Von: einsamerschuetze 
03.01.09 - 01:48
03.01.09 - 01:48 
Hi,
Ich wills mal am Beispiel von Antivir Premium verdeutlichen:
Die Installations-exe des Programms 'Metasploit', welches PCs auf Sicherheitslücken abklopft und dabei auch teilweise 'Schadcode' verwendet, wird von Antivir nicht als Bedrohung erkannt. Der Scan der Exe-Datei dauert auch nur vielleicht den Bruchteil einer Sekunde.
Wenn ich nun aber den Inhalt der Setup-Exe von Metasploit mit 7-Zip extrahiere und das Ergebnis mit Antivir scanne, findet er/es auf einmal über 15 Viren, Exploits usw.
N bisschen Sch*iße, oder?! Antivir hat auch bei der Installation des Programmes nicht gemeckert; erst, als ich den Programmordner manuell gescannt habe...
Kann man das irgendwie ändern, also einstellen, dass Antivir auch Setup-Exen richtig scannt?
Thx !
Ich wills mal am Beispiel von Antivir Premium verdeutlichen:
Die Installations-exe des Programms 'Metasploit', welches PCs auf Sicherheitslücken abklopft und dabei auch teilweise 'Schadcode' verwendet, wird von Antivir nicht als Bedrohung erkannt. Der Scan der Exe-Datei dauert auch nur vielleicht den Bruchteil einer Sekunde.
Wenn ich nun aber den Inhalt der Setup-Exe von Metasploit mit 7-Zip extrahiere und das Ergebnis mit Antivir scanne, findet er/es auf einmal über 15 Viren, Exploits usw.
N bisschen Sch*iße, oder?! Antivir hat auch bei der Installation des Programmes nicht gemeckert; erst, als ich den Programmordner manuell gescannt habe...
Kann man das irgendwie ändern, also einstellen, dass Antivir auch Setup-Exen richtig scannt?
Thx !
Von: TheLastSmurf
03.01.09 - 02:30
03.01.09 - 02:30
einsamerschuetze:
Eigentlich müsste das standardmäßig eingeschaltet sein. Ansonsten schau halt mal bei den Optionen. Da gibts so einiges. Am besten du schaltest alles an, kostet eh kaum Performance. Aber sicher bist du damit natürlich nicht.
Absolute Sicherheit gibt es nur mit einer gängigen Internetsecurity. Das ist es ja genau, was den großen Unterschied zwischen simplem Viren-Scanner und IS ausmacht. Bei ner IS kommt nichts durch. Zumindest bei mir bis heute nicht. Obwohl ich des öfteren mal auch auf andere Seiten surfe oder experimentiere.
Eigentlich müsste das standardmäßig eingeschaltet sein. Ansonsten schau halt mal bei den Optionen. Da gibts so einiges. Am besten du schaltest alles an, kostet eh kaum Performance. Aber sicher bist du damit natürlich nicht.
Absolute Sicherheit gibt es nur mit einer gängigen Internetsecurity. Das ist es ja genau, was den großen Unterschied zwischen simplem Viren-Scanner und IS ausmacht. Bei ner IS kommt nichts durch. Zumindest bei mir bis heute nicht. Obwohl ich des öfteren mal auch auf andere Seiten surfe oder experimentiere.
Von: einsamerschuetze
16.01.09 - 19:30
16.01.09 - 19:30
Das scheint generell eine Schwäche von Virenscannern zu sein. Ich hab Avira PE mal wieder gegen NOD ausgetauscht, einfach weil NOD .exe Dateien wenigstens ansatzweise auseinandernimmt und die eingebetteten Dateien scannt.
Probier es doch selbst mal aus! :-)
Die Software heißt Metasploit, ein Security-Auditing tool, das PCs auf Anfälligkeit für Exploits testet. Es beinhaltet dabei eben jene Exploits, welche von Virenscannern auf jeden Fall erkannt werden... nur halt nicht, wenn sie in einer Installations-exe enthalten sind!
http://metasploit3.com/framework/downloader/?id=framework-3.2.exe - musst in der Liste die .exe anklicken. Die Datei dann einfach mal scannen.
Probier es doch selbst mal aus! :-)
Die Software heißt Metasploit, ein Security-Auditing tool, das PCs auf Anfälligkeit für Exploits testet. Es beinhaltet dabei eben jene Exploits, welche von Virenscannern auf jeden Fall erkannt werden... nur halt nicht, wenn sie in einer Installations-exe enthalten sind!
http://metasploit3.com/framework/downloader/?id=framework-3.2.exe - musst in der Liste die .exe anklicken. Die Datei dann einfach mal scannen.
Von: TheLastSmurf
16.01.09 - 19:47
16.01.09 - 19:47
@ einsamerschuetze:
NOD 32 meinst du? So gut ist der Scanner auch wieder nicht ;) Naja, mein Kaspersky KIS ist auch nicht perfekt. Aber eben nahe dran. Das schützt sogar vor eigener Dummheit (aus Versehen) des Users ;P
NOD 32 meinst du? So gut ist der Scanner auch wieder nicht ;) Naja, mein Kaspersky KIS ist auch nicht perfekt. Aber eben nahe dran. Das schützt sogar vor eigener Dummheit (aus Versehen) des Users ;P
Von: Spartan24/7
16.01.09 - 19:53
16.01.09 - 19:53
Wie du echt an jeder Stelle Kaspersky nennen musst^^
Von: TheLastSmurf
16.01.09 - 22:45 (16.01.09 - 22:47)
16.01.09 - 22:45 (16.01.09 - 22:47)
@ Spartan24/7:
Selbiges könnte ich zu dir auch sagen. Und was hat das jetzt mit dem Thema zu tun? Behalte es doch einfach mal für dich, wenn dir etwas nicht passt. Dann werd ich in Zukunft auch auf das Aufzählen eines bestimmten Produktes verzichten. Was du immer denkst. Glaubst du wirklich, ich will damit Werbung machen? Was würde mir das denn bringen?
