Hat schon jemand das a-squared IDS getestet? Einstellungen

[Gast_Andreas Haak_*]

Ich geb einen Hinweis:

Jeder Hersteller hat im Normalfall eine Policy wie Samples benannt und behandelt werden sobald sie einen Hersteller erreichen. Einige benennen Dateien z.B. nach ihren MD5 Checksummen um, einige tauschen die Endungen aus durch Strings wie z.B. .VIR oder aber ersetzen den letzten Buchstaben durch ein anderes Zeichen.

Entsprechend kann man alleine aus Bruchstücken einer Log schnell herausfinden von welchem Hersteller sie wohl stammen. Zum einen weil Hersteller faul sind und "ihre Endung" in die Liste der Standardendungen hinzufügen und zum anderen weil man ja untereinander auch tauscht und daher weiß, wie andere Hersteller "ihre" Samples benennen.

Entsprechend war recht schnell eine Vermutung da, von wo die Samples stammen. Wurde natürlich abgestritten . Komisch dann aber, wieso in den Logauszügen die Marko gepostet hat in seinem Blog dann aber die Namen schnell geändert wurden .

Aber sei es drum - für Marko ist die Sache ja abgeschlossen .

@Visitor:
Du nennst einen Screenshot und unvollständige Log konstruktive Kritik? Das ist genau null wert. Um etwas zu verbessern sind mindestens komplette Logs oder gar alle Samples von Nöten .

[Visitor]

Also in diesem Thread nehmen sich beide Seite nix..is wie im Kindergarten hier...
[right][snapback]95772[/snapback][/right]

Stimmt, aber ein Softwareanbieter sollte doch schon ein wenig mehr souveränere Argumente haben als einige Kritiker, Kritiker sind halt oftmals nur "Laien" (eben die eventuellen Kunden) und die dürfen schon mal "daneben" liegen mit ihrer Kritik.
Es liegt doch am Anbieter selber die Kritik überzeugend zu entkräften.

[Visitor]

@Visitor:
Du nennst einen Screenshot und unvollständige Log konstruktive Kritik? Das ist genau null wert. Um etwas zu verbessern sind mindestens komplette Logs oder gar alle Samples von Nöten .
[right][snapback]95775[/snapback][/right]

Habe ich das speziell angesprochen? Ich habe gesagt Kritik konstruktivverwerten/umsetzen (jetzt eher allgemein gemeint) wenn berechtigt und möglich. Also das Wort konstruktiv habe ich erst nach dem Wort Kritik angeordnet und nicht davor.

Der Beitrag wurde von Visitor bearbeitet: 31.05.2005, 18:33

[Gast_Andreas Haak_*]

Habe ich das speziell angesprochen? Ich habe gesagt Kritik konstruktivverwerten/umsetzen (jetzt eher allgemein gemeint) wenn berechtigt und möglich. Also das Wort konstruktiv habe ich erst nach dem Wort Kritik angeordnet und nicht davor.
[right][snapback]95780[/snapback][/right]

Ui - stimmt . Ganz überlesen . Jaja - nicht gut zw. Rokop Board und IDA immer hin und her zu wechseln .

[Voyager]

@Andreas Haak

hmm , wie arbeitet denn dieser malwarescanner ?
muss der schädling "ich_bin_mydoom.exe " heissen oder wird der mydoom auch als "gzjkhbiol.exe.zip" erkannt ?! man kann doch jeden dateiname beliebig wählen und der malwarescanner muss den schädling trotzdem erkennen .

[Gast_Andreas Haak_*]

@Andreas Haak

hmm , wie arbeitet denn dieser malwarescanner ?
muss der schädling "ich_bin_mydoom.exe " heissen oder wird der mydoom auch als "gzjkhbiol.exe.zip" erkannt ?! man kann doch jeden dateiname beliebig wählen und der malwarescanner muss den schädling trotzdem erkennen .
[right][snapback]95782[/snapback][/right]

Na, das mein ich nicht. Samples werden wenn man sie erhält ja in eine Datenbank getan. Dazu werden die Dateien vorher meist unbenannt. Dabei hat jeder Hersteller so seine eigenen Regeln wie Dateien umbenannt werden. Andreas Marx z.B. behält den Original Namen bei und tauscht bei der Endung den letzten Buchstaben durch $. Wenn Andreas Marx also nen Virus bekommt der mspaint.exe heißt, wird der zu aller erst mal in mspaint.ex$ umbenannt. Wir z.B. benennen unsere Samples z.B. um in MD5.Filetype. Bei uns würde mspaint.exe also umbenannt werden in z.B. 5b6df619664624884a834fcf0f52f02c.PE_EXE . Wenn Du also mal in irgend einem Log File eine Datei siehst, die so benannt ist, ist die Chance relativ hoch, das die Person dessen Log Du da anschaust, die Datei von uns bekommen hat.

