ESET Smart Security v. 5, Beta online! Einstellungen

[Habakuck]

NOD32 mit Vielklickerhips? Wofür soll das gut sein?

Ups... Mir wäre ein Behaviorblocker wesentlich lieber.

Laut Marcos (Eset) auf Wilders agiert das HIPS im automatik Modus als Behavior Blocker.

Erst im interaktiven Modus schaltet es sich als HIPS- das sollte Eset vielleicht nochmal irgendwo genauer für alle erläutern...

I don't know what rules they are, they were configured by the developers based on the knowledge of malware and the ways it affects the OS. Of course, these rules will be updated automatically as necessary.

http://www.wilderssecurity.com/showthread.php?t=298602

[Alexausmdorf]

Laut Marcos (Eset) auf Wilders agiert das HIPS im automatik Modus als Behavior Blocker.

Erst im interaktiven Modus schaltet es sich als HIPS- das sollte Eset vielleicht nochmal irgendwo genauer für alle erläutern...

http://www.wilderssecurity.com/showthread.php?t=298602

Das wäre schön, aber im Vergleich mit Mamutu meldet es sich im Automatik Modus überhaupt nicht.... Es hat Sandboxie in der Cloud rot markiert, der BB meldet sich jedoch nicht, wenn ich zb Java in eine Sandbox installiere.

Das HIPS ist mehr als spartanisch, um nicht zu sagen gefährlich.
Hier mal ein Vergleich:


Der IE greift also auf den IE zu, nicht mehr Info, dieses Popup kommt 5 Mal hintereinander, mit derselben Info.



Das kommt zum Schluss. Auch nicht bewegend viel Info. IE will auf die explorer.exe zugreifen.
Wenn man das 1. Popup denied, dann schafft man den Test, wenn man das 1. erlaubt und alle 4 weiteren denied, wird Info geleaked.


Nun im Vergleich der OA:


Hier wird zum einen klar gesagt, dass die PCFlank.exe auf den IE zugreifen will. Kommt mir schon komisch vor, wenn es zb eine Datei ist, die das nicht machen sollte. Wenn das jedoch nicht ungewöhnlich ist, dann bekommt man noch ein zweites Popup:


Nun wird mir gesagt, dass die exe den IE mittels OLE kontrollieren will.
Genau die Info, die man haben möchte. Und das nur in 2 Popups. Ich will bitte nicht OA glorifizieren oder ESET runtermachen, aber ich halte das hier für esentiell, um überhaupt mit HIPS zu arbeiten muss ein Mindestmaß an Info ausgegeben werden.

Natürlich darf man nicht vergessen, dass das hier ein HIPS ist, also man sollte schon halbwegs wissen was man tun muss. Das ESET HIPS ist jedoch mit dieser Funktion in meinen Augen derzeit noch nutzlos, wenn nicht gefährlich, da niemand was mit diesen wenigen Infos was anfangen kann und eventuell noch eher als bei anderen HIPSen irgendwas zulässt.

Der Beitrag wurde von Alexausmdorf bearbeitet: 06.05.2011, 08:47

[Habakuck]

Im automatik Modus soll das HIPS nichts melden..

PCFlank habe ich schon gemeldet.

Dass das HIPS noch lange nicht an etablierte Lösungen herranreicht ist ja wohl Sonnen-Klar! Guck dir die entsprechenden Progs mal in ihren Anfängen an..
Und die PC-flank Blockierung wurde von denen auch erst vor nicht all zu langer eingepflegt und ist bei einigen immer noch nicht vorhanden. (Outpost auf x64 zum Bleistift).

Ich finde es prima, dass Eset den Schritt wagt und in die richtige Richtung marschiert. Und ich hatte viel weniger von dem HIPS erwartet als das was ich jetzt sehe...

