Prevx Edge erschienen Einstellungen

[Gast_Solaris_*]

Da wird eindeutig ersichtlich, dass PrevX jede Menge Verhaltensanalysen vornimmt.

Hi

Ich habe die neuste Version von Prevx jetzt eine gute Woche getestet und bin nicht wirklich begeistert von dem Resultat. Von den 500 Samples von @Julian erkannte Prevx knapp die Hälfte on-demand und nur rund weitere 10% per Verhaltensanalyse plus Heuristik. Bei anderen Samples sah die Zahl leider nicht wesentlich besser aus; im Durchschnitt konnte jedes dritte Sample den PC infizieren (und tat dies auch).
Mein persönlicher Eindruck war vor einem Jahr deutlich besser, als jetzt. Schade, dass so viel Zeit für SafeOnline investiert worden ist und kaum Ressourcen in die erweiterte Verhaltensanalyse und Heuristik flossen.

Die Version 4 mit all den genannten Modifikationen und Änderungen (auch bzgl. Offline-Erkennung, Umgang mit Exploits und USB-Endgerätesicherheit) scheint bis dato nicht wirklich weiter verfolgt worden sein. Imo eine Fehlentscheidung, da es gerade im Bezug auf Browserschutz so viele gute kostenlose Alternativen gibt.

Gruß

[Gast_Metabolit_*]

Prevx ist ein sehr guter Zusatzschutz. Als alleiniges AV würde ich es trotz meiner positven Meinung zu dem Produkt nicht einsetzen.

[Habakuck]

Hi

Ich habe die neuste Version von Prevx jetzt eine gute Woche getestet und bin nicht wirklich begeistert von dem Resultat. Von den 500 Samples von @Julian erkannte Prevx knapp die Hälfte on-demand und nur rund weitere 10% per Verhaltensanalyse plus Heuristik. Bei anderen Samples sah die Zahl leider nicht wesentlich besser aus; im Durchschnitt konnte jedes dritte Sample den PC infizieren (und tat dies auch).
Mein persönlicher Eindruck war vor einem Jahr deutlich besser, als jetzt. Schade, dass so viel Zeit für SafeOnline investiert worden ist und kaum Ressourcen in die erweiterte Verhaltensanalyse und Heuristik flossen.

Die Version 4 mit all den genannten Modifikationen und Änderungen (auch bzgl. Offline-Erkennung, Umgang mit Exploits und USB-Endgerätesicherheit) scheint bis dato nicht wirklich weiter verfolgt worden sein. Imo eine Fehlentscheidung, da es gerade im Bezug auf Browserschutz so viele gute kostenlose Alternativen gibt.

Gruß

Da will ich jetzt einfach mal an Julians Samplen zweifeln.

Es laufen bei Wilders zig Diskussionen die genau darum gehen: Wie teste ich ein AV.
PrevX schert sich einen Dreck um Samples die kein Mensch in freier Wildbahn antrifft.
Außerdem schaltet die Verhaltensanalyse erst richtig an wenn du Samples auf einem wirklichen Infektionsweg versuchen den Rechner zu befallen.
On-demand ist sie garnicht an.
Auch wenn du die Datei einfach vom Desktop aus ausführst kann PrevX damit nicht richtig was anfangen.
Erst wenn die Datei ohne User Einwirkung vom Browser Prozess aus gestartet wird dann geht die Erkennung los.

So uralt Samples werden generell nicht wirklich häufig erkannt. Grade wenn sie in der Cloud kaum mehr aktiv ist.

Mal ein Beispiel:

Programm XY fällt innerhalb einer Stunde dadurch auf, dass es sich auf über 100PCs in den Autostart schreibt nachdem es vom Browser gestartet wurde. Es wenn solche Parameter erfüllt sind wird PrevX aktiv.

btw. auf was für Settings hast du getestet?

Denn die Reviews die man auf youtube findet sprechen wie ich finde eine eindeutige Sprache.


PS @ Metaboloid:

Als alleiniges AV würde ich es trotz meiner positven Meinung zu dem Produkt nicht einsetzen.

Warum nicht?

Der Beitrag wurde von Habakuck bearbeitet: 08.03.2010, 15:23

[Gast_Solaris_*]

Auch wenn du die Datei einfach vom Desktop aus ausführst kann PrevX damit nicht richtig was anfangen.

