Hat schon jemand das a-squared IDS getestet? Einstellungen

[Heike]

So wie Du das bisher gestaltet hast ist es einfach unseriös. Was glaubst Du würde man von A.Marx oder A. Clementi halten würden Sie bei Ihren Tests der verschiedenen AV's so vorgehen?

piet

siehe auch PM
[right][snapback]95662[/snapback][/right]

Das hört sich ja nett an.
Es gibt Leute, die mit so etwas ihr Geld verdienen, andere machen es in der Freizeit und einfach aus Spass. Den wenigen, die daran Spass haben, kann man ihn dann so auch noch gründlich verderben.
Warum der Test so und nicht anders verlaufen ist, ist doch beschrieben! Deshalb SHAKAL ein unseriös Verhalten vorzuwerfen, spottet jeder Beschreibung.

Das RSB soll doch wohl nicht als Forum gelten in dem Tests ohne Wert aufgestellt werden?

Piet, dann lege doch bitte mal los! Zeige mal allen, was wirklich in Dir steckt. Vielleicht halten Dich ja einige nach Deine Äußerungen nur für einen besserwischerischen Nörgler. Die wirst Du mit Leichtigkeit vom Gegenteil überzeugen können.

Have fun

[Gast_piet_*]

Heike...was möchtest Du denn sehen? "Screenshots" von diversen AV-Programmen wo zwei gut abschneiden und zwei eher schlecht. Du bist lange genug dabei, ist das Dein Ernst? Man kann jedes AV-Programm schlecht aussehen lassen wenn man das will.

Ich ärgere mich jetzt schon auf Deine Provokation eingegangen zu sein.

Aber für Dich mach ich mal eine Ausnahme.

Das zögern von Shakal spricht leider objektiv gesehen nicht für Ihn.

Have Fun too
piet

[Voyager]

ich wüsste nicht was das zögern damit was zu tun haben könnte , wenn man in seinen screenshots klar sehen kann, das dieser antimalwarescanner blindlings über die backdoors drüberrennt.

[Gast_piet_*]

Das erkläre ich Dir gerne. Im zweiten Screenshot im Post http://www.rokop-security.de/index.php?sho...indpost&p=95460 ist als erste Malware Backdoor.Win32.Nethief.n zu sehen.

Unter http://www.emsisoft.de/de/support/malware/...wmalware=trojan in der Malwaredatenbank von Emsisoft ist Dieser Backdoor allerdings aufgeführt.

Das lässt sich weiterführen mit Backdoor.Win.32.Nuclear.d, Backdoor.Win32.Optix.Pro.13 etc.. Ich hoffe es wird Dir nun etwas klarer. Viel Spass beim vergleichen.

piet

[Voyager]

gut...gehen wir mal davon aus das je in dem objekt-ordner der namentlich korrekte schädling drinn war, dann liegt eventuell die möglichkeit nahe das dieses schad-programm mit einem exe-packer mehrmals eingepackt wurde , sowas macht doch eigentlich fast jeder malwareschreiber und a2 kann den nicht entpacken ?!

[Gast_piet_*]

Das bleibt so lange Spekulation bis ein vernünftiges Logfile nachgereicht wird bzw. die Dateien bei Emsisoft eingegangen sind.

Ich möchte Dir nur klar machen das nicht alles das ist was es vorzugeben scheint bis ein "aussagekräftiger" Beweis erbracht worden ist.

Wo ich schon dabei bin mich in die Windowssecuritywelt zu begeben. Ich hab auf ewido.net zB keine Malwaredatenbank wie bei Emsisoft finden können. Oder find ich es einfach nicht? Oder ist eine Liste in der Software direkt enthalten, wie zB bei F-Prot?

Desweiteren ist der Link http://www.virusbtn.com/conference/vb2005/...ramme/index.xml auf ewido.net nicht erreichbar. Peter liest ja sicherlich hier mit.

piet

Link http://www.virusbtn.com/conference/vb2005/...ramme/index.xml wieder erreichbar.

Der Beitrag wurde von piet bearbeitet: 31.05.2005, 12:12

[Solution-Design]

....so und nicht anders verlaufen ist, ist doch beschrieben! Deshalb SHAKAL ein unseriös Verhalten vorzuwerfen, spottet jeder Beschreibung.
[right][snapback]95671[/snapback][/right]

Ich habe an seinem Posting nichts aber auch gar nichts verwerfliches finden können. Außer... eine gesunde Neugierde! Wo liegt das Problem, wenn er nach den Log-Files fragt? Die Shoots sind nicht gerade schlüssig.

[Solution-Design]

Ich bin kein Professioneller AV Tester wie "Guru Mr. Marx".
ich würdige bitte schön den Unterschied.

Scan Logs werden kommen.
[right][snapback]95664[/snapback][/right]

Thanks Bin gespannt

[Mela]

Zynismus ist der Lohn als Undankbarkeit der Menschen, die selbst nix in die Hand nehmen können.
Zweifelsfrei mag es durchaus "merkwürdig" erscheinen das mein System verreckt ist.
Stell mir ein Neues und leiste einen Beitrag!
Blödes Gelaber ist fehl am Platz.[right][snapback]95417[/snapback][/right]

Vielen Dank für das "blöde Gelaber".

