Prevx Edge erschienen Einstellungen

[Gast_Nightwatch_*]

hat prevx auch ein forum

Hi
Leider bietet Prevx momentan kein offizielles Forum an. Es ist im Gespräch, ob sie auf Wilder´s Security in den nächsten Monaten ein eigenes Unterforum bekommen.

Für alle Support-Fragen kannst Du Dich zur Zeit in diesem Thread an den User @PrevxHelp wenden, der regelmäßig mitliest und schnelle Antworten leistet (ggf. auch per PN) :
http://www.wilderssecurity.com/showthread.php?t=225190

Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 11.06.2009, 15:06

[markusg]

Soweit ich weis, nicht.
http://www.wilderssecurity.com/forumdisplay.php?f=35
Hier könntest du ein Thema eröffnen, dort ist der User Prevxhelp unterwegs, der wird dir helfen.
Oder du schreibst ihm eine PM.
Edit: da war Nightwatch schneller....

Der Beitrag wurde von markusg bearbeitet: 11.06.2009, 15:11

[Paul Wilders]

Hi
Leider bietet Prevx momentan kein offizielles Forum an. Es ist im Gespräch, ob sie auf Wilders Security in den nächsten Monaten ein eigenes Unterforum bekommen.

Nanu, warten wir das erstmal ab

Für alle Support-Fragen kannst Du Dich zur Zeit in diesem Thread an den User @PrevxHelp wenden, der regelmäßig mitliest und schnelle Antworten leistet (ggf. auch per PN) :
http://www.wilderssecurity.com/showthread.php?t=225190

Ist ne gute Quelle - kann Ich nur zusagen


cheers,

Paul

[Gast_Nightwatch_*]

Nanu, warten wir das erstmal ab

Hallo
Ich würd mich sehr freuen, aber da hängt natürlich deutlich mehr dran, als ein paar User-Wünsche und Votes.
Wäre jedenfalls eine nette Überraschung! Die Prevx-Threads auf Wilder´s sind aufgrund des tollen Supports dort momental ziemlich beliebt.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 12.06.2009, 00:09

[Kenshiro]

Kann mich täuschen, aber ich glaube Prevx hat sowas nicht
Upps: Paul W. ist auch hier? Boah, habs erst jetzt gemerkt. GuMo Kenshiro. Ich gehe lieber wieder ins Bett

Der Beitrag wurde von Kenshiro bearbeitet: 12.06.2009, 05:59

[Alexander Robrec...]

danke schön

[Anar]

Das Hauptproblem das ich mit PrevX habe ist die Tatsache, das es nicht möglich ist eine Infektion wirklich zu blocken. Sie verlassen sich komplett auf ihr Cleaning, was genau genommen nicht mal sonderlich gut funktioniert. Es hat ein Grund wieso im Promo Video mit den "Heavily Infected Machines" am Ende das System (Registry, Prozesslisten etc.) nicht mehr gezeigt wurde.

[Gast_Nightwatch_*]

Das Hauptproblem das ich mit PrevX habe ist die Tatsache, das es nicht möglich ist eine Infektion wirklich zu blocken.

Hi Anar
Könntest Du das noch ein wenig mehr ausführen, was Du meinst? Natürlich ist Prevx in der Lage, Infektionen komplett sauber zu blocken und zu entfernen. Oder beziehen sich Deine Schilderungen auf die Free-Version?

Es kursierte mal ein Gerücht vor einem halben Jahr, dass Prevx (damals in der Edge-Version) bestimmte Rootkit-Varianten nicht an der Installation hindern würde, obwohl es dieses anzeigt. Aber erstens war das so formuliert eine falsche Behauptung, (wie sich rausstellte) und zweitens wurde ein Problem in diesem Zusammenhang nachträglich gefixt.

Gruß,
Nightwatch

[Anar]

Hi Anar
Könntest Du das noch ein wenig mehr ausführen, was Du meinst? Natürlich ist Prevx in der Lage, Infektionen komplett sauber zu blocken und zu entfernen. Oder beziehen sich Deine Schilderungen auf die Free-Version?

Es kursierte mal ein Gerücht vor einem halben Jahr, dass Prevx (damals in der Edge-Version) bestimmte Rootkit-Varianten nicht an der Installation hindern würde, obwohl es dieses anzeigt. Aber erstens war das so formuliert eine falsche Behauptung, (wie sich rausstellte) und zweitens wurde ein Problem in diesem Zusammenhang nachträglich gefixt.