EDIT: Das mit den wenigen Infos sollte sich hierdurch erklären:

This one is for real Geeks – now you can customize the behavior of the system in greater detail: specify rules for the system registry, active processes and programs, and fine-tune your security posture.

http://www.eset.com/beta/smart-security-5-beta/

Wer damit nicht umgehen kann sollte das Ding einfach auf Default stehen lassen.

Grade die advanced settings für die einzelenen Regeln sind schon extram aufwändig und detailliert gemacht...

Der Beitrag wurde von Habakuck bearbeitet: 06.05.2011, 08:47

[Alexausmdorf]

Deine Euphorie in allen Ehren, aber die Konkurrenz macht ja nun nicht erst seit einem Jahr BB und HIPSe. Und ich verlange auch nicht von einer Beta v1, dass die perfekt ist, aber der größte Geek kann mit den Infos, die da ausgegeben werden, 0 anfangen.
Wenn ESET zumindest ausgeben würde, welcher Prozess gerade auf den IE zugreifen will, würd ichs noch mit zugedrückten Augen verstehen, aber wenn du dir die Screenshots in meinem vorigen Post ansiehst, dann muss ich sagen, 5 Popups ohne Infos sagen alle gleich wenig aus.

Outpost auf x64 schafft den PCFlanktest nicht, aber es gibt dir zumindest die Meldung aus, dass die PCFlank.exe den IE starten will. Man kann von dem Test auch halten, was man will, im Prinzip will ich damit nur zeigen, dass es sich um jedes Programm handeln kann, dass auf den IE zugreift.
Nun, und in diesem Fall gibt mir das HIPS keine Info. Wenn dort blabla stehen würde, wärs dasselbe. Wenn der IE schon offen ist, und diese Meldung kommt, weil im Hintergrund ein Driveby stattfindet, dann weiß der größte Geek der Welt nix damit anzufangen.

@Automatik Modus:
Du meintest im Automatik Modus ist das HIPS ein BB. Wenn dem so ist, dann müsste er ja trotzdem eine Meldung ausgeben, dass ein Installationsprogramm auf die .exe eines in der Cloud als "not trusted" markierten Programmes zugreifen will.
Mamutu ist ein BB und macht das zb.

[Habakuck]

Ich bin weniger Euphorisch über das was ich bisher an HIPS sehe als über das Potential welches ich erkennen kann.

Das du dich immer auf den PC-Flank Leaktest stützen musst ist ein bischen schade denn wie gesagt sind da bis vor wenigen Monaten zum Beispiel KIS durchgefallen, Outpost sowieso und ich meine OA auch. Nur Comodo hat es, wenn ich das in den Tiefen meiner Erinnerung richtig erinner, von Anfang an bestanden.Allerdings ebenfalls mit sehr kryptischen Meldungen.

aber der größte Geek kann mit den Infos, die da ausgegeben werden, 0 anfangen.

In dem PC-Flank Fall stimme ich dir da zu. Ansonsten kann ich persönlich schon recht viel mit den PopUps anfangen und ich zähle mich nicht zu den größten Checkern..

Du meintest im Automatik Modus ist das HIPS ein BB. Wenn dem so ist, dann müsste er ja trotzdem eine Meldung ausgeben, dass ein Installationsprogramm auf die .exe eines in der Cloud als "not trusted" markierten Programmes zugreifen will.
Mamutu ist ein BB und macht das zb.

1. Nicht ich meinte das!
2. Du wiedersprichst dir selbst

ich verlange auch nicht von einer Beta v1, dass die perfekt ist,

Ich würde nicht mal von der Final erwarten dass die "perfekt" (sowas gibt es nicht) ist. Mich würde es freuen wenn Eset innerhalb des nächsten Jahres (vielleicht 5.2 oder so) ein vernünftiges HIPS/BB wie auch immer auf die Beine stellt.
Das wäre eine gute Leistung und eine schöne Sache für alle die gute Systemperformance mit gutem Schutz verbinden wollen.

Der Beitrag wurde von Habakuck bearbeitet: 06.05.2011, 09:29

[Alexausmdorf]

Laut Marcos (Eset) auf Wilders agiert das HIPS im automatik Modus als Behavior Blocker.