Hi
Diesen Punkt verstehe ich nicht. Wenn ich eine Datei aus dem Internet herunterlade und sie vom Desktop ausführe, kann Prevx damit nicht viel anfangen? Inwiefern?
Die Samples vom Set waren bis auf ein paar Ausnahmen schon ok. Welche Reputation sie haben, kann ich natürlich nicht sagen. Aber ich habe nicht nur dieses Set benutzt. Die Einstellungen: Heuristik= ganz rechts, Programm-Alter = vorletzte Stufe rechts, Community = mittlere Stufe.

Mir waren das einfach viel zu viele Infektionen, die nicht verhindert worden sind. Daher würde ich es persönlich zur Zeit nicht standalone einsetzen wollen. Dabei hat man immer schön im kleinen Tooltip über dem Tray-Symbol gesehen, dass Prevx die Änderungen scannt, aber einfach nicht anspringen will .

Grüße

[Habakuck]

Hi
Diesen Punkt verstehe ich nicht. Wenn ich eine Datei aus dem Internet herunterlade und sie vom Desktop ausführe, kann Prevx damit nicht viel anfangen? Inwiefern?
Die Samples vom Set waren bis auf ein paar Ausnahmen schon ok. Welche Reputation sie haben, kann ich natürlich nicht sagen. Aber ich habe nicht nur dieses Set benutzt. Die Einstellungen: Heuristik= ganz rechts, Programm-Alter = vorletzte Stufe rechts, Community = mittlere Stufe.

Mir waren das einfach viel zu viele Infektionen, die nicht verhindert worden sind. Daher würde ich es persönlich zur Zeit nicht standalone einsetzen wollen. Dabei hat man immer schön im kleinen Tooltip über dem Tray-Symbol gesehen, dass Prevx die Änderungen scannt, aber einfach nicht anspringen will .

Grüße

Die Einstellungen sind so auf jeden Fall in Ordnung.

Wenn du die Datei runterlädst dann ist das schon in Ordnung. Einfach nur julians Sample aus dem Ordner laufen lassen ist nicht wirklich prall.


Komisch, dass du so viele Sachen gefunden hast die PrevX durch lässt.

Meine Freundin hat grade letztens erst ein Sample aufgegriffen als sie den Eulalyzer for free runterladen wollte.... ^^ Als sie mir nachdem PrevX angesprungen war die Seite gezeigt hat habe ich nur die Augen verdreht..

Seis drum. PrevX hat angeschlagen. KIS (ist auf dem Rechner ebenfalls aktiv) nicht. Dann habe ich das Ding bei VT hochgeladen -> 4 Erkennungen. Darunter ein Suspicious, ein Artemis, Avira mit Dropper.gen und PrevX. Alle anderen nichts!

Und die Reviews auf youtube bescheinigen PrevX eigentlich auch eine sehr gute Erkennung.


Hier läuft das Kasperksy HIPS (ohne AV) mit PrevX zusammen. Das scheint mir wunderbar zu sein.

Der Beitrag wurde von Habakuck bearbeitet: 08.03.2010, 16:01

[Gast_Solaris_*]

Wenn du die Datei runterlädst dann ist das schon in Ordnung. Einfach nur julians Sample aus dem Ordner laufen lassen ist nicht wirklich prall.

Ich verstehe den Unterschied zwar immer noch nicht, aber ich nehme Deinen Post als Anlass, Prevx heute oder morgen nochmals mit ganz frischen Samples in einer frischen Win7/x64-VM zu testen. Werde mich wiedermelden, sobald ich ein paar Ergebnisse parat habe.

[Habakuck]

Der Unterschied ist, dass PrevX neben vielen anderen Dingen auch analysiert wo die Datei herkommt und wie sie ausgeführt wird. Ich habe das auch lange nicht glauben und verstehen können und steige da auch jetzt noch nicht so ganz durch aber PrevX arbeitet ganz anders als herkömmliche AVs.
So wie ich das bisher verstanden habe sammelt der PrevX Client Daten über die ausgeführte Anwendung. Signatur, Header, Größe, spezielle Phrasen im code, Herkunft, Art und Weise wie es gestartet wurde, Packer usw. und natürlich die Px5. Diese sendet es an den Server der diese Daten auswertet, mit der Cloud Datenbank vergleicht und eine entsprechende Antwort zurückschickt.
Wenn man sich alleine mal die verschiedenen Kennzeichnungen in den PrevX logs anguckt dann bekommt man eine grobe Ahnung dafür wie komplex das ganze system arbeitet.
Der PrevX Support ist was das Thema angeht relativ zäh weil sie nicht so viel ihrer Technik rausgeben möchte. Was ich gut verstehen kann auch wenn es mich wurmt.