Geblockt wird nur, wenn die Malware innerhalb der Cloud bekannt ist. Ansonsten werden durchaus zweifelhafte Aktionen einfach gewährt und der Infektion freien Lauf gelassen. Das ist generell der größte Schwachpunkt meiner Ansicht nach. Targetted Attacks werden niemals in der Cloud zu finden sein. Einige extra erstellte (primitive) Malware Samples werden weder entdeckt noch geblockt. Nach einigen Minuten dann erkennts die Cloud endlich. Das ist nicht das was ich mit unter Zero Day Protection vorstelle. Ich kenn durchaus AV Hersteller die Signaturen ebenfalls innerhalb von Minuten rausschicken (Pulse, Artemis um nur 2 der Technologien zu nennen).

Achja ... und das erste Rootkit das ich probiert hab wird nicht erkannt. Mag evtl. nur ein Rootkit von vielen sein, aber nicht sonderlich vertrauenserweckend. Ich hab die Samples mal an PrevX weitergereicht.

Last but not Least:
Das Fehlen einer echten Trial Version stinkt. Jetzt darf ich Malware bauen, die PrevX bzw. ein PrevX Engineer nicht entfernen kann, damit ich innerhalb der 14 Tage mein Geld zurück bekomm.

Der Beitrag wurde von Anar bearbeitet: 12.06.2009, 12:11

[Gast_Nightwatch_*]

Geblockt wird nur, wenn die Malware innerhalb der Cloud bekannt ist. Ansonsten werden durchaus zweifelhafte Aktionen einfach gewährt und der Infektion freien Lauf gelassen. [...]
Achja ... und das erste Rootkit das ich probiert hab wird nicht erkannt.

Ich muss leider gleich weg und habe nicht viel Zeit zu antworten. Die erste Aussage stimmt so nicht, da die Cloud-Erkennung nur eine Säule von Prevx darstellt. Es gibt drei zusätzliche Heuristik-Emulatoren, die mit der Cloud-Datenbank wenig zutun haben.
0. Cloud-Erkennung (anhand einer Datenbank)
1. Emulator: Advanced Heuristik = Technische Analyse
2. Emulator: Programm-Age-Heuristik = Hier wird untersucht, wie alt/neu/modifiziert eine Datei ist
3. Emulator: Community-based-Heuristik = Programme, die andere geblockt haben oder nur wenige Leute auf dem PC haben, werden geblockt.

Ein Sample muss durch alle vier Dinge durch.

Noch schnell zum Rootkit:
Hast Du die Paid-Version getestet? Wenn nicht, dann wundert es mich nicht, denn die Free hat weder einen Realtime-Guard, noch kann es eine Infektion verhindern.
Wenn es doch die Paid war, wie waren Deine Einstellungen?

Gruß,
Nightwatch

[Anar]

1. Emulator: Advanced Heuristik = Technische Analyse

Die keine Emulation in dem Sinne verwendet. Daher ist die Bezeichnung Emulator völlig am Ziel vorbei.

2. Emulator: Programm-Age-Heuristik = Hier wird untersucht, wie alt/neu/modifiziert eine Datei ist

Der Vergleich des Dateidatums hat ebenfalls nichts mit einem Emulator zu tun. Ich rieche Buzzwords.

3. Emulator: Community-based-Heuristik = Programme, die andere geblockt haben oder nur wenige Leute auf dem PC haben, werden geblockt.

Ebenfalls zweifelhafte Benennung denn der Abgleich einer Checksumme mit einer Cloud hat nichts mit Emulation zu tun.

Ein Sample muss durch alle vier Dinge durch.

Wobei nur die ersten beiden davon eine ernsthafte Herausforderung darstellen.

Hast Du die Paid-Version getestet? Wenn nicht, dann wundert es mich nicht, denn die Free hat weder einen Realtime-Guard, noch kann es eine Infektion verhindern.
Wenn es doch die Paid war, wie waren Deine Einstellungen?

Paid Version. Alles andere wäre irgendwie sinnlos. Settings waren übrigens Default Settings. Ich teste grundsätzlich immer mit Default Settings, weil das die Settings sind, die die breite Masse verwendet.

