F-PROT AntiVirus 6.0.9.2 veröffentlicht, Neue Engine / Windows 7 - Support Einstellungen

[Steinlaus]

Du wirst es nicht glauben, da kann man auch eine Lizenz ordern und ist sogar komplett in deutsch.

Wuste gar nicht das man eine F-Prot Lizenz auf der GDATA Hompage ordern kann.

[Till 88]

Würde mich echt mal interessieren wie die weiter machen. Ob sie in Zukunft auch nur auf Signaturen setzen oder doch auch auf andere Sicherheitskomponenten wie BB, HIPS etc.

[SLE]

Würde mich echt mal interessieren wie die weiter machen. Ob sie in Zukunft auch nur auf Signaturen setzen oder doch auch auf andere Sicherheitskomponenten wie BB, HIPS etc.

Da wird so schnell nichts Neues kommen.
Bei FRISK sagen sie selbst, dass sie nicht die finanziellen und personellen Ressourcen haben, um was neues zu entwickeln. Sie werden also in nächster Zeit definitiv ein reines AV bleiben, welches ums Überleben kämpft.

Zumindest bemühen sich aber zumindest mit der Signaturenerstellung (generisch und spezifisch) effektiver zu werden, so dass Signaturen für reaktive Erkennung teilweise stärker automatisiert erstellt werden, um mehr Ressourcen für proaktive (generische) Erkennungen zu haben (Link)

[letsgo]

Und als Alternative F-PROT in Kombination mit Mamutu? Wie sieht es damit aus? Wäre das eine Lösung?

[SLE]

Alternative zu was?
Mamutu ist sicher eine sehr gute Ergänzung zu allen AVs ohne bzw. nur mit spartanischem BB.

Aber anstelle der Kombi Mamutu+F-Prot scheint mir derzeit EAM alone als die bessere Wahl.

[letsgo]

Alternative zu was?
Mamutu ist sicher eine sehr gute Ergänzung zu allen AVs ohne bzw. nur mit spartanischem BB.

Aber anstelle der Kombi Mamutu+F-Prot scheint mir derzeit EAM alone als die bessere Wahl.

Hallo SLE,
genau darauf zielte meine Frage ab. Zwar habe ich mich mittlerweile für Emsi entschieden, schaue mich jedoch immer noch nach eine performen Alternative um. Aber so wie ich das bis jetzt sehe, gibt es wohl nicht viel Auswahl.

Der Beitrag wurde von letsgo bearbeitet: 15.04.2012, 10:52

[Xeon]

Zwar habe ich mich mittlerweile für Emsi entschieden, schaue mich jedoch immer noch nach eine performen Alternative um.

Emsi in aktueller Version läuft doch rasend schnell, was passt dir den da nicht ?

[letsgo]

Emsi in aktueller Version läuft doch rasend schnell, was passt dir den da nicht ?

Das weiß ich doch. Ist ja auch alles in bester Ordnung. Ich werde mich doch aber wohl mal umhören dürfen...


Aber gut, ich frage demnächst woanders. Versprochen.

Der Beitrag wurde von letsgo bearbeitet: 15.04.2012, 13:31

[Xeon]

Das weiß ich doch. Ist ja auch alles in bester Ordnung. Ich werde mich doch aber wohl mal umhören dürfen...


Aber gut, ich frage demnächst woanders. Versprochen.

[Steinlaus]

Habe auch gerade wieder F-Prot an Board

[letsgo]

Das hat doch die mit Abstand beste Verhaltensüberwachung stimmt's Ganz im Gegensatz zu F-PROT

[Ricard_ISL]

Da wird so schnell nichts Neues kommen.

Richtig. Die Gründe dafür hast du größtenteils benannt - jedoch gibt es auch noch weitere.