[Gast_Metabolit_*]

Mir waren das einfach viel zu viele Infektionen, die nicht verhindert worden sind. Daher würde ich es persönlich zur Zeit nicht standalone einsetzen wollen.

Genauso sehe ich das derzeit auch. Bei mir waren alle Regeler ganz nach rechts gestellt - Höher gehts nimmer Das gleiche Sample von @julian benutzt und locker die Hälfte war der Malware war noch da.
Ich habe sogar teilweise eingige ausgeführt. Norton der direkt neben Prevx läuft war sofort am toben Prevx blieb selbst bei der Ausführung ruhig und das ist "bei mir" der Grund der gegen eine Standalone Lösung spricht.

Als Beispiel: Das gleiche Sample - ob alt oder neu - wurde mit A-Squared gescannt und es blieben nur 2 Stück übrig. Alles andere wurde weggeputzt

Dennoch sei noch erwähnt, das Prevx sehr oft anspringt, wo andere "normale" AVs versagen - obwohl nachhaltig die beanstandete Malware tatsächlich schädlich ist !.

Deswegen ist es bei mir auf jedem Rechner mit dabei als "Zusatzschutz" denn Prevx ist zudem auserordentlich verträglich mit anderen Sicherheitslösungen..

Der Beitrag wurde von Metabolit bearbeitet: 08.03.2010, 18:01

[SLE]

Der Unterschied ist, dass PrevX neben vielen anderen Dingen auch analysiert wo die Datei herkommt und wie sie ausgeführt wird.

Aber es ist doch schnuppe - auch wenn die Datei im Downloadordner landet und nicht "im Browser", sondern erst vom Benutzer ausgeführt wird - solange es sich um Malware handelt bzw. ein entsprechendes Verhalten auftritt soll ein Programm was diese Dateien prüft auch anspringen. Gerade wenn es mit einer super Verhaltensanalyse prahlt. Oder?

Ich habe das auch lange nicht glauben und verstehen können...

Guerilla Marketing muss man nur glauben - da darf man nichts verstehen. Sorry mich können auch einzelne youtube Filmchen mit ein paar Samples da nicht wirklich überzeugen.

[Gast_Metabolit_*]

Gerade wenn es mit einer super Verhaltensanalyse prahlt.

Ja aber denk daran, das die Verhaltensanalyse erst ganz neu ist

Sorry mich können auch einzelne youtube Filmchen mit ein paar Samples da nicht wirklich überzeugen.

Komm Du bist doch nur ein normaler Langzeit-Skeptiker

[Gast_Solaris_*]

Ok, jetzt mal Butter bei die Fische


On-Execution-Test mit 30 frischen Samples. Natürlich kann ich hier nicht alle posten. Ergebnis kommt ganz unten.


Also..los geht´s. Und so soll es sein:


Prevx blockt das Sample, SafeOnline achtet sogar darauf, ob ich diesen Screenshot zulassen möchte, oder nicht.

Bei diesem Sample sieht das Ganze dann schon wieder sehr unrühmlich aus. Die Malware wird aktiv und nimmt sofort Kontakt zum Internet auf, was Sandboxie zum Glück unterbindet. Prevx schweigt.


Und noch interessanter wird´s bei den nächsten Samples. Prevx scheint die Infektion vollständig zu blocken:


Doch was passiert wirklich?


Plötzlich soll mein System32-Ordner automatisch verschoben werden. Ein Blick in den Task-Manager zeigt trotz angeblicker Blockierung laufende Prozesse.

Dann dachte ich mir, dass ich mal die I-Verbindung freigebe. Es wird ein Rootkit nachinstalliert:


Prevx bleibt leider stumm.

FAZIT:
Von den 30 Samples konnte Prevx 9 vollständig blocken, 8 angeblich blocken (Erkennung vorhanden, aber nicht blockiert) und 13 gar nicht blocken.
Avast erkannte von den 30 Samples 20 Stück, die FSIS 25 und Trend Micro 18.