[Habakuck]

1. Emulator: Advanced Heuristik = Technische Analyse

Ich halte die heuritische Analyse für sehr sehr gut. Mir ist bisher nur ein Sample durch die Lappen gegangen...

Das nur in der Cloud gescannt wird ist schlichtweg falsch. Ich denke der Hauptschutz liegt in der sehr guten on execution Erkennung der Advanced Heuritics.

Denn Signaturen hinken immer ein paar Stunden hinterher, die Cloud ein paar Minuten (je nach Einstellungen). Aber an der Heuritik kommt meinen Erfahrungen nach kaum was vorbei. Im log wird ja sehr schön angezeigt welche Funde von welchem SchutzModul gemacht wurden. Und da sehe ich meistens, dass die Datei per Checksumme identifiziert wurde. Das ist ja erstmal nicht verkehrt. Ist das nicht der Fall ist es fast immer das Advanced Heuristics Modul welches den Fund macht.

Wie würde denn ein anderes AV (nehmen wir des guten Rufes wegen McAffe) eine Bedrohung erkennen die auf dich zugeschnitten ist?
Grade da versagen sämtliche Signaturen.
Genau daher möchte ich mir eine Prevx Lizenz zulegen und wundere mich jetzt ein bischen das du genau die gegenteilige Meinung hast...

Der Beitrag wurde von Habakuck bearbeitet: 12.06.2009, 17:50

[Paul Wilders]

...Und da ist es: Offiziële Prevx Support Forum finden sie hier angekündigt.

cheers,

Paul

[Gast_Metabolit_*]

Das ist mein spez. Problem bei PrevX mit der Lizenzverwaltung. Dort wo jetzt steht " Activate" ist kein aktiver PC mehr dahinter = Format c !
PrevX lässt mir die Wahl die dortigen Installation zu deaktivieren und wieder woanders zu reaktivieren. Das seht ihr an den beiden roten unteren Bereichen.
Woher kommt das ? Ich teste auf meinem Rechner, welche Schutzsoftware mit PrevX zusammenarbeitet und welche nicht. Danach spiele ich ein Image zurück und probiere es mit einer anderen Schutzsoftware aus.
Das ich die Lizenz immer nur auf einem Rechner laufen lasse, ist selbstverständlich und PrevX lässt es zudem -gerechtfertigter Weise - auch nur so zu.

Aber ich muss doch aktivieren und deaktivieren können, so wie es PrevX selbst vorsieht und vorschlägt. Aber egal was auch auch tue, immer kommen oben Fehlermeldungen.
Jetzt wollte ich meine aktive Lizenz deaktivieren und eine der beiden unteren wieder aktivieren. Geht nicht ! Klar kann ich den Support anschreiben, der hat auch einmal was getan, aber jetzt hatte ich wieder den Support vor 6 Tagen angeschrieben und keine Antwort bekommen. Für mich war PrevX eher eine Belastung als Hilfe. Denn seine Leistung konnte ich bisher nicht richtig testen. Ich bin der Meinung, wenn ich eine Lizenz gekauft habe, sollte es mir als Kunde überlassen bleiben auf welchem PC ich meine 1 Lizenz auch aktiv einsetze. Selbst wenn da 10 PCs als deaktiviert stehen und nur einer als aktiv, sollte das in Ordnung sein. 1 Lizenz = 1 PC

Das passiert wenn ich reaktivieren will:


Der Beitrag wurde von Metabolit bearbeitet: 12.06.2009, 19:24

[rolarocka]

Das hat sich PrevxHelp aber verdient. Glückwunsch.

[Gast_Nightwatch_*]

Die keine Emulation in dem Sinne verwendet. Daher ist die Bezeichnung Emulator völlig am Ziel vorbei.

Der Vergleich des Dateidatums hat ebenfalls nichts mit einem Emulator zu tun. Ich rieche Buzzwords.

Ebenfalls zweifelhafte Benennung denn der Abgleich einer Checksumme mit einer Cloud hat nichts mit Emulation zu tun.

