not-a-virus:RiskWare.Tool.Madtol.c, Wie kriege ich das weg? Einstellungen

[Manu]

Outsourcing ... wieso das Rad 10 mal neu erfinden?
-
Ist das bei Ewido nicht ähnlich ?
[right][snapback]90852[/snapback][/right]

Das machen glücklicherweise die meisten Firmen.

[christophs]

Danke sehr, Andreas!

Habe den guard in der taskleiste abgestellt und danach über Programme wieder aktiviert, so dass er wieder in der Taskleiste zu sehen ist.
Gab keine Meldung.
Sollte eine Meldung kommen?

[Gast_Andreas Haak_*]

@Bond, Yopie:

Verkehrte Logik. Wenn es ein Rootkit wäre würde euch ein HiJackThis Log nichts bringen. Wieso? Weil HiJackThis sich auf die Windows API verlässt, die von Rootkits modifiziert wird. Entsprechend würden alle mit dem Rootkit in Verbindung stehenden Einträge nicht angezeigt werden.

[Gast_Andreas Haak_*]

Das machen glücklicherweise die meisten Firmen.
[right][snapback]90854[/snapback][/right]

Da bist Du aber im Irrtum. Defacto ist die ewido Signaturdatenbank auch nicht mit einer selbst entwickelten Komponente gepackt sondern mit zlib. Das verwenden fremder Komponenten ist defacto nichts ungewöhnliches und ich würde behaupten das 99% der Programme defacto auf Komponenten von Dritt-Anbietern zurückgreifen - und wenns die VCL oder MFC is.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:12

[Gast_zipfelklatscher_*]

Hatten wir nicht genau das gesagt ?

Der Beitrag wurde von zipfelklatscher bearbeitet: 29.04.2005, 20:10

[Gast_Andreas Haak_*]

Hatten wir nicht genau das gesagt ? 
[right][snapback]90858[/snapback][/right]

Du ja - Manu nein. Oder ich habe ihn grundsätzlich missverstanden.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:12

[Manu]

Andreas, wer lesen kann, ist klar im Vorteil. Genau das hatte ich gesagt.
Meine Frage an Dich war nur, warum Du diese kritische Komponente verwendest.

Edit: Ja, dann hast Du mich missverstanden. Jeder Programmierer sollte auf fertige Komponenten zurückgreifen - so tue ich's auch.
Und das bezieht sich auf alle von Software, nicht nur auf die sicherheitsbezogene Schiene.

Der Beitrag wurde von Manu bearbeitet: 29.04.2005, 20:14

[Gast_Andreas Haak_*]

Andreas, wer lesen kann, ist klar im Vorteil. Genau das hatte ich gesagt.
Meine Frage an Dich war nur, warum Du diese kritische Komponente verwendest.

Dann sorry, hatte ich falsch verstanden .

Die Verwendung von Drittkomponenten ist letztlich immer kritisch, weil man prinzipiell die Schnittstellen etc. kennt, was z.B. bei ewido dazu genutzt werden kann die komplette AES Verschlüsselung der Datenbank zu umgehen.

Letztlich verwendet man Drittkomponenten ja immer aus dem selben Grund:

Man muss sich mit Trivial-Problemen nicht auseinander setzen und kann sich auf die wirklich wichtigen Dinge konzentrieren, was letztlich eine verbesserte Produktivität zur Folge hat.

Der Beitrag wurde von Andreas Haak bearbeitet: 29.04.2005, 20:19

[Yopie]

@Bond, Yopie:

Verkehrte Logik. Wenn es ein Rootkit wäre würde euch ein HiJackThis Log nichts bringen.

Richtig. Aber wenn es der von KAV erwähnte Backdoor.Win32.Hupigon.f trojan program wäre, dann schon (wenn ich die Erläuterung richtig verstanden hab).

Gut, dann könnte immer noch ein Rootkit zusätzlich installiert sein... Man kann also hier nur mit Wahrscheinlichkeiten argumentieren. Und nach allem, was wir wissen, ist die Wahrscheinlichkeit gering, dass bei christophs Malware aktiv ist.

