ThreatFire noch zeitgemäß? Einstellungen

[Gast_uweli1967_*]

Da wir ja hier in einem Security Forum sind würde ich gerne die Wissenden hier fragen: Ist ThreatFire noch zeitgemäß? kann es noch mit anderen BehaviorGuards bzw. HIPS'en mithalten oder versagt es bei was weiß ich von Arten von Malware bei der andere Verhaltenschutz Programme/Module eben nicht versagen?

[Solution-Design]

...oder versagt es bei was weiß ich von Arten von Malware bei der andere Verhaltenschutz Programme/Module eben nicht versagen?

Mach dir ein Bild http://www.kernelmode.info/forum/viewtopic...?f=11&t=586

[Gast_uweli1967_*]

Und das heisst jetzt für mich der bestimmt kein PC/Security Fachmann ist das ThreatFire schlecht programmiert sei bzw Solution-Design kannst du mir das mal so "übersetzen" bzw. erklären das ich es auch verstehe was in dem anderen Forum geschrieben wurde?

[Solution-Design]

Meine Antwort lautet http://www.emsisoft.de/de/order/mamutu/

[Gast_metabolit_*]

Immer diese teuren Tips

Mamutu = 12,99 Euro

https://www.cleverbridge.com/421/?cart=7183...cfg=brothersoft

[Gast_uweli1967_*]

Davon hätte ich ja auch noch eine Lizenz hier Aber eines verstehe ich ja doch nicht: vor ein paar Wochen gab es die Sache mit dem Fake Antivirus das sich auch täglich änderte. Warum wurde das beim Ausführenversuch nicht von Avast mit VS, nicht von AVG mit IDP, nicht vom AntiLogger und auch nicht von Comodo Defense+ erkannt? aber von ThreatFire wurde es erkannt. Wenn doch TF so schlecht sei, warum "versagten" dann die anderen Programme/Module bei dem Fake

Der Beitrag wurde von uweli1967 bearbeitet: 20.09.2011, 20:45

[SLE]

Wenn doch TF so schlecht sei, warum "versagten" dann die anderen Programme/Module bei dem Fake

Erstmal war es nur ein Beispiel. Das findest du für jede Lösung. Zweitens war das damalige Ding nicht schädlich - eine Verarschungssoftware ok, mehr nicht.

Zum von @SD verlinkten - das hatte ich dir hier irgendwo (Threatfire-Thread) schon mal auf deutsch erklärt. Schlecht programmiert, leicht aushebelbar, nicht patchbar. Vom technischen Punkt also nicht zu empfehlen. Das derzeit noch wenig Malwareautoren von der leichten Möglichkeit dieses Ding auszuknipsen ist aber auch eine Tatsache.

Vom anderen: Bei Threatfire ist es immer etwas undurchsichtig, mal scheint es so als steht die Entwicklung, dann kommt wieder ein Update etc. Transparent ist das nicht. Da ist man bei Mamutu schneller beim Weiterentwickeln und anpassen.

Realitätsbezug (aktuelle Malware) und ggf. Vergleich zu anderen Verhaltensblockern: Kenne ich keine aktuellen Tests.

[Gast_uweli1967_*]

Vom anderen: Bei Threatfire ist es immer etwas undurchsichtig, mal scheint es so als steht die Entwicklung, dann kommt wieder ein Update etc. Transparent ist das nicht.

