Schädlingserkennung im Dauertest, Alle 2 Wochen neu von CB Einstellungen

[Kenshiro]

Gern geschehen daca

[Solution-Design]

Die "Anderen" müssen nur dann nachziehen, wenn ihr Programm aufgrund der verwendeten Technologie zur Systembremse würde. Das trifft aber weder für Aviras noch Esets AV zu. Noch sind diese Programme mehr als flott genug. Wobei... ich auch nur Symantecs Technologie wirklich als sicher erachte. Nur weil eine Malware oder unerwünschte Software keine Codeinjektion durchführt, vom AV als nicht böse durchgewunken wird, ist sie nicht deshalb eine nicht mehr zu prüfen angedachte "erwünschte Software".

[aido]

@Solution-Design

ganz deiner Meinung!
Fest steht aber das neue Wege beschritten werden müssen, durch das ständige aufpacken neuer Funktionen wird bald dazu führen, dass am Ende das System allein schon 2 GB für den Virenscanner benötigt.
Interessant in diesem Zusammenhang finde ich die Fingerprint-Technologie. Das könnte dazu führen, dass bereits gescannte Dateien übersprungen werden und so die Systemlast reduziert wird.

[Gast_Scrapie_*]

Ich seh Fingerprint & Co. als Gefahr.
Installationsprogramm mit bisher noch unbekanntem Virus wird installiert. Mangels Signatur keine Fund, er verschlüsselt mal kurz die Hochzeitsfotos legt noch ne txt mit den Lösegeld-Infos an und fällt anschließend in Winterschlaf. Dann zeitnah ein Scan. Virusdatei wird als gescannt markiert und zukünftig ausgelassen. Ein paar Tage später gibt es Signatur für unseren Freund. Der Schlummert dank Fingerprint aber weiterhin unerkannt auf der HD und wird u.U. via CD, Stick, Mail weitergegeben?

Sinnvoll nur, wenn in x-Zeitabstand (langer Zeitabstand, hohe Performance, wenig Sicherheit <=> kurzer Zeitabstand, schlechte Performance, hohe Sicherheit) wieder ALLE Dateien überprüft werden. So, und wo liegt nun das Optimum?


Scrapie

[Solution-Design]

Ja, nur irgendwann sollte diese Dateien dann eben doch geprüft werden. Deshalb mag ich weder G-Datas Fingerprint noch Kasperskys iSwift/iChecker-Algorithmus so wirklich lieben. Das einzige was hilft, ist Hash-White-Listing. Und wenn ich den kurzlebigen Cebit-Thread noch in Erinnerung habe: Daran arbeitet G-Data. Ich betrachte das Jahr 2008 als Einführungsjahr neuer Technologien. Schlafen sollte die Konkurrenz der ehemaligen Systembremsen aber nicht, 2009 ist schnell da

[Gast_Xeon_*]

Ja, nur irgendwann sollte diese Dateien dann eben doch geprüft werden. Deshalb mag ich weder G-Datas Fingerprint noch Kasperskys iSwift/iChecker-Algorithmus so wirklich lieben.

Bevor wir hier wild speckulieren, sollte man erst mal klären wie die Fingerprint Technologie von G DATA den nun genau arbeitet. Bei Kaspersky werden zum Beispiel Datei die als vertrauenswürdig eingestuft wurden, in einem bestimmten Rhythmus dennoch wieder neu überprüft, so ähnlich könnte es bei G DATA auch sein.

Wer fragt mal beim Support nach ?

[Solution-Design]

Wer fragt mal beim Support nach ?

Du

[aido]

Zunächst wird während der Installation der Inhalt der Platte mit einer Online-Datenbank überprüft (so ist das bei Kasperky und Norton ich denke aber auch bei GData). Diese Datenbank enthält alles registrierten Programme als Hash-Wert stimmt dieser mit der gescannten Datei überein, bekommt diese einen Cache-wert (Fingerprint) zugewiesen. Ändert sich dieser z.B. durch ein Update wird die Datei neu gescannt.
Neben diesen Cash- und Hash-Werten wird natürlich auch eine White- und Blacklist bei jedem Zugriff Online abgerufen (ja ihr seid nie allein !). Durch diesen Mechanismus ist gewährleistet das bis Dato bekannte Schadsoftware sofort Erkannt und entfernt wird.


Sollte ich bei meiner Ausführung irren, bitte um Korrektur.

Weiter....
Unbekannte Programme können im Normfall nicht auf der Platte landen wenn man sie nicht bewusst installiert und die Herkunft kennt. Anders ist es, wenn Schadsoftware durch Lücken im System sich installiert, dass ist natürlich unbekannt aber nicht gewollt. Wenn man also seinen Zeigerfinger unter Kontrolle halten kann und ein wenig Hirn einschaltet, dürfte einem Sicherheitsbewussten Menschen (wovon ich hier ausgehe ) - nichts passieren.

[Solution-Design]

Zunächst wird während der Installation der Inhalt der Platte mit einer Online-Datenbank überprüft (so ist das bei Kasperky und Norton ich denke aber auch bei GData). Diese Datenbank enthält alles registrierten Programme als Hash-Wert stimmt dieser mit der gescannten Datei überein, bekommt diese einen Cache-wert (Fingerprint) zugewiesen. Ändert sich dieser z.B. durch ein Update wird die Datei neu gescannt.
Neben diesen Cash- und Hash-Werten wird natürlich auch eine White- und Blacklist bei jedem Zugriff Online abgerufen (ja ihr seid nie allein !). Durch diesen Mechanismus ist gewährleistet das bis Dato bekannte Schadsoftware sofort Erkannt und entfernt wird.

