Schädlingserkennung im Dauertest, Alle 2 Wochen neu von CB Einstellungen

[aido]

Das Trojaner nicht erkannt werden, liegt nicht unbeding daran das sie neu sind, sondern weil sich ihre Signatur durch Packprogramme verändert.
Der Antivirenscanner muss daher die Datei entpacken und dann vergleichen. Ist aber das Packprogramm das verwendet wurde nicht bekannt, dann kann sich der Schädling evtl. beim Entpacken ins System einklingen.
So dann haben wir den Salat ... Erst dann meldet der Scanner das er was gefunden hat. Aber in der Zwischenzeit hat der Schädling seinen Dienst auf Platte verewigt und die Daten in die Reg eingetragen.
Im allgemeinen will ich damit sagen, dass ständige Implementieren um eine höhere Erkennungsrate zu erzwingen dazu führen, dass der Scanner immer mehr Speicher benötigt und somit zu einer richtigen Systembremse wird.

Der Beitrag wurde von aido bearbeitet: 23.12.2008, 01:49

[Gast_Scrapie_*]

@aido:

Nur bedingt richtig, siehe AntiVir.
Den Award 2008 gewonnen - ohne Unpackingengine für Crypter und EXE-Packer.


Scrapie

[Ford Prefect]

Bevor wir hier wild speckulieren, sollte man erst mal klären wie die Fingerprint Technologie von G DATA den nun genau arbeitet. Bei Kaspersky werden zum Beispiel Datei die als vertrauenswürdig eingestuft wurden, in einem bestimmten Rhythmus dennoch wieder neu überprüft, so ähnlich könnte es bei G DATA auch sein.

Wer fragt mal beim Support nach ?

In der 2009er-Beta gab es hierzu einen guten Beitrag. KLICK

[Solution-Design]

Die Aussage welche im Link zu lesen steht, bestätigt meine Befürchtung...

[aido]

Die Aussage trifft nicht ganz zu. Ihr müsst unterscheiden zwischen Hashwert (z.B. Virustotal) und den "Fingerabdruck" der Daten/Programme auf den Lokalen rechner. Wird eine Datei gescannt bekommt sie diesen Fingerprint der in der Datenbank des Virenscanners landet. Beim erneuten Scannen werden die Dateien die bereits einen Fingerabdruck erhalten haben, verglichen aber nicht gescannt. Passt der Fingerabdruck nicht zu der Zeildatei erst dann wird gescannt.
Das trifft zum Beispiel dann zu, wenn ein Update oder ein Schädling die Datei verändert hat. Das ausslassen des Scans einer Fingerprintdatei bedeutet nicht das diese "vergessen" wird. Der OnDemand-Scanner der immer aktiv ist, hat ständig ein Auge darauf um es mal vereinfacht auszudrücken.

Gruß,
aido

[Xlice]

der on-demand scanner ist immer aktiv? Darauf habe ich aber keine lust.

[aido]

Also grundsätzlich unabhängig davon ob der Zugriffsscanner aktiv ist oder nicht (eine deaktivierung ist nicht zu empfehlen): Es werden alle Dateien gescannt, die einen Fingerprint haben "nur" wenn dieser sich ändert - werden beim Scan trotzdem verglichen aber nicht überprüft das beschleunigt den Scanvorgang.

Eine andere Methode hat z.B. Outpost. Dieser erstellt in jedem Verzeichnis eine Cachedatei mit den entsprechenden werden. Wenn z.B. etwas gelöscht oder verändert wird ändert sich auch der Wert in der Cachedatei was dazu führt, dass erneut gescannt wird.

Der Beitrag wurde von aido bearbeitet: 23.12.2008, 13:57

[Solution-Design]

Du hast aber verstanden, warum ich die Sinnhaftigkeit dieser Methode (without whitelist) in Frage stelle, nur um die Unzulänglichkeit der Lahmarschigkeit des Programmes zu kaschieren?!

[subset]

Also grundsätzlich unabhängig davon ob der Zugriffsscanner aktiv ist oder nicht (eine deaktivierung ist nicht zu empfehlen)...

Die Online Armor AV+ Version hat auch keinen Zugriffsscanner (On-Access), das AV kommt nur On-Execution zum Einsatz, nachdem die Whitelist befragt wurde usw.
Nur mit einem AV ist On-Access sicher sinnvoll, aber in Kombination mit einem HIPS finde ich das ewige Herumrödeln im Hintergrund unnötig.