SLE, ich schätze da mischt auch Symantec mit die ja PC Tools aufgekauft haben. Davor gab es öfters neue Versionen auch von TF und der PCT Firewall. Schade eigentlich dass sich das so entwickelt hat. Blöd finde ich auch wenn sich jemand ThreatFire runterladen will, bekommt er auf der offiziellen ThreatFire Seite und bei Portalen wie Chip, CB Computerbase usw. nicht die neueste Version von ThreatFire sondern nur die Version 4.7.0.17 wie man bspw. hier: http://download.cnet.com/ThreatFire-AntiVi...&tag=button sehen kann. Die "neueste" Version 4.7.0.53 jedoch findet man nur hier: http://www.pctools.com/forum/showthread.ph...8348#post238348

[Voyager]

Ist halt so im Kapitalismus , die Konkurenz wird aufgekauft um sie zu beerdigen

[Gast_uweli1967_*]

Ja leider Voyager, aber ganz beerdigen tut ja Symantec PC Tools und TF sowie die PCT FW nicht, beide(TF und FW) leben ja noch ich frag mich, warum Symantec TF und die PCT FW nicht komplett eingestampft hat
Was mich aber wirklich interessieren würde: ist TF in der Lage aktuelle Malware wie diverse Rootkits, Zeus Trojaner und wie die alle heissen zu erkennen und zu stoppen? und bei welchen dieser "Viecher" würde TF versagen wo zum Beispiel Mamutu oder Norton usw. nicht versagen?

Der Beitrag wurde von uweli1967 bearbeitet: 20.09.2011, 22:42

[fenriz]

Ich sage, installiert euch Kaspersky Internet Security 2012 und ihr seit aller Sorgen ledig.

[flachbrot]

Ich sage, installiert euch Kaspersky Internet Security 2012 und ihr seit aller Sorgen ledig.

Wooow...der Beitrag war so hilfreich und gehaltvoll wie ne Milchschnitte.

[fenriz]

@flachbrot probiere es aus und wirst sehen es ist besser als Milchschschnitte

[Gast_uweli1967_*]

Meine Antwort lautet http://www.emsisoft.de/de/order/mamutu/

Dein Wunsch sei mir Befehl

Der Beitrag wurde von uweli1967 bearbeitet: 21.09.2011, 14:55

[SLE]

Was mich aber wirklich interessieren würde: ist TF in der Lage aktuelle Malware wie diverse Rootkits, Zeus Trojaner und wie die alle heissen zu erkennen und zu stoppen? und bei welchen dieser "Viecher" würde TF versagen wo zum Beispiel Mamutu oder Norton usw. nicht versagen?

Schnelltest: Threatfire und Mamutu im Vergleich gegen ausgewählte Schadsoftware.
Norton habe ich nicht mitgetestet, da es hier schwer bis unmöglich ist SONAR allein als BB zu testen, zum zweiten ist der Einsatz so nicht vorgesehen.
__
Testumgebung:
- VM (Vbox) Win7x86-SP1 aktuell.
- Getestete Software die einzige installierte Securitysoftware. Zurücksetzen der VM nach jedem Einzeltest.

Produkte und Einstellungen:
- Threatfire (v4-7-053): Standardeinstellungen (Level 3), bei einem Fail wurde der Test nochmal mit Level 5 wiederholt, um zu sehen ob sich hier ein anderes Ergebnis zeigt.
- Mamutu (v3-0-019): Paranoid-Modus aktiviert. Da automatische blocken/erlauben gemäß der Communityentscheidungen deaktiviert.

Da natürlich wenige getestete Samples nie einen Gesamtüberblick über die Schutzwirkung eines Produktes erlauben, und man sich deshalb immer die Relevanzfrage stellen muss, wurde sich auf recht aktuelle, nachweislich gefährliche und verbreitete Samples konzentriert.
__
Ergebnisse:
(1) Rootkit-TDL4. VTT | TE

Threatfire: Erkennt immerhin, dass sich der Dropper mehrfach kopieren will. Weitere Verhaltensweisen des Rootkits nicht erkannt.

Mamutu: Warnungen vor rootkitähnlichem Verhalten & vor direktem Festplattenzugriff (MBR).


(2) Rootkit-ZeroAccess. VTT | TE

Threatfire: keinerlei Meldung.
*Will ich bei Gelegenheit nochmal auf einem realen System prüfen...

Mamutu: Erkennt die Manipulation aktiver Prozesse.