Erst im interaktiven Modus schaltet es sich als HIPS- das sollte Eset vielleicht nochmal irgendwo genauer für alle erläutern...

http://www.wilderssecurity.com/showthread.php?t=298602

Gut, nicht du sondern Marcos meinte, dass es im Automatik Mode als BB agiert. Wo ich mir selbst widerspreche, sehe ich nicht.
Ein BB sollte auch meines Erachtens Meldungen ausgeben, wenn etwas der Norm widerspricht. Was Eset im automode nicht macht.

Ich bin weniger Euphorisch über das was ich bisher an HIPS sehe als über das Potential welches ich erkennen kann.

Das du dich immer auf den PC-Flank Leaktest stützen musst ist ein bischen schade denn wie gesagt sind da bis vor wenigen Monaten zum Beispiel KIS durchgefallen, Outpost sowieso und ich meine OA auch. Nur Comodo hat es, wenn ich das in den Tiefen meiner Erinnerung richtig erinner, von Anfang an bestanden.Allerdings ebenfalls mit sehr kryptischen Meldungen.

In dem PC-Flank Fall stimme ich dir da zu. Ansonsten kann ich persönlich schon recht viel mit den PopUps anfangen und ich zähle mich nicht zu den größten Checkern..

In meinem letzten Post sage ich ja klar, dass ich mich eben nicht auf den PCFlank versteifen will. Im Gegenteil.

Jedes Programm, das den IE nutzen will, weist dieselben Infos in den Popups auf. Nämlich die, die auch in den Popups ausgegeben wird.
Wenn ich zb ohne Learning Mode vorher aktiviert zu haben auf den Interaktive Mode wechsle, dann nur auf Windows herunterfahren klicke, dann bekomme ich 7 nichtsaussagende Popups.
Wenn die kryptisch wären, dann wärs auch egal.
Die Meldungen sind aber gerade das nichts, es sind Einzeiler ohne Info.
Woher du da irgendwelche Infos nimmst ist mir ein wenig schleierhaft. Nix für ungut. ;-)
Dass es Potential hat, will ich nicht bestreiten.
Der Rest von der Software gefällt mir auch gut. Nur das HIPS ist eher in nem Alpha Zustand.

Tommy hat übrigens schon gemeint, dass das HIPS noch verbessert wird und noch unausgereift ist.

Der Beitrag wurde von Alexausmdorf bearbeitet: 06.05.2011, 09:57

[Habakuck]

Die Betrachtungsweise was man für ein HIPS haben möchte ist halt auch eine andere...

Bei KIS, OA, Comodo stört mich zum Beispiel, dass man einem Prozess nur allgemein erlauben oder verbieten kann eine Aktion durchzuführen, nicht aber um welchen Child Prozess es geht.
Das ist natürlich einfacher, man kann dann schönere Erklärungen dazu schreiben und so weiter aber ich suche schon längern ein feines HIPS so wie die mal geboren wurden.. (mit dein ein oder anderen kryptischen Meldungen dazwischen.. ) anders gehts halt nicht.

Warten wir mal ab was die da noch reißen können....

[SLE]

ESET hatte/hat bisher immer die besten Beta Produkte von allen Herstellern !

Und? Kommt es darauf an? Betas sollen, dürfen und müssen crashen...

Grade die advanced settings für die einzelenen Regeln sind schon extram aufwändig und detailliert gemacht...

Derzeit keine Lust das Ding zu testen, aber jetzt mal genauer:
Kann ich z.B. im Popup bei den advanced Options "target" den Pfad anpassen? Was genau ist "extrem...und detailliert"? Gibt es sowas wie Berechtigungsgruppen etc.? Gebt doch mal ein paar Details zu dem HIPS....

[Alexausmdorf]

Und? Kommt es darauf an? Betas sollen, dürfen und müssen crashen...