[Gast_Andreas Haak_*]

Hupigon verwendet die Komponente defacto für Rootkit Mechanismen .

[Manu]

Dann sorry, hatte ich falsch verstanden .

Ich muss mich wohl schlecht ausgedrückt haben. Sorry.

Die Verwendung von Drittkomponenten ist letztlich immer kritisch, weil man prinzipiell die Schnittstellen etc. kennt, was z.B. bei ewido dazu genutzt werden kann die komplette AES Verschlüsselung der Datenbank zu umgehen.

Hmm, dann habe ich aber eine Frage:
- Warum verwendest Du für eine solch essentielle Sache Drittkomponenten? Das ist - so mag ich es fast bezeichnen - ein ziemliches Sicherheitsloch, oder verstehe ich Dich nun falsch?
Wenn hier zwischen den Schnittstellen das Passwort für die Verschlüsselung für ein Drittprodukt (nicht Schnittstelle) offenliegt und dieses dadurch die Datenbank ändern könnte, läuft doch was schief.
Oder habe ich Dich nun falsch verstanden?

Letztlich verwendet man Drittkomponenten ja immer aus dem selben Grund:

Man muss sich mit Trivial-Problemen nicht auseinander setzen und kann sich auf die wirklich wichtigen Dinge konzentrieren, was letztlich eine verbesserte Produktivität zur Folge hat.
[right][snapback]90863[/snapback][/right]

Das ist korrekt. Jedoch muss man stark abgrenzen, was ein triviales Problem ist und ob dieses an sich triviale Problem im eigenen Fall nicht speziell, d.h. eigen, behandelt werden sollte.

Der Beitrag wurde von Manu bearbeitet: 29.04.2005, 20:28

[Yopie]

OK, dann hast Du gewonnen.
Um wirklich sicher zu gehen, müsste christophs also sein System sezieren?

[Gast_Andreas Haak_*]

OK, dann hast Du gewonnen.
Um wirklich sicher zu gehen, müsste christophs also sein System sezieren?

Nicht falsch verstehen, aber nein. Wenn er a² laufen hatte nicht. Selbst wenn das Teil gepackt, gecryptet oder rebased gewesen wäre, hätte das IDS es gemeldet (Backdoor Verhalten und Code Injection). Hab grade extra nochmal getestet .

[Yopie]

Na gut. Dann kann ja christophs den Schweiß von den letzten Schweißausbrüchen wieder aufwischen und sich sicher fühlen...

Frei nach dem Motto: Dass Du nicht paranoid bist bedeutet nicht, dass SIE nicht hinter Dir her sind.

[Gast_Andreas Haak_*]

- Warum verwendest Du für eine solch essentielle Sache Drittkomponenten? Das ist - so mag ich es fast bezeichnen - ein ziemliches Sicherheitsloch, oder verstehe ich Dich nun falsch?

Defacto verwendet a² nicht die Original Komponente, sondern eine erweiterte Version um genau solche Lücken zu schliessen.

Wenn hier zwischen den Schnittstellen das Passwort für die Verschlüsselung für ein Drittprodukt (nicht Schnittstelle) offenliegt und dieses dadurch die Datenbank ändern könnte, läuft doch was schief.
Oder habe ich Dich nun falsch verstanden?

Bei Signaturdatenbanken ist es defacto eher unerheblich. Die Signaturen liegen sowieso entpackt und entschlüsselt irgendwo im Prozessspeicher. War nur ein Beispiel für was sowas defacto genutzt werden könnte - nicht nur bei ewido ... gibt noch ein paar andere AV Programme die zlib verwenden.

[christophs]

Frei nach dem Motto: Dass Du nicht paranoid bist bedeutet nicht, dass SIE nicht hinter Dir her sind.
[right][snapback]90871[/snapback][/right]
[/quote]

[Kool_Savas]

@christophs

Benutzt du Norton und KAV nebeneinander.

[Voyager]

scheinbar ja...systemworks ohne AV .
aber für sein 1Ghz rechner doch etwas zuviel und überladen für mein geschmack... *g*

[christophs]

@ KS
Systemworks ohne AV.

[Gast_zipfelklatscher_*]

Wofür den Systemworks auf dem Rechner ?