MfG

[Solution-Design]

tja Subset, du sprichst mir aus der Seele, aber da die Jungs der Fachzeitschrift COM das Verfahren so wohl nicht verstanden haben, wurde a-squared anti-malware abgewerter

[Gast_Nightwatch_*]

tja Subset, du sprichst mir aus der Seele, aber da die Jungs der Fachzeitschrift COM das Verfahren so wohl nicht verstanden haben, wurde a-squared anti-malware abgewerter

Die dpa warnt vor dem Virus "Zero Day", die COM versteht nicht, dass ein on-execution-Scan keine Sicherheitsverminderung darstellt...vielleicht ist die ganze Sache auch einfach nicht transparent genug
Voting for more datasheets and whitepapers

Der Beitrag wurde von Nightwatch bearbeitet: 23.12.2008, 14:44

[aido]

@subset

Darum verwende ich auch OA bzw. OA AV+ zusammen mit Ikarus ist das ein unschlagbares Duo (meine Meinung). Geschwindigkeitsverluste habe ich dadurch nicht.

Bin auf meinen Testrechner den Vorschlag von @Solution-Design nachgegangen und hab a-squared Anti-Malware installiert. Dieser sagt mir jedoch absolut nicht zu. Allein schon die Tatsache das sich bei der Installation a-squared nicht im Sicherheitscenter anmeldet hat mich schon ein wenig geärgert obwohl man das ja abstellen kann.
Aber wenn jegliche Informationsmeldungen komplett abschaltet, hat man am Ende nur noch weniger Kontrolle darüber was sich auf deinem Rechner tut.

Habe auch Spasseshalber mal Battlefield gestart und siehe da a-squared block den Zugriff. Zwar erscheint im Protokoll eine Meldung aber wie man es Freigibt keine Funktion dazu. Klar kann ich Aushnahmen definieren aber der Sinn besteht darin, dass ich genau weiss was der Scanner meldet und ich das aus den Protokollen ersehen kann. Desweitern fehlt jegliche möglichkeit direkt aus dem Protokoll heraus Regeln zu definieren.
Gut das kann sich ja im Laufe der Zeit ja ändern und ich gebe auch zu, dass ich das Programm nur kurzfristig gestetet habe.

Um es kurz zu machen: Im moment Kocht leider jeder sein eigenes Süppchen die Schuld gebe ich nicht den Herstellern sondern Microsoft. Mit klar definierten Vorgaben der Programmgestaltung würde hier einiges wesentlich einfacher werden. Siehe Apple auch wenn manch einem das nicht gefällt.

[WinstonWolf]

Die Aussage welche im Link zu lesen steht, bestätigt meine Befürchtung...

Ich denke, wenn eine Datei sich nicht ändert und über einen gewissen Zeitraum immer wieder sauber gescannt wird, kann man ruhig mal einen Scan auslassen...

[Solution-Design]

Ich denke, wenn eine Datei sich nicht ändert und über einen gewissen Zeitraum immer wieder sauber gescannt wird, kann man ruhig mal einen Scan auslassen...

Das wäre dasselbe Vertrauen, als würde ich behaupten, dass mein Programm keine FPs ausspuckt. Nein, auch wenn du im Ansatz Recht haben dürftest - da G-Data bei seinem Produkt eine recht hohe Erkennungsrate aufweisen kann - ich halte diese Technologie für unreif… um es mal ganz vorsichtig auszudrücken. Aber ich denke, diese Diskussion braucht nicht weiter geführt zu werden, da G-Data es wohl ähnlich sieht, sonst würden sie nicht jetzt schon an der Implementierung einer Whitelist arbeiten

[Ford Prefect]

Denke schon, dass die Diskussion weitergeführt werden kann.
Woher weißt Du, dass Fingerprinting und Whitelisting nicht parallel betrieben werden? Es ist ja auch eher unwahrscheinlich, dass das Whitelistnig das gesamte Software- und Versionsspektrum abdecken kann - die Pflege der Whitelists ist ja auch nicht in Nullzeit möglich.
Ich finde es schon ok, dass eine Datei, so lange sie nicht modifiziert wurde, nach x Scans mit aktualisierten Signaturen nicht weiter gescannt wird.

[Gast_Sicherheit_*]

Welche Internet-Security-Suite ist die Beste?

der Test sagt mir da, schon ein wenig mehr zu als CB.

http://www.computerbase.de/news/software/a...ty-suite_beste/

Grüße

[aido]

Wenn du auf Testergebnisse aus bist der hier sagt was ganz anderes http://mtc.sri.com/live_data/av_rankings/

[Solution-Design]

Denke schon, dass die Diskussion weitergeführt werden kann.

