Hi Leute!


zur Info: Online Armor 5 RC

Neu ist ein Registry Shield, und ein Redesign der GUI.

Viel Spass

Spätestens jetzt ist OA ein Produkt von Emsisoft

Gefällt mir sehr gut, das neue GUI.
Rennt bei mir tadellos.

Wegen dem ollen Gaul?


Stimmt besser. Schlimmer gings ja auch nimmer, wobei doch noch einiges nicht ganz passt...

Aber egal - mich interessieren vorerst andere Dinge bei OA, mal testen.

Auch:D

An sich ist die GUI sehr dem AM-Produkt angepasst...-> Nicht die schlechteste Entscheidung

Wie war das gleich nochmal mit der AV-Integration in OA++? Sollte doch das lahme EAM/Ikarus Gespann, oder?

Unter Antivirus habe ich testweise Scan auf "vollständig" eingestellt und per Kontextmenu einen Ordner mit ca. 160 Samples gescannt.

OA: 3 Erkennungen
Klicken um den Anhang anzusehen
Klicken um den Anhang anzusehen


Emsisoft: 161 Erkennungen
Klicken um den Anhang anzusehen

Wo liegt mein Fehler??

Edit: Ok, die AV-Signaturen werden im Rahmen der Installation und der folgenden Neustarts nicht geupdatet - nach Update, selbes Ergebnis.

Hallo,

ohne das Testset zu kennen wird eine Aussgae schwierig werden. Könntest Du die Samples in einem Archiv bitte einmal mit Verweis auf diesen Thread an support@emsisoft.com schicken?

Hat Emsisoft schon immer ein Trojanisches Pferd als Logo gehabt? Passt irgendwie nicht zu dem, was die Firma macht...

Hi

Wollten sie nicht ersteinmal Betaversionen herausbringen oder nicht

Bei mir die Premium auch, und das seit Monaten als Beta.
Wenn ich OA in den Lernmodus stelle, merke ich gar nicht, dass es da ist, braucht also so gut wie keine Systemressourcen.
Das Programm wird zwar nicht mehr bei Matousec getestet, es würde aber vermutlich alle Tests bestehen. Das HIPS muss sich im Vergleich zu anderen kein bisschen verstecken, was Schutz vor Malware angeht absolut top.
Es ist übrigens nicht nur ein Registry-Shield neu, für Dateien gibts das auch.
Man kann jetzt wie bei anderen HIPSen seine eigenen Dateien vor Ransomware und "begehrte" Daten wie Serials, Accountdaten etc. auch vor dem Auslesen schützen. Muss man nur eben manuell einrichten.
Abgesehen davon sind andere HIPSe auf x64 im Vergleich zu OA alle Schrott, mal etwas überspitzt gesagt.

Wer mit 4.5 Probleme hatte, sollte noch mal auf 5 einen Blick werfen, es wurden zig Fehler beseitigt (z.B. dass es die Framerate von bestimmten Spielen ruiniert, @Abe ).
Mit Sandboxie kann es immer noch Probleme geben, z.B. mit Chrome, aber da kann man sich mit Ausnahmen bei OA helfen. Adobe Reader X mit Sandbox sollte allerdings kein Problem mehr sein.
Das Problem mit Chrome ist auch einem Entwickler zugeordnet, es wird also wohl in nicht allzu ferner Zukunft gefixt werden.


Die gab es schon vor Monaten, allerdings nur für Tester. Jetzt gibts halt nen öffentlichen RC.

Na dann danke ich dir für diese Info dann kommt ja bald die Final heraus

Also der GUI gefällt mir: Sehr gut strukturiert

Jo, das Problem ist gefixt... Nebenbei frage ich noch einmal, ob sich bei der v5 etwas getan hat bei der Regelerstellung in der Free-Variante?

Sorry, ich halte es derzeit für unnötig das Paket hochzuladen. Kann aber gerne eine Liste der FileHashes zur Verfügung stellen.
Der Punkt ist folgender: Der Großteil dieser Malware wird ja von Ikarus/A2 erkannt - sonst würde der Scanner ja nicht anschlagen und die 161 Signaturenfunde bringen. Also kennen eure Signaturen die Malware.
Kernpunkt meiner Frage: Warum erkennt ein Virenscan mittels OA++, das ja diesselben Av Signaturen verwendet, dann nur 3 Dinge? Andere Einstellung oder Bug? Das Phänomen sollte sich mit jedem etwas größeren Sampleset prüfen lassen.