Bei Symantec muss die Whitelist explizit mal aufgerufen werden (insight), damit ein Abgleich mit dem Server erfolgt und dann darf man auswählen, in wieweit man vertraut. Auf den Wächter wirkt sich das leider nicht aus, der scannt immer alles, außer Archive. G-Data werkelt gerade an einer WhiteList herum (sog. Cebitversion), weshalb ich auch die Technologie "Fingerprint" hinterfragt habe. Und was iSwift/iChecker da so machen, wann welche Datei mal wieder geprüft wird... Zumindest ist mir jetzt nicht bekannt, dass Kaspersky eine WhiteList benutzt. Irgendwie hört sich das mit Hashwerten alles sehr sinnvoll an, aber realisiert eben erst (außer bei Symantecs OnDemand-Scan) in zukünftigen Versionen.

[Tiranon]

Hallo
so eine White- und Blacklist an der GDATA angeblich arbeitet, wie kann man sich das vorstellen? Ist das eine Onlineliste in der eingestuft wird welche Dateien sicher sind und welche nicht?
Und dann sollten ja noch weniger laufende Prozesse und weniger Arbeitsspeicherverbrauch bei GDATA kommen, ich denke das wird dann ichtig klasse!

LG

[Solution-Design]

Der Thread, welcher dazu Antworten hätte geben können, wurde auf Antrag G-Data gelöscht. Also, abwarten. Edit: http://www.rokop-security.de/index.php?showtopic=17876

Der Beitrag wurde von Solution-Design bearbeitet: 22.12.2008, 05:30

[olli]

Zumindest ist mir jetzt nicht bekannt, dass Kaspersky eine WhiteList benutzt. Irgendwie hört sich das mit Hashwerten alles sehr sinnvoll an, aber realisiert eben erst (außer bei Symantecs OnDemand-Scan) in zukünftigen Versionen.

Soweit ich wei´, arbeitet Kasperky doch mit einer Whiltelist von Bit9. Ich qweiß aber nicht, in wie weit der Wächter mit dieser Liste arbeiteto, oder ob nur die Firewall damit zu tun hat.

Bis denne
Olli

[Gast_Sicherheit_*]

Wenn das Thema nicht so Ernst wäre, müsste man es Umtopfen in


Illusionen im Dauertest.

Leider.

Der Beitrag wurde von Sicherheit bearbeitet: 22.12.2008, 10:57

[winchester]

Lt. CB ist der Grund für das schlechte Abschneiden einiger Programme das schlechte erkennen von Trojaner die sich über angebliche Mahnungs- E- Mails verbreiten.

[Julian]

Soweit ich wei´, arbeitet Kasperky doch mit einer Whiltelist von Bit9. Ich qweiß aber nicht, in wie weit der Wächter mit dieser Liste arbeiteto, oder ob nur die Firewall damit zu tun hat.

Die Whitelist von Bit9 ist wohl nur für das HIPS. Es soll aber noch eine erweiterte Zusammenarbeit mit Bit9 geben werden, vll. haben wir dann bei KIS 9 ja mehr Whitelisting

[Gast_Scrapie_*]

Lt. CB ist der Grund für das schlechte Abschneiden einiger Programme das schlechte erkennen von Trojaner die sich über angebliche Mahnungs- E- Mails verbreiten.

Na dann hoffen wir mal, dass das nächste Mal kein Fönwetter, Glatteis oder Vollmond ist... So was gemeines aber auch, ein Trojaner, der sich über Emails verbreitet? Wo hat die Menscheit das schon mal vorher gesehen? Was es alles gibt, tstststs ....


Also bitte, genau für solche Sachen erwarte ich doch Hilfe in Form der auf Hochglanz beworbenen Features der AV's und genau hier trennt sich dann die Spreu vom Weizen und man kommt mit Pseudoentschuldigungen? Dagegen 10 Jahre alte In-The-Wild-List-Viren erkennt auch meine Oma, da brauch ich keine "In-the-Cloud" & Co-Gedöns um die 90% vollzumachen.


Scrapie

[rolarocka]

Hier ein hübscher Test auf Englisch:

http://www.maximumpc.com/article/features/...this?page=0%2C0

NIS2009 und ESET vorne.

Our Testing Methodology

It doesn’t matter how effective an AV app is at catching viruses if it means we have to suffer through constant nagging or performance degradation in our day-to-day computing. We’ve identified the five criteria by which security apps should be judged.

Der Beitrag wurde von rolarocka bearbeitet: 22.12.2008, 19:00

[Gast_Scrapie_*]

Hier ein hübscher Test auf Englisch:

http://www.maximumpc.com/article/features/...this?page=0%2C0
....

Trojan horse: Named after the mythological wooden horse used to sneak Odysseus and other Greek heroes into roy, a Trojan horse will masquerade as a legitimate program but will unleash a harmful payload once installed.

Shit, wenn Sigfried mitbekommt, das Roy einen Tiersex-Gangbang hatte ...

Der Beitrag wurde von Scrapie bearbeitet: 22.12.2008, 19:18

[Gast_daca_*]

Kaspersky Memory Usage 101 MB - mehr als alle anderen

[Gast_malangao_*]

Na da haben Sie aber wieder die große Konkurenz antreten lassen . Es fehlen F-Secure 2009, Avira 2009, G-DATA 2009, BitDefender 2009

Antivir im Test kann nur die Free-Version sein.

Der Beitrag wurde von malangao bearbeitet: 22.12.2008, 22:02