Derzeit keine Lust das Ding zu testen, aber jetzt mal genauer:
Kann ich z.B. im Popup bei den advanced Options "target" den Pfad anpassen? Was genau ist "extrem...und detailliert"? Gibt es sowas wie Berechtigungsgruppen etc.? Gebt doch mal ein paar Details zu dem HIPS....

Was du in meinem 1. Screenshot siehst ist alles, was man in den Popups auswählen kann.

[SLE]

Gut, nicht du sondern Marcos meinte, dass es im Automatik Mode als BB agiert. Wo ich mir selbst widerspreche, sehe ich nicht. Ein BB sollte auch meines Erachtens Meldungen ausgeben, wenn etwas der Norm widerspricht. Was Eset im automode nicht macht.

Hier ist es doch einfach immer eine Definitionsfrage und ESET ist das schon immer etwa eigen, ne
Wenn man es ganz allgemein sieht: Es werden bestimmte Systemvorgänge erfasst und kontrolliert. Wie, welche und wie tief da unterscheiden sich die einzelnen Lösungen. Das klassische HIPS sollte die nun brav alle melden..."Benutzer - mach mal". So eine Lösung ist natürlich nicht für die Allgemeinheit geeignet, also versucht man für massentaugliche Lösungen die Meldungen zu reduzieren. Eine Verhaltensblocker hat dann z.B. meist ein Regelset über Verhaltensweisen, die supsekt sind - und meldet diese entweder, oder blockt sie still. Und wenn ESET im Automode selbst entscheidet - so what? Das erwartet man doch - und ob sie es dann AutoHips oder BB nennen ist erstmal egal.

Die Meldungen sind aber gerade das nichts, es sind Einzeiler ohne Info.

Jein. "Create Process", Ursprung und Ziel...Reicht doch als Basisinfo. Man könnte einen Satz draus bauen "Programm x möchte Programm z starten..." die Info bleibt diesselbe.

Edit:

Was du in meinem 1. Screenshot siehst ist alles, was man in den Popups auswählen kann.

Bei Target siehst du ja die Pfadangabe. Kann ich da z.B. reinklicken und was ändern, z.B. Datei- Ordnerwildcards oder irgendwas anlegen?

Der Beitrag wurde von SebastianLE bearbeitet: 06.05.2011, 10:21

[Alexausmdorf]

Ja. Ich sehe das mit dem "BB" ja ein. Und das ESET entscheidet. Aber was ist suspekter als ne Installation in eine Sandbox, bei der gleich mehrere Sandboxie Prozesse von Installer beansprucht werden, was eigentlich nicht dem allgemeinen Verhalten eines Installers entspricht.
Dass Sandboxie Prozesse in der Cloud zudem noch als rot markiert werden, wurde von Tommy auf CG schon erklärt, die Cloud arbeitet noch nicht perfekt mit den anderen Teilen zusammen.


Wenn da in einem der 5 popups steht: "Prozess PCFlank.exe will auf IE.exe zugreifen, wie oben von mir erwähnt, würde ich das nicht kritisieren. Das ist einleuchtend.
Das ist nicht der Fall.
Es kommen nur die Meldungen, die oben stehen: Application: IE.exe
Target: IE.exe

Daraus kann man also gar nix ableiten. Die Exe des jeweiligen Programmes, das wirklich den Zugriff auf den IE macht, wird in keinem Popup erwähnt.

Ich mach dir gleich ein paar Screens, einen Moment.

Der Beitrag wurde von Alexausmdorf bearbeitet: 06.05.2011, 10:26

[SLE]

Wenn da in einem der 5 popups steht: "Prozess PCFlank.exe will auf IE.exe zugreifen, wie oben von mir erwähnt, würde ich das nicht kritisieren. Das ist einleuchtend.