Viele F-Prot Nutzer - so auch ich - haben das Programm genau wegen dieser Simplizität ausgewählt. Es verzichtet auf die vielen "Gimmicks" der Branche (wie z.B. Browser/Mail-Plugins, Http-Scanner, Cloud/Reputation, Linkscanner etc.) und läuft daher unauffällig, performant und robust. Das ist angenehm und ermöglicht zu jederzeit eine optimale Nutzung des PCs. Bei neuen Versionen braucht niemand zu fürchten, dass es größere Probleme gibt. Bis auf einen aktiven Rootkit-Scanner hat es eigentlich alles, was man braucht. Auch hierzu habe ich mit FRISK ein paar Diskussionen geführt: https://forum.f-prot.com/index.php/topic,2486.0.html
Anscheinend steht das Thema nach wie vor auf der internen Wunschliste, doch eine Umsetzung wird - wenn sie denn überhaupt realisiert werden kann - wohl noch einige Zeit auf sich warten lassen.

Aufgrund dieser Einfachheit lässt es sich gut mit anderen Programmen kombinieren. Wie ich an anderer Stelle schon beschrieben habe, macht die alleinige Nutzung aufgrund der Komplexität von Bedrohungen keinen Sinn. Sandboxie und Windows Defender als Ergänzung reichen hierbei völlig aus.

Ich bin viel im Netz unterwegs und teste F-Prot seit Jahren regelmäßig gegen aktuelle Malware, die ich dort auftreiben kann. Da sind bis dato eine Menge an Tests zusammen gekommen. Natürlich rutscht hin und wieder etwas durch, aber ich teile nicht die Überzeugung, dass das AV nicht (mehr) mithalten kann. Bei aktuellen und verbreiteten Bedrohungen wird und wurde schnell reagiert oder existiert(e) bereits eine heuristische Erkennung - so auch z.B. bei Stuxnet, Conficker, Alureon, TDL etc.

Im Gegensatz zu euch habe ich wesentlich schlechtere Erfahrungen mit Dr. Web AV gemacht, was die Willkürlichkeit solcher Selbsttest nur noch weiter verdeutlicht.

[Kenshiro]

Im Gegensatz zu euch habe ich wesentlich schlechtere Erfahrungen mit Dr. Web AV gemacht

Kannst Du bitte konkretisieren?

[letsgo]

Bis auf einen aktiven Rootkit-Scanner hat es eigentlich alles, was man braucht.

Und da kommt dann wieder Mamutu ins Spiel

[SLE]

Und da kommt dann wieder Mamutu ins Spiel

Seit wann entdeckt das aktive Rootkits?

[letsgo]

ups, da habe ich wohl etwas falsch verstanden.

[Ricard_ISL]

Kannst Du bitte konkretisieren?

Ich möchte darauf nicht näher eingehen. Nicht, weil ich es nicht begründen kann, sondern weil der zweite Teil meines Satzes viel wichtiger ist.

Die Auswahl seines individuellen Sicherheitskonzeptes läuft immer auf einen hypothetischen Tag X hinaus. Den Tag X, an dem die eigene IT-Sicherheit durch die unwissentliche Installation einer schädlichen Datei gefährdet wird. Welches Konzept an diesem Tag greift, weiß keiner von uns. Statistisch könnte es ein AV-Programm sein, welches bis dahin in allen Tests eine Erkennungsrate von 3 % aufweist. Höchstwahrscheinlich aber ist es der Nutzer selbst, der die alleinige Entscheidung trifft. Das kann im positiven oder im negativen Sinne ausgehen, wie z.B. ein "Wegklicken" eines Warnfensters des präferierten Verhaltensblockers sein, weil da oben Adobe_Update steht. Kann, muss aber nicht. Wir alle wissen es nicht. Jedem von uns können Fehler passieren, auch wenn wir uns gut mit Dingen auskennen.

Ich habe mich - und dass ist eine rein persönliche Entscheidung - schon lange von diesem "Wahn" verabschiedet, mit sämtlichen Zusatzmodulen und vermeintlich neuen Technologien meine PC-Nutzung einzuschränken und durch Klicks und Interaktionen mir das virtuelle Leben schwieriger zu machen, als es ist. Das heißt aber nicht, dass ich dadurch automatisch "hinterwäldlerisch" denken muss. Mir ist es wichtig ein AV-Programm einzusetzen, das unauffällig und unkompliziert seine gute Arbeit verrichtet. F-Prot tut dieses, auch gegen aktuelle Bedrohungen. Windows Defender tut dieses und Sandboxie läuft ebenfalls problemlos und bietet ein hohes Schutzlevel, wenn man sich damit ein wenig ausführlicher auseinandersetzt.