Hi
Sei mir nicht böse, aber irgendwie scheint es mir, als hättest Du Dich mit den technischen Details und Funktionsweisen des Programms nicht auseinandergesetzt. Natürlich gibt es eine Heuristik-Emulation im eigentlichen Sinne. Und die Age-Erkennung ist keinesfalls nur ein Abgleich des Erstellungsdatums, die Community-Heuristik keinesfalls ein Abgleich einer bloßen Checksumme. Woher beziehst Du diese Thesen

Auch Deine Sätze bezüglich der langsamen (und nachträglichen) Cloud-Erkennung erschließen sich mir nicht. Wie soll das technisch funktionieren? Ein Sample wird durchgelassen und 2 Minuten später erkannt, weil das Sample ITC verschickt worden ist? Ohne dass die Heuristik es zuvor als verdächtig identifiziert hat? Es gibt wohl momentan nichts schnelleres, als dieses System.
Und warum sollten die letzten zwei Säulen kein Problem für Malware darstellen?

Es ist ja vollkommen in Ordnung, wenn Du dieses ganze System nicht gutheißt bzw. Du kein Vertrauen darin siehst. Prevx ist auch noch kein Massenprodukt, weil es z.B. eine permanente I-Verbindung erfordert. Aber Unwahrheiten bringen auch nicht weiter . Nur weil ein Rootkit von Dir durchgelassen wurde, heißt es nicht, dass Prevx generell nicht in der Lage ist, Malware-Samples zu blocken. Und auf das Cleaning wird sich wohl hier doch fast gar nicht verlassen. Werde aus Deinen Schlußfolgerungen nicht schlau.

@Paul Wilders
Klasse!!
Ein wirklich schönes Entgegenkommen und eine tolle Nachricht !

Gruß,
Nightwatch

[markusg]

Eben, ein test mit nur einem Rootkit ist nciht grad sehr repräsentativ..

[Gast_Nightwatch_*]

Hi
Mein vorerst letzter Rootkit-Test. Hab in den nächsten Wochen wenig Zeit dafür.

VT-Erkennung:


Prevx blockt die Datei beim Ausführen per Cloud-Erkennung:


Ich habe Prevx deaktiviert und das Rootkit manuell installiert. Ein Prozess wird im Task-Manager sichtbar. Es existiert laut Gmer auch nur der eine Prozess:


Nun habe ich einen On-demand-Scan angestoßen. Prevx erkennt den Prozess und fordert zum Neustart auf:


Nach dem Neustart ist der Prozess nicht mehr auffindbar (Task-Manager & Gmer):



Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 13.06.2009, 03:13

[Voyager]

Erlich gesagt kann ich in dem Test nicht erkennen das dort auch die Rootkits erkannt und entfernt wurden , das PrevX dort den möglichen Rootkit-Installer erkennt ist keine Kunst wenn die Malware schon bekannt war. Wenn es ein Rootkit-Installer war dann würde ich das besser nochmal mit Combofix nachkontrollieren.

Ich kann Anars Skepsis nachvollziehen wenn keiner die Marketing Namen wirklich erklärt , was denn genau bei welcher Funktion passiert. Anar hat eine naheliegende Möglichkeit vorgegeben die du so erstmal bestreitest, du sagst aber auch nicht was die Funktionen denn machen ?

Der Beitrag wurde von Voyager bearbeitet: 13.06.2009, 04:19

[Anar]

Sei mir nicht böse, aber irgendwie scheint es mir, als hättest Du Dich mit den technischen Details und Funktionsweisen des Programms nicht auseinandergesetzt.

Gegenfrage ... hast Du ausser dem Marketing Geblubber auf der Webseite noch andere Informationen eingeholt? Z.B. den Client reversed?

Natürlich gibt es eine Heuristik-Emulation im eigentlichen Sinne.

Ich empfehle Dir auf Wikipedia das Wort "Emulation" nachzuschlagen. PrevX ist nicht in der Lage eine CPU oder überhaupt irgendetwas nachzubilden. Deshalb ist das Wort Emulator unangebracht. Es hat durchaus eine Heuristik. Die Heuristik basiert aber ausschließlich auf statischen Verfahren. Ausserdem war es in meinen Tests mit mittlerweile rund 30.000 Schädlingen zu keinem Zeitpunkt der Fall, daß die Heuristik allein genügt hätte um eine Alarm Meldung oder gar einen Block zu verursachen ohne das vorher die Cloud konsultiert worden wäre.