Mhm, nach meinem Verständnis und den Screenshots die du bisher gepostet hast ist es aber etwas anderes:
Die "Kontrolle" des IE durch den PCFlank Test mittels OLE Objekt ist ein ganz anderes Verhalten als die create process Geschichte die Eset meldet. Wie sollte da ein vergleichbares Popup kommen? Ich vermute dann eher, dass ESET das entsprechende Verhalten nicht erfasst.

Wenn du etwas mit Leaktests spielen willst: Nimm mal die CLT und schaue dir die Popups an und was ESET überhaupt meldet - für einen groben Überblick ganz gut. Wenn du dich etwas auskennst kannst du auch mal die Matousec Tests runterladen und experimentieren.

Der Beitrag wurde von SebastianLE bearbeitet: 06.05.2011, 10:36

[Julian]

Bei KIS, OA, Comodo stört mich zum Beispiel, dass man einem Prozess nur allgemein erlauben oder verbieten kann eine Aktion durchzuführen, nicht aber um welchen Child Prozess es geht.

Das stimmt nur bei KIS, bei OA (im Expertenmodus) und Comodo ist das möglich.

Wenn du etwas mit Leaktests spielen willst: Nimm mal die CLT und schaue dir die Popups an und was ESET überhaupt meldet

Auf x64 scheint das fast gar nichts zu sein.

[Alexausmdorf]

Bei Target siehst du ja die Pfadangabe. Kann ich da z.B. reinklicken und was ändern, z.B. Datei- Ordnerwildcards oder irgendwas anlegen?

Man kann nur zwischen 3 fixen Pfadoptionen auswählen, selbst editieren kann man nicht.

Hier die HIPS Optionen:


Hier das Rules Übersichtfenster:


Hier die Rulesedit:


Es kann gut sein, dass er die OLE nicht als solchen erkennt, aber irgendwas scheint er zu erkennen, denn die 5 Popups kommen, wenn ich im Test einmal auf weiter klicke. Vorher nicht.

Und hier das Cloud based Prozesstool:


Der Beitrag wurde von Alexausmdorf bearbeitet: 06.05.2011, 10:59

[Julian]

Es kann gut sein, dass er die OLE nicht als solchen erkennt, aber irgendwas scheint er zu erkennen, denn die 5 Popups kommen, wenn ich im Test einmal auf weiter klicke. Vorher nicht.

Es erkennt nur einige Vorgänge vom IE, die der Zugriff auf die OLE-Schnittstelle auslöst.
Wenn es wie bei jedem vernünftigen HIPS eine Whitelist geben und der IE da drin stehen würde, würde natürlich gar nichts kommen.
Fail.
Allerdings würd ich den PCFlank-Test nicht überbewerten...

[Alexausmdorf]

CLT Test:
240/340 Punkte.
Anzumerken ist, dass ich jedes Popup denied hab, unabhängig von der Meldung, da ich aufgrund der spärlichen Informationen, die in den Popups derzeit noch vorherschen nicht sagen kann ob ich einen Vorgang als gut oder böse bewerten würde.



Im Anhang noch eine Zip mit Screenshots der Popups.
Wollte die hier nicht alle auf nen Hoster laden.

Es erkennt nur einige Vorgänge vom IE, die der Zugriff auf die OLE-Schnittstelle auslöst.
Wenn es wie bei jedem vernünftigen HIPS eine Whitelist geben und der IE da drin stehen würde, würde natürlich gar nichts kommen.
Fail.
Allerdings würd ich den PCFlank-Test nicht überbewerten...

Also so harsch als Fail würde ich das auch nicht bewerten, ich hab leider nur x64 zum Testen, daher kann gut sein, dass er den OLE als solchen auf 32Bit erkennt. Ist ja bei Outpost auch nicht anderns. Vielleicht hat jemand Lust, zu Testen? PCFlank ist für mich kein Leaktest in dem Sinn, einige Pflegen in ja auch in ihre Blacklist ein.
Aber ich finde es ist ein einfacher Weg, um zu sehen, wie das jeweilige HIPS / BB bei Zugriff auf den IE generell agiert.