Daran möchte ich ja auch niemanden hindern

Woher weißt Du, dass Fingerprinting und Whitelisting nicht parallel betrieben werden?

Weil es noch keine weiße Liste gibt, die G-Data pflegen könnte... Außer ein G-Data-Mitarbeiter überzeugt mich vom Gegenteil. Symantec scheint der erste Hersteller zu sein, der damit angefangen hat. Alle anderen werden folgen. Wie auch bei den Pulse-Updates. asquared nutzt (soweit ich weiß) auch die Bit9-Liste, aber für den Surfschutz. Kaspersky für die Firewall, alle anderen für nix. Eine eigene Liste hat derzeit nur Symantec, welche durch die Commuity noch weiter aufgepeppt wird.

...die Pflege der Whitelists ist ja auch nicht in Nullzeit möglich.
Ich finde es schon ok, dass eine Datei, so lange sie nicht modifiziert wurde, nach x Scans mit aktualisierten Signaturen nicht weiter gescannt wird.

Die AV-Programmer haben Zeit genug. Bald haben sie mehr Zeit, als ihnen lieb ist. Schon vor Jahren schwirrten die ersten Schlagsätze durchs Netz: Viren sind tot, es lebe die Malware... danach folgte... Signaturbasierende Erkennung wird sterben (es folgten die Behaviorblocker) und nun sind wir bei den Whitelists angelangt, da es bald mehr böse als gute Software gibt
Und nein, nur weil mein AV die Software/Malware drei- oder viermal nicht erkannt hat, darf er sie nicht ausklammern. Da bleibe ich bei meiner Meinung, trotz der im Allgemeinen guten Malware-Erkennungsrate des Produktes. Ich fahre auch nicht mit 100 km/h durch die Tempo 30-Zone, nur weil ich dort noch kein Kind angetroffen habe. Aber du kennst meine Meinung ja nun dazu, ich warte derzeit auf das neue G-Data-Produkt um mir ein neues/besseres Bild machen zu können.

Wenn du auf Testergebnisse aus bist der hier sagt was ganz anderes http://mtc.sri.com/live_data/av_rankings/

Was ist das denn? Bekannt ist, dass die VT-Files oftmals nur Müll sind, da meist/oft corrupt/nicht lauffähig. Dann kommt noch die Erkennung hinzu Linux/Windows. Als weiteres fällt mir auf: Eset 42%, ClamAV einer der Besten... Na ja...

[aido]

Frohe Weihnachten an alle in diesem Forum.....

Was ist das denn? Bekannt ist, dass die VT-Files oftmals nur Müll sind, da meist/oft corrupt/nicht lauffähig. Dann kommt noch die Erkennung hinzu Linux/Windows. Als weiteres fällt mir auf: Eset 42%, ClamAV einer der Besten... Na ja...

Ich kann dir tausende von solchen Links geben wenn du es möchtest. Und jeder wird andere Ergebnisse haben. Auf solche Tests gebe ich erstmal gar nichts. Die geben mir zwar einen Anhaltspunkt in welche Richtung ich mal schauen muss, aber sind für mich nicht das Hauptkriterium für den Kauf einer Sicherheitssoftware.
Desweiteren verwendet jeder seine eigenen Testsamples z.B. verwendet Virus.gr die Datenbanken von Kasperky da ist es ja nicht verwunderlich, dass bei den Testergebnissen Kasperky, eScan oder andere die die Kasperky-Engine verwenden weit vorne sind.

Solange jeder sein eigenenes Süppchen kocht, sollte man äussert Skeptisch mit solchen ergebnissen umgehen. Das ist auch der Grund warum sich die grossen Hersteller wie Symantec, Kasperky, GData u.a. der AMTSO angeschlossen haben, um endlich eine Basis für Tests und Datenbanken zu entwickeln.

Deine viel gerühmten Whitelists sind da auch nicht besser, weil auch hier jeder für sich selbst spricht. Fest steht das mit den neuen Produktserien neue Wege bestritten werden müssen und schon im Ansatz erkennbar sind wie Symantecs SONAR-Technologie bzw. Kasperkys Fingerprint-Technologie. Erstaunlicherweise ist diese jetzt erst zum Tragen gekommen, seitdem sich die Hersteller der AMTSO angeschlossen haben.

Gruß,
aido

[Solution-Design]

Nein, ich möchte keine 1.000 Links, meine reichen mir. Ansonsten zu allem Recht geb