Und die Age-Erkennung ist keinesfalls nur ein Abgleich des Erstellungsdatums, die Community-Heuristik keinesfalls ein Abgleich einer bloßen Checksumme.

Mal davon abgesehen, daß selbst die Anwendung sagt, daß es sich bei der Age Heuristik um eine Erkennung auf Grund von Zeitstempeln handelt, ist ein Abgleich an Hand der Popularität innerhalb der Community anders als über Checksummen nicht möglich. Man kann schlecht die kompletten Dateien hinschicken und fragen "habt ihr die auch". In dem Kontext wird auch klar wieso der Begriff Emulator wieder völlig deplaziert ist. Was willst Du bei Zeitstempeln emulieren? Den Lauf der Zeit? In dem Fall sollte sich PrevX mit Physikern zusammen setzen. Die werden sehr interessiert an der Zeitemulation sein. Das Konzept der Zeit ist ja immer noch ein wenig undurchsichtig für sie.

Woher beziehst Du diese Thesen

Reverse Engineering. Und es sind keine Thesen. Das sind die Fähigkeiten die der Client tatsächlich besitzt.

Auch Deine Sätze bezüglich der langsamen (und nachträglichen) Cloud-Erkennung erschließen sich mir nicht. Wie soll das technisch funktionieren? Ein Sample wird durchgelassen und 2 Minuten später erkannt, weil das Sample ITC verschickt worden ist?

Exakt so läuft es. Der PrevX Client ist technisch nicht in der Lage Verhaltensweisen selbst zu erkennen (weshalb die komplette Behaviour Based Benamung auf der Webpage äußerst fragwürdig ist). PrevX installiert einen Filesystem Filter, ein Process Creation Notification Callback und eine Hand voll Hooks um Prozessmanipulation und -terminierung zu verhindern. Ansonsten ist der PrevX Client komplett blind. Die Heuristiken bestimmen welche Dateien an die Cloud geschickt werden. Die Cloud kann zudem von sich aus Dateien anfordern. Die Dateien werden dann von der Cloud auf dafür vorgesehenen Maschinen ausgeführt und ihr Verhalten beobachtet. Nach meinen Tests dauert der Vorgang 10 Sekunden bis 5 Minuten. Laut meiner Erfahrung genügen eine Sekunde Laufzeit ohne Einschränkungen um ein System zu ownen. Laut der Definition wären dann übrigens eine ganze Reihe von AV Herstellern "Behaviour Based Solutions". Ikarus z.B. erstellt keinerlei Analysen mehr von Hand und sogar die Signaturen sind vollautomatisiert. Genau wie bei PrevX.

Und warum sollten die letzten zwei Säulen kein Problem für Malware darstellen?

Zeitstempel lassen sich beliebig manipulieren. PrevX unterhält keine "eigene" Datenbank an Zeitstempeln um zu speichern, wann der Client die Datei das erste mal gesehen hat. Die Popularity Heuristik hat bei mir noch nicht ein einziges File kritisiert, obwohl ich 1000% sicher bin, daß niemand außer mir die Dateien hat.

Nur weil ein Rootkit von Dir durchgelassen wurde, heißt es nicht, dass Prevx generell nicht in der Lage ist, Malware-Samples zu blocken. Und auf das Cleaning wird sich wohl hier doch fast gar nicht verlassen.

Es ist durchaus in der Lage Malware zu blocken, sofern diese Malware in der Cloud bekannt ist. Falls dies nicht der Fall ist, ist bei den Standard Einstellungen zumindest, die Bahn frei für einige Sekunden oder Minuten "Mayhem". Dadurch, das PrevX schädliches Verhalten auf dem Client Computer selbst nicht erkennen oder verhindern kann, bist Du bei einer Targetted Attack "geowned". Das war mein initialer Kritikpunkt und bleibt es auch. Es ist laut allgemeiner Definition nicht in der Lage Dich vor Zero Day Malware zu schützen, wenn Du der erste bist, der auf diese Malware trifft.

Dein letzter Rootkit Test ist übrigens sinnbefreit. Einen nicht versteckten Prozess zu erkennen ist nämlich unglaublich schwer. Bist Du sicher, daß das Rootkit überhaupt aktiv war und weißt Du was es überhaupt versteckt hat?

Der Beitrag wurde von Anar bearbeitet: 13.06.2009, 11:32