Grüße

[Habakuck]

Danke für den Test Solaris! =)

Der PrevX Support würde jetzt sagen, dass PrevX nicht mit Sandboxie kompatibel ist.. ^^ ich weiss es nicht.

Sag mal, normalerweise sollte PrevX nach einem "Active Threat" Alert einen Full Scan anstoßen der meistens alles wegputzt. Hat der bei dir nichts gefunden? (Flash_10...)
Denn das kann ich mir kaum vorstellen. Da würde ich dann wirklich auf eine unverträglich mit Sandboxie tippen; die übrigens schon lange vorhanden und bekannt ist und unter anderem von mir bemängelt wird.


Es ist übrigens nicht so, dass sich PrevX keinen offiziellen Tests stellt!!
Westcoast: http://www.westcoastlabs.com/checkmark/pro...p;search=search
about.com: http://netsecurity.about.com/od/readproduc...r/prevxedge.htm (dort wurde eine alte Version getestet seit der vieles nochmal nachgebesser wurde)


PS: Ürbigens stimme ich dir voll und ganz bei der Aussage zu, dass man lieber die Detection weiter ausbauen sollte anstatt SafeOnline!

Der Beitrag wurde von Habakuck bearbeitet: 08.03.2010, 19:01

[Gast_Solaris_*]

Sag mal, normalerweise sollte PrevX nach einem "Active Threat" Alert einen Full Scan anstoßen der meistens alles wegputzt. Hat der bei dir nichts gefunden? (Flash_10...)

Hi!
Doch, hat das Programm. Ich habe ihn aber nicht ausführen lassen, da ich sehen wollte, ob die Installation on-execution geblockt wird. Ob eine nachträgliche Erkennung/Bereinigung stattgefunden hätte, kann ich daher nicht sagen.
Natürlich ist so ein Test mit 30 samples null aussagekräftig. Das möchte ich hier auch nochmal deutlich klarstellen.

Nur irgendwie bleibt dieser Beigeschmack. Daher würde ich persönlich Prevx derzeit nur zu einer anderen Sicherheitslösung einsetzen wollen.

EDIT:
Ja, von der neuen Westcoastlab-Zertifizierung habe ich gelesen. Schonmal ein wichtiger Schritt in die richtige Richtung


Liebe Grüße

[Habakuck]

Auch nochmal Hi!

Hi!
Doch, hat das Programm. Ich habe ihn aber nicht ausführen lassen, da ich sehen wollte, ob die Installation on-execution geblockt wird. Ob eine nachträgliche Erkennung/Bereinigung stattgefunden hätte, kann ich daher nicht sagen.

Das ist aber auch nicht ganz fair... Sonar entfernt ja beispielsweise auch erst nachdem das Sample läuft.
Denn genau an dem Punkt: "Active threat" Detection erkennt man die Verhaltensanalyse. Wenn das Sample "bekannt" ist, schön, dann wird es gleich geblockt. Nur wie soll eine Verhaltensanalyse vorgenommen werden wenn das Sample nicht läuft?
KIS's Verhaltensblocker oder Mamutu oder ThreatFire würden auch erst anspringen wenn die gefährliche Aktion beobachtet wird.
Wieviel PrevX da nun blockt sei mal dahingestellt (Ich glaube PrevX erkennt die gefährliche Aktion zwar, blockt sie aber nicht) aber im Full scan wird dann meistens alles gelöscht. Auch bei Registry Einträgen haben sie sich dem Druck gebeugt und stark nachgebessert.
Sie sind halt echt minimalistisch eingestellt, was ich grade gut finde, und haben daher am Anfang gesagt: Ein Registry Eintrag ohne Ziel Datei ist ja nicht gefährlich. Womit sie recht haben. Wie gesagt: Mitlerweile beheben sie die auch.

Daher würde ich persönlich Prevx derzeit nur zu einer anderen Sicherheitslösung einsetzen wollen.

Naja, mache ich ja auch nicht.. ^^


Liebe Grüße

Der Beitrag wurde von Habakuck bearbeitet: 08.03.2010, 19:25

[SLE]

Ja aber denk daran, das die Verhaltensanalyse erst ganz neu ist

Offiziell? Dennoch darf man sie kritisieren - und muss es auch!

Komm Du bist doch nur ein normaler Langzeit-Skeptiker

Das bringt unheimlich voran.