Genauso verhält es sich mit dem Namenschema aus den Logs von Marko. Die Dateien haben das Schema: CRC32.mlw - das ist relativ ungewöhnlich .

[PcVersteher]

hallo

So ich habe jetzt begriffen, was gemeint ist.
Aber is es nicht egal woher die Malware kommt oder ist ?
Weil ja theoretisch sie gefunden werden müsste egal wie sie heisst.
Oder ist das völlig falsch ?
Ich dachte die Malware wird an ihrem Verhalten oder ihrer Strucktur /Beschaffenheit erkannt.

mfg PcVersteher

Der Beitrag wurde von PcVersteher bearbeitet: 31.05.2005, 19:05

[Gast_Andreas Haak_*]

Es ging nicht darum das unser Scanner sch.... ist . Das steht sogar in unserem Forum - wir haben den Fokus wie gesagt auf generische Erkennung gelegt, was ja leider nicht mehr getestet werden konnte. Es ging eigentlich eher darum das wir gerne ein Log File eines Referenz Scanners bekommen hätten oder evtl. sogar die Samples - wobei mir persönlich das Log File fast wichtiger wäre .

Der Beitrag wurde von Andreas Haak bearbeitet: 31.05.2005, 19:10

[PcVersteher]

hallo

Aha. Damit ihr anhand der Samples oder logs erkennen könnt wo eventuelle Schwächen in eurem Produkt liegen ? sehe ich das richtig ?
Aber wo ist dann das Problem ? sind Samples und Logs so geheim ?

mfg PcVersteher

[Gast_Andreas Haak_*]

Exakt das und um evtl. über die Namen und Google an die Samples kommen zu können.

Was an dem Log so geheim ist, weiß ich allerdings auch nicht. Aber manchmal sind "Tester" da ein wenig komisch . Wenn ich mich daran erinnere wie schwer es ist von z.B. Andreas Marx n Log von Tests zu bekommen . Frag mal Peter - der kann Dir da auch n Lied von singen .

Der Beitrag wurde von Andreas Haak bearbeitet: 31.05.2005, 19:24

[Gast_the_dark_side_*]

Fakt ist aber das die sog. ids nix bringt. der Scanner nicht unpacken kann, das ist nun mal ein großes minus! der User verlässt sich darauf das a² gut arbeitet, und dann lässt der Scanner sich aus tricksen.. weil jemand nen Packer benutzen konnte? sehr schwach. kein Selbstschutz?...schlecht.

zu was führen fehlalarm? dazu das der User sie nicht mehr beachtet. womit das ids fast nutzlos wird... "ah es klingelt wieder um sonst.. klick"

was hackt ihr auf dem testset rum? in der Realität kommt maleware eben vor, ohne das sie einer bestimmten sample Gruppe entsprungen ist..sie kommt einfach beim User an und dann muss der Scanner funzen.... alles andere ist egal!

Die anderen Scanner hatten keine probs mit dem testset, also kann es soo merkwürde und unbekannte malware nicht sein. Und das liegt an dem unpacken. Sicherlich haben diese Techniken grenzen, aber das gleich weg zu lassen führt zu erheblichen schwächen in der Erkennung.. wie man sieht

[Voyager]

@Andreas Haak

gut...eigentlich ist es doch da auch rille ob das schonmal von kaspersky erkannt und umbenannt wurde , dann ist doch die chance sehr hoch das es kein fehlalarm ist und das schadobjekt echt ist und von einem anderen shareware malwarescanner auch erkannt werden kann.
das der eine oder andere scharf aus die auswertungslogs ist ist verständlich , man könnte darüber günstig an nützliche zusatzinformationen kommen.
ich versteh das gezeter da nicht , das ein objekt namens CRC32.mlw für euch ein " Testset sein würde, was gezielt gegen a-squared ausgewählt wurde" ?! das ist quatsch, da nur der dateiname umbenannt wurde aber das objekt ansich immernoch als das erkannt werden kann , was es ist.