*Man beachte: Community-Empfehlungen sind nicht immer sinnvoll...

(3) Trojaner-SpyEye. VTT | TE

Threatfire: Prozessmanipulation erkannt.

Mamutu: Prozessmanipulation erkannt.


(4) Ransom-WinLock VTT | TE

Threatfire: Erkennt (je nachdem wieviel man erlaubt :-) ) die Prozessmanipulation, das kopieren an mehrere Orte sowie das Eintragen in den Autostart.

Mamutu: Prozessmanipulation erkannt.


Fazit:
Mamutu erkannte im Schnelltest mehr, Threatfire war oft detaillierter und schlägt sich auch beachtlich. Dies soll und kann natürlich nicht über technische Unzulänglichkeiten der Programmierung (s.o.) hinwegtäuschen. Ob jeder Nutzer mit den Medlungen beider Programme zurechtkommen und die richtigen Entscheidungen treffen würde ist auch ein anderes Thema.

Der Beitrag wurde von SLE bearbeitet: 21.09.2011, 15:12

[Paul12]

... Ist ThreatFire noch zeitgemäß? ...

Nicht mehr zeitgemäß trifft es schon.Was kann ThreatFire was die heutigen Virenscanner nicht auch können.So gar wer Freeware wie Avast oder AVG nutzt,benötigt dieses Programm nicht mehr.

[SLE]

Nicht mehr zeitgemäß trifft es schon.Was kann ThreatFire was die heutigen Virenscanner nicht auch können.

Eine ganze Menge: Teste mal proaktiv Avira, Avast etc. gegen die ausgewählten Samples. TF ist Verhaltensschutz noch immer besser als implementierte Lösungen vieler Hersteller.

[Gast_uweli1967_*]

Ich sage jetzt mal eines ganz deutlich und das meine ich auch ehrlich so: Danke für den Schnelltest Sebastian
Also ist ThreatFire gar nicht so schlecht in Sachen Malwareerkennung aber es ist wohl nicht so gut geschrieben/programmiert wie bspw. Mamutu.

Eine ganze Menge: Teste mal proaktiv Avira, Avast etc. gegen die ausgewählten Samples. TF ist Verhaltensschutz noch immer besser als implementierte Lösungen vieler Hersteller.

Das hab ich damals ja auch mit dem harmloseren Fake getestet und zuvot mit dem heftigeren Fake von dem Malwarebytes 800 Infektionen fand und bereinigte. Egal ob Avast VS, AVG mit IDP oder Defense+ oder auch beim zweiten harmloseren Fake AntiLogger, die genannten Schutzmechanismen der Programme mucksten sich nicht als ich die Fakes ausführen wollte. Wohl aber ThreatFire meldete sich bei beiden Fakes und AntiLogger auch beim ersten "schlimmeren" Fake.

[Gast_uweli1967_*]

Eine Frage hätte ich aber noch Sebastian: wäre Mamutu genauso gut gewesen bei deinem Schnelltest wenn du den Paranoid Modus der ja standardmäßig deaktiviert ist, deaktiviert gelassen hättest? Oder hätte ThreatFire besser abschneiden können wenn du bei ThreatFire den Level von 3 auf meinetwegen 5 erhöht hättest? denn ich kann mir vorstellen(weiß es aber nicht)dass ThreatFire in einem höheren Level in etwa so reagieren kann wie Mamutu mit Paranoid Modus. Oder liege ich mit dieser Theorie daneben?

[Paul12]

...TF ist Verhaltensschutz noch immer besser als implementierte Lösungen vieler Hersteller.

Mittelst Test lässt sich immer einiges krumbiegen. Würde aber trotzdem z.B. bei Avast free bzw.AVG free keine Programmteile deaktivieren,damit Threatfire auf dem Rechner keine Probleme
macht. Der Verhaltenschutz dieser Freeware ,besonders von AVG ist ausreichend.