Das Online Armor Setup enthält keinerlei Signaturen. Die Erkennungen die Du dort gesehen hast, waren generische Erkennungen die fester Bestandteil der Ikarus Engine sind und nicht etwa Signaturerkennungen. Beim ersten Update werden die Signaturen erst installiert. Sofern ich Dein Edit richtig deute, war das bei Dir dann ja auch der Fall und nach dem ersten Update war die Erkennungsleistung identisch.

Klasse. Wobei man hier für ein paar Standardpfade und Programme schon eine Liste mitliefern könnte. Wäre zumindest für Normalanwender ganz nützlich.


Aber ganz spitz Nein im Ernst die 64bit HIPS-Nische sollte man besetzen, da sehe ich auch Chancen von OA.

Insgesamt ein netter & solider Eindruck - viel Potential und recht gut erklärte Popups waren ja schon immer die Stärke von OA.
Hoffentlich kommt bald die v6. Einige nette Sachen die es leider erst in diese Version schaffen sollen sind ja im Emsisoft Forum angesprochen.

@Fabian:
Eben nicht. Ich dachte auch erst an diese Fehlerursache als ich die Erkennungen und die Signaturenanzahl sah. Habe es ja in meinem obigen Edit so geschrieben. Nur Fakt ist: Auch nach AV-Signaturenupdates und einigen Neustarts sind nur die 3 Erkennen des zweiten OA-Screenshots aus dem Programm herauskitzelbar. (Das meinte ich mit selbes Ergebnis. 3 Erkennungen - wenn auch diesmal per Sig.) Gerade nochmals getestet. Somit schließe ich einen Fehler auf meiner Seite jetzt erstmal aus.

Generell: Wenn man aber schon den an sich guten Nach-Installations Assistent anbietet sollte dieser doch bitte auch eine Option zum AV-Signaturenupdate bieten.

Pfade sind halt schwierig, weil man schlecht wissen kann wo der User für gewöhnlich seine privaten Daten speichert. Einige benutzen die Default Windows Pfade (Eigene Dateien etc.) aber andere haben halt ganz eigene Systeme.


Version 6.0 wird ein wenig auf sich warten lassen, was einfach daran liegt das der "Unterbau" ein komplett neuer sein wird. Ich bin jedenfalls ebenfalls gespannt wie einige der Funktionen von OA 6.0, EAM 7.0 und Mamutu 4.0 ankommen werden bei den Nutzern .


Oh, da hab ich das "Selbes Ergebnis" völlig misverstanden. In dem Fall wär ich an den Sample Hashes durchaus interessiert. Ebenfalls wäre es nett wenn Du einmal den Debug Mode in den Optionen aktivieren, dann einen Scan durchführen und die erzeugten Dateien aus dem Logs Unterordner an fw@emsisoft.com schicken könntest. Den Debug Modus kannst Du danach direkt wieder deaktivieren.

Ja aber bestimmte Pfade wo bekannte Programme ihre Einstellungen speichern, kann man über die Systemvariablen ganz gut auslesen. Schaue dir das z.B. mal bei KIS an.


Mich interessiert die Art des Zusammenwachsens.



Weil es mich selbst interessiert mache ich es gleich fertig. Ich zeige es an 15 Samples mittels EAM und OA und lade dir das Samplepaket hoch. (Führe ja keine willkürlichen Flash Tests aus und teile gern ) Weiteres per Mail...
Ist es möglich, dass das Programm irgendwas cacht, weil ich erst ohne Signaturen gescannt habe - und deshalb jetzt auch nach dem updaten die Dateien brav ignoriert? Weil mit anderen Samplesets konnte ich es jetzt nicht reproduzieren...

Leider funktioniert Battlefield Bad Company 2 nicht, aber das liegt eher am Spiel selbst als an OA. Sowohl ESS, als auch Outpost Pro haben mit dem Game Schwierigkeiten.
Dooferweise werden zur Serverabfrage irgendwelche IMCP Pakete geschickt, was zu Problemen führt.
Aber habs in die Ausnahmen getan und fertig.

Zu Sandboxie: Ich weiß nicht, ob es an meinen Einstellungen liegt, aber es werden immer wieder Programme geblockt, die auf bestimmte Windows Dateien zugreifen wollen. So zb Teamspeak oder Skype. Erst wenn ich den Dateischutz deaktiviere, funktioniert es.
Sowohl die Installer, als auch Sandboxie sind als sicher eingestuft. Werd mich mal im Emsi Forum schlau machen.