Der Beitrag wurde von Alexausmdorf bearbeitet: 06.05.2011, 11:19

Angehängte Datei(en)

 screenshots.zip ( 108.06KB ) Anzahl der Downloads: 3

 

[Julian]

Also so harsch als Fail würde ich das auch nicht bewerten, ich hab leider nur x64 zum Testen, daher kann gut sein, dass er den OLE als solchen auf 32Bit erkennt. Ist ja bei Outpost auch nicht anderns.

Was ist daran harsch?
Leaktest nicht geblockt = fail. Du hast ja selbst geschrieben, dass der User mit den Pop Ups nichts anfangen kann, denn sie sagen gar nichts aus. Schon gar nicht, dass ein Programm sich eventuell heimlich Internet-Zugriff verschaffen will.

Vielleicht hat jemand Lust, zu Testen? PCFlank ist für mich kein Leaktest in dem Sinn, einige Pflegen in ja auch in ihre Blacklist ein.

Hä? Was soll es denn sonst sein, wenn es kein Leaktest ist?
Dass Leaktests bei AVs auf Blacklists landen, ist auch nichts Ungewöhnliches.

Aber ich finde es ist ein einfacher Weg, um zu sehen, wie das jeweilige HIPS / BB bei Zugriff auf den IE generell agiert.

Was ist denn ein "Zugriff"?
Bei diesem Test wird eine bestimmte OLE-Schnittselle genutzt, mehr nicht. Es gibt noch andere solche Schnittstellen, Code-Injection, Parameter-Launch...
Entweder, ein HIPS blockt diese Zugriffe, oder es versagt (ja, harsch...) halt in so einem Fall. Muss ja auch nicht unbedingt weiter schlimm sein.

CLT auf x64 ist so ne Sache, weil er zu dem OS nicht kompatibel ist. Wenn ich mir das Ergebnis so ansehe, hat Eset außer Prozessstarts quasi gar nichts geblockt, das Ergebnis ist also seeehr schlecht.

Der Beitrag wurde von Julian bearbeitet: 06.05.2011, 11:37

[Alexausmdorf]

Was ist daran harsch?
Leaktest nicht geblockt = fail. Du hast ja selbst geschrieben, dass der User mit den Pop Ups nichts anfangen kann, denn sie sagen gar nichts aus. Schon gar nicht, dass ein Programm sich eventuell heimlich Internet-Zugriff verschaffen will.

Jo, insofern ist es ein Fail. Ich meinte, du betrachtest das gesamte Produkt als Fail, was ich dann nicht "fair" fände, denn ich kenne nur OA, welcher den PCFlank auch auf x64 erkennt.

Hä? Was soll es denn sonst sein, wenn es kein Leaktest ist?
Dass Leaktests bei AVs auf Blacklists landen, ist auch nichts Ungewöhnliches.

Du meintest man soll den PCFlanktest nicht überbewerten, das wollte ich damit sagen. Outpost gibt mir auch auf x64 aus, dass pcflank.exe auf IE.exe zugreifen will, wenn ich pcflank.exe starte, sofern ich mich richtig erinnere. Nur laut Testanleitung zählen nur Popups ab den Zeitpunkt, wo man was eingibt und auf "Weiter" klickt. Und da bleibt Outpost auch still.

Was ist denn ein "Zugriff"?
Bei diesem Test wird eine bestimmte OLE-Schnittselle genutzt, mehr nicht. Es gibt noch andere solche Schnittstellen, Code-Injection, Parameter-Launch...
Entweder, ein HIPS blockt diese Zugriffe, oder es versagt (ja, harsch...) halt in so einem Fall. Muss ja auch nicht unbedingt weiter schlimm sein.

Wie oben schon erwähnt, Outpost teilt mir wenigstens den Zugriff auf den IE mit. Ich könnte auch aus Skype oder Steam den IE aufrufen lassen, würd aufs selbe kommen. Beim eigentlichen Leaktest versagen aber wie gesagt alle, die ich kenne auf x64 mit Ausnahme von OA.