@Solaris: Danke!
Sag mal - hast du zufällig noch Shadow Defender auf dem System? Dann wäre es ja leicht die betreffenden Samples ohne Sandboxie zu testen, um zu sehen ob die Schwäche nur an SB liegen sollte.

Edit:

Das ist aber auch nicht ganz fair... Sonar entfernt ja beispielsweise auch erst nachdem das Sample läuft.

Na klar - und unterbricht, sobald es ein gefährliche Situation entdeckt.

Denn genau an dem Punkt: "Active threat" Detection erkennt man die Verhaltensanalyse. Wenn das Sample "bekannt" ist, schön, dann wird es gleich geblockt. Nur wie soll eine Verhaltensanalyse vorgenommen werden wenn das Sample nicht läuft?

Es lief ja - Solaris hat die Dateien ja ausgeführt. Ich versteh die Logik nicht: Erstmal machen lassen und hoffen beim Scan alles zu finden und zu entfernen?
(Das ist ja schon fast wie das Argument im GData Thread...)

Der Beitrag wurde von SebastianLE bearbeitet: 08.03.2010, 19:33

[Gast_ahora2010_*]

hmmm dann habe ich ja jetzt die todeskombi für malware , sonar 2 mit prevx

[Gast_Solaris_*]

Sonar entfernt ja beispielsweise auch erst nachdem das Sample läuft.

Jepp, Du hast schon recht. Aber bis der Scan und die abschließende Desinfektion abgeschlossen ist, hat das Teil schon munter über das Internet Kontakt aufgenommen und Dinge verschickt. Schöner wäre es, wenn Prevx das Ding nach der Analyse sofort blockt, dann einen Scan anstößt und es dann entfernt. So laufen die Samples 2 Minuten bis sie entfernt werden .

@Sebastian
Ja, ich wiederhole den Test mit Shadow Defender. Habe den nicht installiert gehabt in der Umgebung. Ich verzichte aber auf weitere Screens und poste nur die Ergebnisse.

Gruß

[Julian]

Prevx erscheint mir zu Norton ziemlich überflüssig: Die Insight-Cloud ist auch so schon aggressiv genug und Sonar kann der Prevx "Verhaltensblocker" nicht das Wasser reichen.
a-squared scheint mir ein wesentlich besseres Zusatzprogramm zu sein, das erkennt ohne Cloud-Schnörk wesentlich mehr...

[Habakuck]

Schöner wäre es, wenn Prevx das Ding nach der Analyse sofort blockt

Vollständige Zustimmung!

und Sonar kann der Prevx "Verhaltensblocker" nicht das Wasser reichen.

Ebenfalls komplette Zustimmung!

Schöner wäre auch eine Welt ohne Krieg... ^^

Alles kann man nicht haben. Mit PrevX hat man meiner Meinung nach ein, für seine größe und seine Performance, absolutes Top Programm!

Ich sehe das so: Schutz/Performance = Note

Würde es Sonar ohne den ganzen Norton Mist geben, ich würde es sofort kaufen! Gibt es aber leider nicht und die NIS ist mir zu langsam. Also was tun?

Ich habe mich für KIS HIPS + PrevX entschieden und bin vollends zu Frieden! Schnell und ich fühle mich sicher.

PS: Induct hat PrevX als einer der ersten erkannt. :P
Und vor sowas habe ich am meisten "Angst".

Der Beitrag wurde von Habakuck bearbeitet: 08.03.2010, 20:02

[SLE]

Mit PrevX hat man meiner Meinung nach ein, für seine größe und seine Performance, absolutes Top Programm!

Ohne Witz: Was siehst du daran wirklich noch als Top?

Bisher war es immer so, dass argumentiert wurde: On-Demand ist PREVX nicht so gut - aber es spielt seine Stärke on-execution aus: superschnelle Cloud-Abfrage, Heuristik, Verhaltensanalyse...
Jetzt sieht man (wenn auch nur bei einigen Samples und ohne Aussagemöglichkeit über Repräsentativität) dass PREVX hier doch etwas zu wünschen übrig lässt - auch und gerade im Vergleich zu anderen Lösungen.

Ich sehe das so: Schutz/Performance = Note

Ganz komische Formel ...Skala? Wo liegt hier das Optimum? Wie nahe an 0 liegt PREVX?