Ansonsten: Top HIPS, hab diverse Leaktests gemacht, und er erkennt die Zugriffe, was bei allen anderen HIPSen nicht der Fall ist. Bin auf x64 unterwegs.
Bin positiv überrascht, da ich gerade erst vor ca. einem Monat mit HIPSen ( was für ein Wort ) angefangen habe. Und OA 5 ist im Gegensatz zum 4.5er wirklich leichtfüssig, merke auch keine Verzögerung beim Systemstart oder sonstige Nachteile.
Lediglich beim 1. Mal hochfahren und beim 1. Starten eines neuen Programmes gibt es einen sanften Lag. Aber das wars dann schon.

Nein, den erweiterten Modus gibt es immer noch nur bei den kostenpflichtigen Versionen.
Ohne den gibt es übrigens auch nicht das neue Datei- und Registryshield.

@Sebastian:
Wahrscheinlich bist du über ein etwas seltsames Scanverhalten von OA gestolpert...
Wenn du es neuinstallieren würdest und jetzt vorm Scan die Signaturen updaten würdest, wäre das Ergebnis vermutlich mit dem von EAM identisch.
In der Tat, verbesserungswürdig.

Wenn die Samples bereits auf Deinem System waren, als Du den Wizard hast durchlaufen lassen im "Trust All" Modus, dann wird den Samples ebenfalls vertraut und die Erkennung unterdrückt. Das ist der einzige Cache der so ein Problem verursachen könnte.

Wenn ich mich recht entsinne hatte ich in der Vergangenheit mal das gleiche Problem wie Sebastian, allerdings ohne dass es am SCW lag.

Denke ich auch, würde/werde ich auch später mal testen mit der Neuinstallation. Aber ich hoffe doch man findet das Problem jetzt mittels der Logs! Sonst wäre das ganz schön derb.



Ich truste nicht... Nein die Samples kamen erst hinterher. Zumindest der Wizard ist also unschuldig, aber baut da echt mal noch eine Updatemöglichkeit für das AV ein vor dem Release.

Sehr interessant auf den ersten Blick.

Steht denn eigentlich schon eine Termin für die finale Version fest ?

April.

Der Gaul ist noch ein Relikt aus den Anti Trojan Zeiten. Wenn du nicht willst, dass er sich dreht, dann Klick ihn an.



Bei mir wird Chrome auch ohne Verwendung von Sandboxie blockiert. Zumindest war es in der Version 4.5 so.



Hoffe, dass es zu einer Suite mit EAM zusammenwächst.




Ich hoffe nicht, dass alles in die Cloud verlagert wird.

Es geht wohl eher um das Vieh in der Titelleiste.
Ich würd mir auch kein Tapetenmuster mit dem zulegen.


Das hast du ja schon mal gesagt. Wie wärs, du probierst Version 5?

Ach ich denke nicht das man auf lokale Regeln verzichten wird, aber eine Unterstützung möglichst vieler Komponenten aus der Wolke ist eine feine Sache.

ZITAT(Julian @ 31.03.2011, 20:38)

Es geht wohl eher um das Vieh in der Titelleiste. Ich würd mir auch kein Tapetenmuster mit dem zulegen.

OT: Mein Scheißhaus ist auch gefliest...

Der Fehler tritt mit der Version 5 auch noch auf. Es wird die gesamte Internetverbindung blockiert, deshalb kann sich OA auch nicht zum Updateserver verbinden. Neueste Chrome Version wird verwendet.

Also bei mir funktioniert die Combo einwandfrei. Bist du sicher, dass du nicht irgendwelche Regeln verklickt hast und Chrome oder einen Teil von Chrome blockst?

Warum ist dann das gesamte Netzwerk blockiert (=auch kein Update möglich)?? Bei Chrome wird alles erlaubt.

Zur allgemeinen Info wegen dem von mir berichteten Scanfehler bei OA++:
Nur ein Erstscan ohne Signaturen führt(e) dazu, dass OA++ zukünfitig bei den entsprechenden Files blind bleibt. Durchaus ernstzunehmen für Anwender die aus guter Gewohnheit gleich nach der Installation mal wild losscannen.