CLT auf x64 ist so ne Sache, weil er zu dem OS nicht kompatibel ist. Wenn ich mir das Ergebnis so ansehe, hat Eset außer Prozessstarts quasi gar nichts geblockt, das Ergebnis ist also seeehr schlecht.

Sorry, das wußte ich nicht und es steht leider auch nicht auf der Seite von Comodo. Hab diesen Test noch nie durchgeführt, da ich es generell ein wenig komisch finde, wenn ein Antimalwarehersteller einen Leaktest rausgibt, ist ein bisschen wie die von Mozilla oder Google herausgegebenen Browser Speed Tests.
Aber Sebastian wollte gerne die Ergebnisse.

[SLE]

Aber Sebastian wollte gerne die Ergebnisse.

Nö - war ein Testvorschlag für dich, damit es mit PCFlank nicht zu einseitig wird.

So, Neugier war doch zu groß und ich hab es in der Mittagspause mal in eine VM gepackt.
Erster Eindruck: Naja - Durchschnitt. Ich denke/hoffe sie werden sicher noch sowas wie eine Whitelist einbauen - ist ja noch Beta. Aber auch die Standardregelvorgaben sind bescheiden und riskant. Wenn man nicht aufpasst (Also nicht die advanced settings ausklappt um den Zielprozess einzuschränken) wird auch einfach eine "alles erlauben" Regeln erstellt (Bsp.: create service...). Zusammen mit einer nicht wirklich vorhandenen Beschränkungsvererbung ist dann Habakucks neues super-duper Hips schnell enorm eingeschränkt Noch lustiger wird es wenn man gleichzeitig den Startprozess abwählt (Sowas überhaupt anzubieten...)

In der 7x86 VM versagt das HIPS im CLT hier derzeit nur bei RawDisk, FileDrop, KnownDlls und BITS.

Der Beitrag wurde von SebastianLE bearbeitet: 06.05.2011, 12:16

[Julian]

Jo, insofern ist es ein Fail. Ich meinte, du betrachtest das gesamte Produkt als Fail, was ich dann nicht "fair" fände, denn ich kenne nur OA, welcher den PCFlank auch auf x64 erkennt.

Ich bezog mich nur auf das Leaktest-Resultat.
Übrigens blockt Comodo auch auf x64 den PCFlank-Test. Ob OA und Comodo das auf x64 genau so sicher machen wie auf x32, sei mal dahingestellt.

Du meintest man soll den PCFlanktest nicht überbewerten, das wollte ich damit sagen.

Genau. Es gibt sicherlich Malware, die darüber auch auf x64 sich den IE zunutze macht, aber der Schaden ist vermutlich gering.

Outpost gibt mir auch auf x64 aus, dass pcflank.exe auf IE.exe zugreifen will, wenn ich pcflank.exe starte, sofern ich mich richtig erinnere.

Der Leaktest bietet an, den IE zu starten, das merkt dann natürlich jedes HIPS (auch Eset). Man kann ihn aber auch selber starten, dann gibts von Outpost kein Pop Up.

Sorry, das wußte ich nicht und es steht leider auch nicht auf der Seite von Comodo. Hab diesen Test noch nie durchgeführt, da ich es generell ein wenig komisch finde, wenn ein Antimalwarehersteller einen Leaktest rausgibt, ist ein bisschen wie die von Mozilla oder Google herausgegebenen Browser Speed Tests.

Die Tests sind an sich gar nicht mal so schlecht, allerdings teilweise fehlerhaft und zu x64 halt großteils inkompatibel.
Im XP SP3-Kompatibilitätsmodus starten, lässt einige Tests wieder funktionieren.
Teilweise muss man auch einige Sachen mit dem HIPS zulassen. Etwa bei OLE- und DDE-Tests, dass der Test den IE starten kann, erst dann kommt nämlich, genau wie bei PCFlank, der eigentliche Test.