Im übrigen liegt mir tatsächlich etwas an einem vernünftigen Test des a-squared IDS, ich möchte nicht blind auf die Aussagen von emsisoft vertrauen müssen. Es fehlt derzeit einfach an objektiven Informationen, ob das IDS tatsächlich so zuverlässig arbeitet, wie die Firma behauptet. Als Nutzer würde ich es vorziehen davon zu wissen, wenn das nicht der Fall ist.

Grundsaetzlich sollte man aber sagen, dass Dialer & einige getestete Trojaner in sofern blockiert wurden, in dem die Abfrage kam.

Interessant: Undetected gemachte Trojaner wurden also vom IDS aufgehalten?

Deshalb hätte ich darauf gern eine Antwort gehabt. Wurden präparierte Trojaner vom IDS aufgehalten, die mit einem Scanner nicht gefunden werden konnten?



@ Heike

ich habe von dir schon so einiges zu a-squared gelesen, allerdings noch nicht, daß es dir gelungen ist, einen Backdoor so zu modifizieren, daß du damit am IDS vorbei einen funktionierenden "Kundenkontakt" aufbauen konntest.

Gruß
Mela

Der Beitrag wurde von Mela bearbeitet: 31.05.2005, 06:38

[JoJo]

"...dann liegt eventuell die möglichkeit nahe das dieses schad-programm mit einem exe-packer mehrmals eingepackt wurde , sowas macht doch eigentlich fast jeder malwareschreiber und a2 kann den nicht entpacken ?!"
nein, wie denn auch ohne Entpack Engine. Ok, jetzt mag man vielleicht sagen, dass a² ja die IDS hat, aber gehen wir nur von dem Scanner aus, so hat der mich damals(!) nicht wirklich überzeugt, was die Qualität der Signaturen angeht. Aber das Erkennen von unbekannter Malware durch die IDS scheint ja irgendwie zu klappen, ob da nun Schwächen drin sind ist eine andere Frage.
Und dann noch dieses Hickhack hier um so einen mehr oder weniger abgebrochenen Test...

[Gast_SHAKAL_*]

So, nun habe ich mir noch die Zeit genommen und das ganze ein wenig niedergeschrieben, Logfiles auszugsweise hinzugefügt.
Unter anderem auch ein Log von F-Prot Linux, der sich etwas besser als Panda noch schlagen konnte.
Wer interessiert sein sollte, der darf gerne lesen.

Ich habe es im Blog öffentlich lesbar gemacht.

http://security.blog.de/

Das wars von mir.

[Gast_piet_*]

>Komplett werde ich es nicht veröffentlichen, da diese zu lang wären.

Nett, warum immer noch kein komplettes Log? Weil es zu viel Speicherplatz auf dem Serrver als Anhang verbraucht?

>Denn Fakt ist nach Meinung weiterer Experten, dass das IDS durchaus auch nur einen Prozess im Userlevelbereich erkennen dürfte da es mit der Rechtevergabe von Windows arbeitet.
Der Prozess ist also schon gestartet.

Welche Experten? Was heißt "dürfte"? Kann es oder kann es nicht? Der Blog ist so schwammig wie Dein ganzes Verhalten hier im Thread.

Tut mir leid das Dein Vorhaben eines Testes des "IDS" so geendet hat. Vermutlich ist es sogar besser das Du es nicht getestest hast.

piet

[Gast_Jens1962_*]

Das wars von mir.
[right][snapback]95714[/snapback][/right]

Auch wenn ich nicht zur a²-Fanriege gehöre, das ist unfair:

Es agiert sofort als ich den Mediaplayer von Windows starte, da ich nebenher meine Suzy Solar Scheibe hören mag.
Also ok, ich habe die Chance den Mediaplayer zu erlauben und laufen zu lassen.
Musik ertönt. Fein.
Was mich jedoch sehr stört als Enduser eines fertigen Produktes, es kommen permanent Fragen ob ich wm_setup.exe auch das gleiche erlauben will.
Ich will doch nur Musik hören und den Scanner testen.

Was kann a² dafür, daß der M$-Player ein ungeahntes Heimweh entwickelt? Mich erstaunt höchstens, daß nur eine Abfrage kommt, die Norton-Firewall fragt mindestens 2x.
Was für mich aus dem Test nicht völlig schlüssig hervorgegangen ist: a² hat nahezu keinen Entpacker? Was passiert, wenn die Daten aus dem Testset entpackt oder gar gestartet werden? Kannst Du mangels Windows-System leider nicht mehr beantworten.

