Hat schon jemand das a-squared IDS getestet? Einstellungen

[brechi]

In einigen Sachen sollte ja nachgebessert werden und wurde ja auch gemacht. Aber z.B. den ProductKey für die IPC Message zu verwenden ist net gerade toll. Ist ja eigentlich keine schlechte Idee dies vom PC abhängig zu machen, aber dann mit Funktionen die nicht einfach abgeändert werden können. (z.B. SID oder was auch immer, müsste man schaun obs keine Nebeneffekte gibt) Etwas in der Reg abändern geht zu einfach

Eigentlich muss doch nur auf das Beenden des HauptThreads geachtet werden, dann kann die DLL ohne Probleme entladen werdfen. Wenn man sie selbst entlädt ist ja jeder Schutz weg.

Das Problem ist ja, dass man innerhalb des eigenen Prozesses auf die überwachten Funktionen zugreifen kann. Genau das kann man beim Kernel hooking nicht. Wenn es richtig abläuft hat man keine Möglichkeit mehr in den Kernel zu kommen und Code einzuschleusen.

Im Usermode ist das ohne Probleme machbar, und genau da gibt es den Nachrichtenaustausch den man "einfach" abändern kann. Klar muss man ein bisl Ahnung von der Materie haben, aber ne DLL entladen kann eigentlich jeder Programmierer

Es ist auch richtig, dass es dieses Problem bei ALLEN User Mode Detections Programmen gibt. Mal ist es schwieriger, mal aber auch nicht. Aber genua deshalb verwenden die großen Firmen (kenne keinen AV-Hersteller der keinen Treiber verwendet) einen Treiber. Ok, A2 ist nicht gemacht um Viren zu erkennen, aber ein IDS sollte man nicht einfach umgehen können. Wenn ihr, wie du schon sagst, ebenfalls bald auf Treiberbasis arbeiten ist es denke ich die richtige Lösung.

Ich habe nichts gegen Usermode Hooking, (hab selbst einige Units geschreiben) aber im Sicherheitsbereich "Sicherheit" vortäuschen wo im Grunde das komplette System mit 1-2 Zeilen COde ausgehebent werden kann mag ich nicht Das hab ich auch schon öfter im Madshi Forum geschrieben.