[SLE]

Statistisch könnte es ein AV-Programm sein, welches bis dahin in allen Tests eine Erkennungsrate von 3 % aufweist. ...

Richtig, strenggenommen sind es unabhängige Ereignisse und da ist jegliche jemals getestete/erreichte Signaturerkennung hinfällig. Von daher: Zustimmung
Die Konsequenz wäre aber komplett auf möglichst proaktive Mechanismen (HIPS/BB) aufzubauen und das Generve & den Entscheidungszwang (9x+% der Meldungen sind belanglos) in Kauf zu nehmen und/oder Isolierungen/Virtualisierungen ala Sandboxie zu nutzen.

Das AV ist aber in dieser Logik das, worauf man am ehesten verzichten kann. Man kann es jedoch optional nutzen.
Nachteil: Systemverzögerungen (egal welches AV).
Vorteil: Wenn das Ding etwas erkennt, erspare ich mir die manuelle Evaluation.

Gut - genug OT.

F-Prot tut dieses, auch gegen aktuelle Bedrohungen.

Hier bin ich unsicher, in den ITW-Tests (VB100) wo man noch teilnimmt ist es ok.
Bei Selbsttests mit aktueller und tatsächlich verbreiteter Malware (Bsp.: neue ZeroAccess Dropper) ist es meiner Erfahrung nach (nur VTT Prüfung) derzeit oft erst enorm verzögert dabei.
Bsp.1: 4 Tage her - Jetzt
Bsp.2: Jetzt.

Es sind nur 2 Beispiele (statistisch ohne jegliche Bedeutung).
Aber: Beide sind itw, werden über Webseiten verbreitet und beide tauchten vor fast 5 Tagen erstmals bei VTT auf. Und die Samples bekommen alle Teilnehmer. Von daher: FRISK hatte jetzt fast 5 Tage Zeit zur Analyse... (elende Ressourcenknappheit )
Kombiniert mit der mangelnden Möglichkeit aktive Rootkits wenigstens zu erkennen - suboptimal.

[Ricard_ISL]

Die Konsequenz wäre aber komplett auf möglichst proaktive Mechanismen (HIPS/BB) aufzubauen und das Generve & den Entscheidungszwang (9x+% der Meldungen sind belanglos) in Kauf zu nehmen und/oder Isolierungen/Virtualisierungen ala Sandboxie zu nutzen.

Im Prinzip hast du recht. Es wäre eine Herangehensweise, die gut funktionieren könnte. Ich habe solche Programme mehrfach ausprobiert. Das ist einfach nicht meine Auffassung bzw. Vorstellung von der Arbeit am Computer.

Von daher: FRISK hatte jetzt fast 5 Tage Zeit zur Analyse... (elende Ressourcenknappheit )
Kombiniert mit der mangelnden Möglichkeit aktive Rootkits wenigstens zu erkennen - suboptimal.

Ich habe keine Erfahrung mit der Reaktionszeit bei der Einpflegung von Samples von VT, da ich meine immer direkt an F-Prot schicke. Dort gestaltet es sich unterschiedlich. Manchmal geht es sehr schnell (innerhalb weniger Stunden), manchmal dauert es 2-4 Tage. Soweit ich weiß nutzt FRISK mittlerweile aber auch ein automatisiertes System zur Erstellung von Signaturen. Mindestens 30-40% aller Erkennungen laufen allerdings heuristisch ab.
Die von dir angesprochene Ressourcenknappheit ist jedoch nicht weg zu diskutieren. Die ist Fakt und hat sicherlich auch Einfluss auf o.g. Dinge. Das Unternehmen hatte sicherlich keine einfache Zeit, bringt aber dennoch noch beachtliche Leistungen.

Manchmal ist F-Prot fähig beim nachträglichen Scannen zumindest Teile eines aktiven Rootkits zu erkennen. Bei TDL 2/3 war das beispielsweise der Fall. Ist aber leider nicht die Regel, wie ich schon beschrieben hatte. Ich hoffe, das wird noch kommen.

Der Beitrag wurde von Ricard_ISL bearbeitet: 15.04.2012, 20:50