[Manu]

@ Andreas:
Ich würde mich freuen, wenn ihr das IDS besonders in Hinsicht auf die "Fehlalarme" (eigentlich das falsche Wort hier, ich weiß) verbessern würdet.
Es ist toll und löblich, dass so viel durch das IDS erkannt wird. Wenn man jedoch dem gegenüber stellt, was alles an "guten" Programmen "erkannt" wird, trübt das die gute Leistung doch erheblich.

Ich könnte meinen Heimanwendern, denen ich hin und wieder was am PC mache, nicht erklären, warum sie ein Programm installieren sollten, was mehr Unsicherheit als Sicherheit durch diese ständige Warnungen bringt.
Diese Anwender nutzen den PC für Internet Recherchen, zur Archivierung von Fotos und zur digitalen Schreibmaschine - sie wollen sich nicht mehr mit dem PC auseinandersetzen. Gerade das wäre jedoch für den Einsatz (eures) IDS Voraussetzung.
Vielleicht ist euch ja möglich die gängigen Programme (fein definiert... ) irgendwie in eine interne Whitelist zu setzen und diesen Mechanismus gegenüber Manipulationen von Malware zu schützen.

Viel Erfolg!

Der Beitrag wurde von Manu bearbeitet: 31.05.2005, 19:52

[Gast_Andreas Haak_*]

>Fakt ist aber das die sog. ids nix bringt.

Beweise?

>und dann lässt der Scanner sich aus tricksen.. weil jemand nen Packer benutzen
>konnte? sehr schwach.

Wo besteht der Unterschied zw. upx server.exe und rebase server.exe?

>kein Selbstschutz?...schlecht.

Zeig mir eine reale Bedrohung (einen ITW Schädling) der a2guard.exe auf der Abschussliste hat und ich schalt die Funktion frei.

>zu was führen fehlalarm? dazu das der User sie nicht mehr beachtet. womit das
>ids fast nutzlos wird... "ah es klingelt wieder um sonst.. klick"

Das ist ein Problem, das in 1.7 bereits gelöst ist.

>einfach beim User an und dann muss der Scanner funzen.... alles andere ist
>egal!

Scanner sind nebensächlich. Signaturscans sind per Definition schlecht. Schließlich benutzt Du Teile der Datei als Signatur. Die Datei lässt sich aber vollautomatisch beliebig modifizieren - sei es durch packen, crypten, rebasen oder "pervertieren". Ein Dateiscanner ist defacto absolut unnütz.

>Die anderen Scanner hatten keine probs mit dem testset, also kann es soo
>merkwürde und unbekannte malware nicht sein.

Kaspersky wurde als Referenzscanner herangezogen. Panda hat nicht wirklich gut abgeschnitten (was allerdings zu erwarten war). Hab ich wen vergessen?

>Und das liegt an dem unpacken. Sicherlich haben diese Techniken grenzen, aber
>das gleich weg zu lassen führt zu erheblichen schwächen in der Erkennung.. wie
>man sieht

In der Erkennung des Dateiscans, ja. Das IDS wurde - wie gesagt - nicht getestet.

[Gast_the_dark_side_*]

Beweise?

der test. erfahrung.

Zeig mir eine reale Bedrohung (einen ITW Schädling) der a2guard.exe auf der Abschussliste hat und ich schalt die Funktion frei.

muss erst das haus brennen, bis es feuerlöcher gibt?^^ für den preis kann man das schon erwarten...

Kaspersky wurde als Referenzscanner herangezogen

und was ist daran jetzt verkehrt? das verbessert euer ergebnis auch nicht.

[Gast_Andreas Haak_*]

Ich würde mich freuen, wenn ihr das IDS besonders in Hinsicht auf die "Fehlalarme" (eigentlich das falsche Wort hier, ich weiß) verbessern würdet.
Es ist toll und löblich, dass so viel durch das IDS erkannt wird. Wenn man jedoch dem gegenüber stellt, was alles an "guten" Programmen "erkannt" wird, trübt das die gute Leistung doch erheblich.[right][snapback]95803[/snapback][/right]

Was wird denn an guten Programmen erkannt? In unserem Forum und Support Center sinds immer die selben: Firefox, Internet Explorer und Windows Media Player.

Firefox da er während des Startens unwillkürlich Ports öffnet, der Internet Explorer weil er mit dem Download der Standard Seite beginnt noch eher er überhaupt zu sehen ist und der Windows Media Player weil er ein unstillbares Verlangen hat nach Hause zu telefonieren.

Das sind also die unzähligen Fehlalarme von denen alle immer reden . Ich bin begeistert . Da produziert ein beliebiger signaturbasierter Scanner aber mehr Fehlalarme irgendwie.

