er scheinbar nocheinmal viele Firewall Features verbessert wurden wollte ich das gerne sehen. =)

War ne einfach Frage, wenn keiner Lust ist auch nicht schlimm. Ich wollte damit keine ellenlange Diskussion vom Zaun brechen. Mich interessiert einfach was die Firewall für sich zu leisten vermag. Denn ich glaube, dass Symantec noch einiges mehr zu bieten hat falls SONAR versagt. (Um mich auf Sebastian zu beziehen.)

Der Beitrag wurde von Habakuck bearbeitet: 19.06.2010, 21:11

[Julian]

Bei meinen Leaktests hier schlägt die sich nämlich echt ganz ausgezeichnet! Sogar der PCFlank Leaktest wird nun ab der 2011er geblockt! (WIn7 x64)
Das hat Outpost nicht geschaft.

Hab das mal versucht nachzustellen: Norton meldet lediglich, wenn der Leaktest versucht den Internet Explorer zu starten. Wenn der IE schon läuft, bevor man den Leaktest startet, kommt gar kein Pop Up von Norton und der Leaktest telefoniert ins Netz.
Das hätt Outpost auch geschafft.

Edit: Bei den SSTS-Tests versagt es total. Also mal echt, Habakuck...

Der Beitrag wurde von Julian bearbeitet: 19.06.2010, 21:19

[Habakuck]

Hab das mal versucht nachzustellen: Norton meldet lediglich, wenn der Leaktest versucht den Internet Explorer zu starten. Wenn der IE schon läuft, bevor man den Leaktest startet, kommt gar kein Pop Up von Norton und der Leaktest telefoniert ins Netz.
Das hätt Outpost auch geschafft.

Edit: Bei den SSTS-Tests versagt es total. Also mal echt, Habakuck...

Das kann nicht sein.

Hier ist es 100%tig reproduzierbar.

Jaja, hackt nur alle auf mir rum. Man man.

Im Outpost Forum hatte ich damals gepostet, dass der PCFLank Leaktest auf Win7 x64 nicht bestanden wird. Das wurde von anderen Nutzern bestätigt.
Soweit sind wir uns also schonmal einig?

Nun geht es weiter.
Norton:
Automatische Firewall Kontrolle aktiv.
IE öffnen, google aufrufen, IE schließen.
Nun sind alle Regeln für den Start, Benutzung und Schließen des IEs geschrieben.

Automatische Firewall Kontrolle deaktivieren und erweiterte Ereignissüberwachung aktivieren.

IE gestartet
PCFlank gestartet
Test Daten eingeben -> Weiter

Instanz blockieren.
Und bestanden.


Also mal echt, Julian...

Habe auch extra nochmal manuell auf der Results Seite von PCFlank nachgesehen. Der Test String wurde nicht gesendet. Test bestanden.
Das war in der NIS2010 nicht der Fall und bei Outpost auch nicht.

Warum freut sich darüber hier niemand? Ich poste hier lediglich meine Freude darüber, dass Norton seine Firewall verbessert hat und alle Laber irgendwas dagegen... versteh ich nicht.

Der Beitrag wurde von Habakuck bearbeitet: 19.06.2010, 22:00

[Voyager]

Ich glaube ihr redet aneinander vorbei , Julian hat ja nicht bestritten das der Test so wie du ihn ausführst deiner Beschreibung nach funktioniert . Julian hat lediglich gesagt wenn die IE Instanz bereits besteht kommt keine Meldung.