Jens

[Gast_Andreas Haak_*]

Was kann a² dafür, daß der M$-Player ein ungeahntes Heimweh entwickelt? Mich erstaunt höchstens, daß nur eine Abfrage kommt, die Norton-Firewall fragt mindestens 2x.[right][snapback]95723[/snapback][/right]

Es gibt auch 2 Warnungen - eine für den Player, eine für das Setup. In beiden Fällen müsste es Possible Spyware oder Possible Downloader sein.

Was für mich aus dem Test nicht völlig schlüssig hervorgegangen ist: a² hat nahezu keinen Entpacker? Was passiert, wenn die Daten aus dem Testset entpackt oder gar gestartet werden? Kannst Du mangels Windows-System leider nicht mehr beantworten.[right][snapback]95723[/snapback][/right]

Es hat defacto gar kein Unpacking - ist meines erachtens auch nicht notwendig. Emulation oder statisches Unpacking sind beides doch recht begrenzte Verfahren sich vor gepackter Malware zu schützen. Statisches Unpacking auf Grund der Tatsache, daß erst erkannt werden muss das eine Datei gepackt ist und mit welchem Packer genau (was z.B. bei Morphine oder Yoda recht schwer ist, weil jeder Hansfranz sich den Code runterlädt und drin rumwurschteln kann) und Emulation, weil es ab einem bestimmten Punkt einfach zu aufwendig wird zu emulieren. Evtl. wäre das Effektivste wohl eine Kombination beider Verfahren.

In beiden Fällen nimmt man sich ansonsten einfach ne kommerzielle Kopierschutz Software, die dann gleich auch noch dafür sorgt, daß so mancher Speicherscan nichts mehr findet, wie z.B. Armadillo oder Obsidium. Ewido ist davon übrigens nicht betroffen .

[Solution-Design]

Es gibt auch 2 Warnungen - eine für den Player, eine für das Setup. In beiden Fällen müsste es Possible Spyware oder Possible Downloader sein.

Genauso war es bei mir.

Es hat defacto gar kein Unpacking - ist meines erachtens auch nicht notwendig. Emulation oder statisches Unpacking sind beides doch recht begrenzte Verfahren sich vor gepackter Malware zu schützen. [right][snapback]95728[/snapback][/right]

Mhmm... Da ihr in direkter Konkurrenz zu Ewido lebt... wie erklärst du dir dann das Ergebnis 272 von 1065 gefunden, Ewido alle gefunden? Kann Ewido oder KAB etwas, was a² nicht beherrscht? Damit meine ich jetzt nicht: Trojaner finden

[Gast_Andreas Haak_*]

Mhmm... Da ihr in direkter Konkurrenz zu Ewido lebt... wie erklärst du dir dann das Ergebnis 272 von 1065 gefunden, Ewido alle gefunden? Kann Ewido oder KAB etwas, was a² nicht beherrscht? Damit meine ich jetzt nicht: Trojaner finden
[right][snapback]95758[/snapback][/right]

Entweder weil wir die Samples nicht haben oder weil sie - von wem auch immer - umgepackt wurden. Letztlich bedeutet aber die Tatsache, daß der Scanner sie nicht findet nicht, daß wir sie nicht anderweitig hätten entdeckt.

Ansonsten denke ich, verraten die Namen seiner Samples mehr als Marko lieb zu sein scheint - ansonsten hät er sie wohl nicht noch schnell umbenannt .

[Voyager]

@Andreas Haak

diese giftigen sachen :

und die wildesten Spekulationen werden durch einen Vertreter von a-squared losgetreten.
So wird von Christian Mairoll gleich unterstellt, daß es ein Testset sein würde, was gezielt gegen a-squared ausgewählt wurde.

Dann wurde im Gespräch permanent darauf rumgeritten, welches Testset ich wohl verwendet haben würde da es den Herren nun doch manipuliert vorkam.

hätten aber nicht sein brauchen, das war bestimmt auch nicht konstruktiv wenn man nichts zu verschweigen oder zu verheimlichen hat.
man kann das doch bestimmt alles erklären , zum beispiel das der scanner eine mangelde unpackingfähigkeit hat oder sowas.

[PcVersteher]

hallo zusammen

Was möchtet ihr denn damit ausdrücken?

<<"Ansonsten denke ich, verraten die Namen seiner Samples mehr als Marko lieb zu sein scheint - ansonsten hät er sie wohl nicht noch schnell umbenannt>>

Da das ja ein öffentliches Forum ist, würde es mich als Amateur interessieren, was ihr genau damit meint.
Kann mich Hirnchen mal bitte jemand aufklären ?

mfg PcVersteher

[Visitor]

Langsam wird es ein wenig seltsam bei diesem Thema. Eigentlich sollte man versuchen Kritik konstruktiv in Verbesserungen umzusetzen als diese mit "losen Anspielungen" die zudem nicht untermauert daher kommen zu entgegnen.

Nicht gerade souverän liebe a-squared "Schöpfer".

[Gast_skep_*]

Nicht gerade souverän liebe  a-squared "Schöpfer". 
[right][snapback]95770[/snapback][/right]

Also in diesem Thread nehmen sich beide Seite nix..is wie im Kindergarten hier...