Aber wie gesagt gibts bei 1.7 dann eine zuschaltbare und standardmäßig aktivierte "Fehlalarmreduzierung" .Sicherheitslevels und im Default Level sind die bisher bekannten Fehleinschätzungen gefixt.

[Gast_Andreas Haak_*]

muss erst das haus brennen, bis es feuerlöcher gibt?^^ für den preis kann man das schon erwarten...

Es ist nicht so das man erst 2 Stunden zum nächsten Ort fahren müsste den Feuerlöscher zu holen. Es genügt in unserem Falle einfach das Beta Update in den Stable Zweig zu verschieben .

Ich halt Killschutz bei Virenwächtern übrigens auch für relativ sinnfrei .

und was ist daran jetzt verkehrt? das verbessert euer ergebnis auch nicht.
[right][snapback]95810[/snapback][/right]

Nichts, nur das die Samples nach Kaspersky sortiert sind und folglich Kaspersky raus fällt aus dem Vergleich, weil offensichtlich Kaspersky genutzt wurde um festzustellen ob es Malware ist oder nicht. Es ist nicht weiter verwunderlich das Kaspersky dann 100% Erkennungsrate hat .

[Voyager]

Da produziert ein beliebiger signaturbasierter Scanner aber mehr Fehlalarme irgendwie.

bei dem von mir verwendeten malwarescanner gibts sogut wie keine fehlalarme , die paar konnte ich in 3 jahren an einer hand abzählen .
MS-Antispyware (vormals giant) hat auch einiges gegen fehlalarme unternommen und hatte einige sachen (wie ich selbst sehen konnte) aus der abteilung "das ist BÖSE spyware" sogar rausgenommen und überlässt jetzt die wahl dem user das objekt freizuschalten oder zu blocken , z.b. flashget.

Ich halt Killschutz bei Virenwächtern übrigens auch für relativ sinnfrei

das glaube ich nicht, NAV steht auf sehr vielen abschusslisten in der malware und der selbstschutz greift in der 2005er version prima .

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 20:11

[Manu]

In unserem Forum und Support Center sinds immer die selben: Firefox, Internet Explorer und Windows Media Player.

Und nun sag mir nicht, dass das einen normalen Nutzer, wie ich ihn beschrieben habe, nicht verwirrt.

Firefox da er während des Startens unwillkürlich Ports öffnet, der Internet Explorer weil er mit dem Download der Standard Seite beginnt noch eher er überhaupt zu sehen ist und der Windows Media Player weil er ein unstillbares Verlangen hat nach Hause zu telefonieren.

Das interessiert den von mir beschrieben Nutzer herzlich wenig.

Das sind also die unzähligen Fehlalarme von denen alle immer reden . Ich bin begeistert .

Ich hatte gehofft auf meinen konstruktiven, ernsten und gut gemeintem Kommentar eine Antwort zu erhalten, die nicht vor Ironie strotzt.

Da produziert ein beliebiger signaturbasierter Scanner aber mehr Fehlalarme irgendwie.

Zu Zeiten, als ich noch einen Viren-Scanner einsetzte (KAV), habe ich einen Fehlalarm gehabt - in einer HTML Datei.
Mit a² wären es drei.

Aber wie gesagt gibts bei 1.7 dann eine zuschaltbare und standardmäßig aktivierte "Fehlalarmreduzierung".Sicherheitslevels und im Default Level sind die bisher bekannten Fehleinschätzungen gefixt.[right][snapback]95811[/snapback][/right]

Hervorragend. Diese Antwort hätte mir gereicht. Man darf auch mal ohne Ironie antworten, erst recht, wenn man als Chef sein Produkt vertreten und an den Kunden bringen will.

Schönen Abend noch.

[Gast_Andreas Haak_*]

das glaube ich nicht, NAV steht auf sehr vielen abschusslisten in der malware und der selbstschutz greift in der 2005er version  prima .[right][snapback]95815[/snapback][/right]

Und? Was bringt es Dir effektiv? Nichts.

Wieso nicht? Ganz einfach:

Entweder NAV erkennt den Schädling der versucht NAV abzuschießen oder er erkennt ihn nicht. Wenn er ihn erkennt, dann kann der Schädling gar nicht erst gestartet werden und NAV wird nicht abgeschossen.

Wenn er ihn nicht erkennt ist der Wächter ohnehin total sinnfrei, da er selbst wenn er weiter läuft ihn ja nicht erkennt.

Killschutz bringt für Deine Sicherheit defacto gar nichts.