Es ist jedem selbst überlassen, welchen Scanner er einsetzt. Nur heutzutage ist fast alles voller Gefahren. Da sollte man weise wählen.
Zurück zum Thema:
@ einsamerschuetze:
Also NOD 32 hatte ich früher auch mal. Als Scanner war es schon ganz gut. Aber es fraß zuviele Ressourcen, dann bin ich auch auf AntiVir Premium Edition (PE) zurückgegangen. Doch seitdem das so teuer wurde, hab ich jetzt eben das, was oben schon genannt wurde. Und das scannt auch ausführbare Exe-Dateien und ist dabei auch zuverlässig (relativ). Doch merke:
Der Scanner kann noch so gut sein, wenn der Anwender die falschen Einstellungen hat. Also immer die besten Einstellungen (Sicher und langsamer) wählen, damit auch kein Virus durchkommt. Was heutzutage alles per ICQ, MSN usw. durchkommt ist eben schon erstaunlich. Da kriegt man ganz schnell etwas ab, was man nicht haben wollte.
Noch was zu den Exe-Archiven:
Der Anwender kann es selbst extrahieren, was Zeit kostet, und dann manuell scannen (Empfohlen) oder aber er schaltet im Virenscanner die Automatische De-Extrahierungs-Funktion ein. Dann braucht aber der Scanner, je nach Größe der Datei, einige Sekunden länger um den Inhalt zu dekomprimieren. Und dann muss er es auch noch scannen. Dann dauert es halt schon etwas länger.
Letztendlich ist bei beiden Methoden ein gewisses Risiko der Nichterkennung eines Virus dabei. Wichtig ist vor allem, dass die Heuristik des Virenscanners eingeschaltet wurde. Mir der Zeit (zur Zeit sind Whitelists in Virenscannern die Top-Technik zur Bekämpfung) werden aber in Zukunft Viren keine Chance mehr haben. Denn die aktuellste Technik wird dies effektiv zu verhindern wissen. Der Scanner scannt die Datei einmal und vergleicht sie mit einer sogenannten Whitelist, und wenn sie darauf vorkommt, wird sie nie mehr gescannt, nur bei Veränderungen, weil sie sauber ist.
Somit muss man nicht mehr wie in der Vergangenheit nach unbekannten Viren suchen oder gar Millionen von Viren in einer Liste durchgehen, um sicherzustellen, dass keine Datei infiziert ist. Das wird jetzt einfach viel besser gemacht mit den Whitelists.
Selbiges könnte ich zu dir auch sagen. Und was hat das jetzt mit dem Thema zu tun? Behalte es doch einfach mal für dich, wenn dir etwas nicht passt. Dann werd ich in Zukunft auch auf das Aufzählen eines bestimmten Produktes verzichten. Was du immer denkst. Glaubst du wirklich, ich will damit Werbung machen? Was würde mir das denn bringen?
Es ist jedem selbst überlassen, welchen Scanner er einsetzt. Nur heutzutage ist fast alles voller Gefahren. Da sollte man weise wählen.
Zurück zum Thema:
@ einsamerschuetze:
Also NOD 32 hatte ich früher auch mal. Als Scanner war es schon ganz gut. Aber es fraß zuviele Ressourcen, dann bin ich auch auf AntiVir Premium Edition (PE) zurückgegangen. Doch seitdem das so teuer wurde, hab ich jetzt eben das, was oben schon genannt wurde. Und das scannt auch ausführbare Exe-Dateien und ist dabei auch zuverlässig (relativ). Doch merke:
Der Scanner kann noch so gut sein, wenn der Anwender die falschen Einstellungen hat. Also immer die besten Einstellungen (Sicher und langsamer) wählen, damit auch kein Virus durchkommt. Was heutzutage alles per ICQ, MSN usw. durchkommt ist eben schon erstaunlich. Da kriegt man ganz schnell etwas ab, was man nicht haben wollte.
Noch was zu den Exe-Archiven:
Der Anwender kann es selbst extrahieren, was Zeit kostet, und dann manuell scannen (Empfohlen) oder aber er schaltet im Virenscanner die Automatische De-Extrahierungs-Funktion ein. Dann braucht aber der Scanner, je nach Größe der Datei, einige Sekunden länger um den Inhalt zu dekomprimieren. Und dann muss er es auch noch scannen. Dann dauert es halt schon etwas länger.
Letztendlich ist bei beiden Methoden ein gewisses Risiko der Nichterkennung eines Virus dabei. Wichtig ist vor allem, dass die Heuristik des Virenscanners eingeschaltet wurde. Mir der Zeit (zur Zeit sind Whitelists in Virenscannern die Top-Technik zur Bekämpfung) werden aber in Zukunft Viren keine Chance mehr haben. Denn die aktuellste Technik wird dies effektiv zu verhindern wissen. Der Scanner scannt die Datei einmal und vergleicht sie mit einer sogenannten Whitelist, und wenn sie darauf vorkommt, wird sie nie mehr gescannt, nur bei Veränderungen, weil sie sauber ist.
Somit muss man nicht mehr wie in der Vergangenheit nach unbekannten Viren suchen oder gar Millionen von Viren in einer Liste durchgehen, um sicherzustellen, dass keine Datei infiziert ist. Das wird jetzt einfach viel besser gemacht mit den Whitelists.
Logge dich ein um einen Beitrag zu schreiben.