Einzelnen Beitrag anzeigen

Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.648 Beiträge
 
Delphi 11 Alexandria
 
#22

AW: Windows und Virenwächter

  Alt 27. Jul 2022, 00:00
Leider ist die Performance weniger gut, was man insbesondere beim Kompilieren mit Delphi gut merkt. Das klappt mit Norton deutlich schneller.
Auch beim Defender kann man Compiler, Linker und andere Entwicklertools ausnehmen und hat dennoch beim Ausführen der erstellten PE-Datei ein Sicherheitsnetz, sofern man sich nicht gleich entscheidet den ganzen "Entwicklungsordner" als Ausnahme zu deklarieren.

Vermutlich hat Norton da einfach ne bessere Heuristik um den Compiler zu erkennen und macht das dann von sich aus. Gerade das wiederum wäre für mich eher ein Negativmerkmal. Aber so unterscheiden sich halt die Anforderungen.
Das hat mich nun einmal interessiert. Ich habe daher eine der zu kompilierenden Dateien extern mit Viruscode manipuliert, dann Windows und Delphi wieder gestartet. Die Datei wurde dann beim Kompilieren von Norton erkannt.

Deine Vermutung ist also nicht korrekt. Die Analyse der Dateien ist einfach nur schneller, wird aber durchaus korrekt durchgeführt.

Und diese Information kann man nicht mit "dem gesunden Menschenverstand" ermitteln, den ja einige als Alternative zu Antivirentools anpreisen.
Doch. Und der ist die beste Alternative. Leider ist der in anglophonen Welt als "common sense" bezeichnete gesunde Menschenverstand nicht so "common", bzw. stark auch von Wissen und Erfahrung abhängig.
Woher soll ich das denn erkennen? Klar, es gibt einige Quellen, die zusätzlich Hashwerte zu den Downloads anbieten, aber das sind ja nun einmal nicht viele.
Da du schreibst, dass ich eine solche serverseitige Manipulation auch mit dem gesunden Menschenverstand erkennen könnte, wäre interessant wie genau. Da habe ich leider keine Idee, wenn der Virus nicht gerade so dumm geschrieben ist, dass er beim Ausführen des Setups erkennbar ist.

Wenn du per Default kein JS ausühren lässt (uMartix), sollte das kein Problem sein.
Wie soll das dabei helfen, einen serverseitig kompromittierten Download von einem Server zu erkennen?
Überhaupt nicht!

Aber wer auf seinem Server überhaupt solche Downloads aus nicht vorher geprüften Quellen ausführt, hat ganz andere Probleme! Schon von SRP und AppLocker gehört? Und dann halt Silos/AppContainer auf modernen Windowsversionen ...
Davon habe ich doch gar nicht gesprochen. Ich rede davon, dass ich auf meinem Desktop einen Download von einem eigentlich vertrauenswürdigen Server lade, der aber auf dem Server durch einen Virus befallen wurde. Und genau das kann ich durch Norton erkennen.

Bei den beiden genannten Beispielen wurde hinterher auch bekannt, dass die Server kompromittiert wurden. Es war kein (!) False Positive, zumal das auch ein großer Zufall gewesen wäre...
Sebastian Jänicke
AppCentral
  Mit Zitat antworten Zitat