Fabian W. konnte die Sache nachstellen. Und was soll ich sagen: Schnelle Reaktion und netter Kontakt
Die neuen Setups sind/werden dahingehend nachgebessert (selbst probiert), dass der Assistent gleich auch die Signaturen updatet. Damit wird es ganz schwer das Problem wieder hervorzukitzeln. Also: quasi-gefixt!
_
Ja, ich teste OA5 jetzt etwas länger und muss sagen: Bisher, OK - gefällt. (Die Version 4.5 hatte ich ausgelassen - meine OA Erfahrungen sind also etwas her)
Es sind zwar einige Dinge, die ich für verbesserungsfähig halte, aber enormes Potential ist zweifellos da.
Fürchterliche Angst macht mir, dass ich auf Win7x86 nur 320 Pkte. im verbuggten CLT erziele (SetWinEventHook & SetWindowsHookEx) - nein Spass beiseite, elende Leaktests.
Sämtliche echte & brauchbare Malware die ich bisher getestet habe wurde an irgendeiner Stelle gemeldet - und darauf kommt es ja irgendwo an. Mal sehen

Shit - tatsächlich ein Beitrag von mir, wo ich positiv über Emsisoft schreibe. Da soll nochmal einer behaupten ich bashe

Da hast du wohl einen Bug in der x32-Version gefunden.

Wollt ich nicht Dieser YouTube Man kommt ja durch - allerdings auf XP. Aber ich habe es jetzt auf Win7 in der VM und real getestet.

Hier ist mal der Original-Leaktest:
Klicken um den Anhang anzusehen
Wenn ich mich recht entsinne, läuft der auch unter Winodws 7 x32.
Test 2 oder 3 entspricht dann wohl SetWinEventHook.

1 und 3 werden erkannt, 2 nicht.

Also mach ich was falsch. Bei mir werden alle 3 erkannt.

OS?

Hallo,

Generell kann ich das Problem bestätigen das CLT unter Windows 7 x86 meldet, dass die Tests fehlgeschlagen seien. Allerdings schlägt bei mir die Code Injection an sich dennoch fehl. Am besten lässt sich das am SetWinEventHook Test zeigen:



Der Code bewirkt im Endeffekt, daß Windows die DLL in andere Prozesse lädt und dort bei Ankunft eines Events die Funktion HandleWinEvent ausführt. Nun, HandleWinEvent macht folgendes:



Was dort gemacht wird ist es wird der Dateiname des derzeitigen Prozesses ermittelt (GetModuleFileNameA) und dann mit Hilfe der OutputDebugStringA Funktion als Debug Nachricht ausgegeben. Das bedeutet im Falle einer erfolgreichen Injektion, sollte im Debugger oder in Microsofts DebugView ein Prozesspfad zu sehen sein. Ist es aber nicht:



Bedeutet die Injection an sich schlägt fehl. Aus irgend einem Grund gibt OA allerdings keinen "Access Denied" Fehler zurück wie sonst üblich, weshalb CLT denkt die Injection hätte geklappt. Der SetWindowsHookEx Test hat leider keinen solchen Debug Output den man zeigen könnte. Allerdings hab ich geschaut ob die DLL in irgend einen Prozess geladen wurde, was aber nicht der Fall war.

Im Endeffekt scheint es sich also nur um ein Anzeige Problem zu handeln. Ich werd mal sehen ob sich das bis zum 5.0 Release beheben lässt. Den Release verschieben werden wir deshalb allerdings nicht.

Wäre nicht schlecht, denn der Leaktest, den ich in Post 36 angängt hatte, kann definitv von OA ungehindert einen Global Hook setzen und so explorer.exe fernsteuern.

Kann ich bestätigen,der Test Nummer 2 kommt ungehindert durch (W7 X86)

Gefällt mir ganz gut, die Software. Mir ist beim Testen allerdings einmal der Windows Media Player eingefroren, was nur durch einen Neustart zu beheben war. Win7 x64.

PS: das OS war frisch installiert und hatte nur OA zusätzlich drauf. Zeitgleich werkelte Windows Update im Hintergrund.

Das selbe Problem hatte ich mit iTunes. Ich denke das liegt eher an Windows Update. Erst mal in Ruhe updaten lassen und dann Sachen einstellen und installieren.

Hi

Der 2 RC ist draussen

http://support.emsisoft.com/topic/4054-onl...date-available/

Der Leak geht immer noch ungehindert durch.

Win 7 x64 SP1

Mittlerweile ist die Version 5.0.0.1067 aktuell.

Ist der RC2 von dem schon in ein paar Beiträgen die Rede ist.


Siehste Apfel und Birne vergleichen klappt nicht immer


Hat Fabian ja quasi angekündigt.

Weil in der Abbildung noch die 1044 stand