AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Antivirus.NET

Ein Thema von Vader · begonnen am 28. Jan 2011 · letzter Beitrag vom 4. Feb 2011
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#11

AW: Antivirus.NET

  Alt 30. Jan 2011, 20:40
Die Lücke ist diese hier: https://www.rootkit.com/newsread.php?newsid=726

Hier der PoC. ... in dem Thema sind auch die Hintergründe zu finden.
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
QuickAndDirty

Registriert seit: 13. Jan 2004
Ort: Hamm(Westf)
1.944 Beiträge
 
Delphi 12 Athens
 
#12

AW: Antivirus.NET

  Alt 4. Feb 2011, 00:11
[QUOTE=Matze;1078009]
"XP nicht mit einem Admin-Account verwenden" wäre eine passendere Aussage.
Stimmt! War so eine Erinnerung...tatsächlich habe ich meinem Schwager ein XP verpasst und lasse die nur als User
rummachen...das funktioniert bestens...besser als zu meiner XP zeit im Admin modus...
Andreas
Monads? Wtf are Monads?
  Mit Zitat antworten Zitat
QuickAndDirty

Registriert seit: 13. Jan 2004
Ort: Hamm(Westf)
1.944 Beiträge
 
Delphi 12 Athens
 
#13

AW: Antivirus.NET

  Alt 4. Feb 2011, 00:40
...denn alle Virenscanner müssen um ihren Job gut zu machen sich selbst als rootkit installieren!
... geht's noch?

Du kennst schon den qualitativen Unterschied? Windows bietet Unterstützung für das Filtern von Dateisystemoperationen. Entsprechend braucht man nicht, wie du behauptest, Rootkitmethoden einsetzen. Abgesehen davon haben AV-Hersteller einen gehörigen Nachteil: im Gegensatz zum Angreifer der auf Systemstabilität keinen Wert legen muß, erwarten Benutzer von uns ein stabiles Produkt. Der Angreifer hingegen kann sich auch leisten daß hunderte Systeme nicht mehr funktionieren. Und Rootkitmethoden haben leider das Problem, daß sie Instabilitäten erzeugen - egal wer sie einsetzt. Das habe ich selber auch schon Kaspersky bewiesen. Nur haben die es ignoriert und sich danach künstlich aufgeblasen als ein anderer auf rootkit.com die gleiche Lücke nach vielen Monaten veröffentlichte (gemeldet von mir Okt. 2005, veröffentlicht auf rootkit.com Jun. 2007).
Zu der Zeit als ich mich mit Virenscannern beschäftigt habe hieß es sie installieren sich als Rootkitt. Vor allem Norten Commander soll deswegen besonders gut gewesen sein(damals...heute nervt er nur...kann nicht raten den zu nutzen).

Nichts mit Daemontools oder so vorrübergehend mounten...
Wer Autostart/AutoPlay an hat dem ist ohnehin nicht mehr zu helfen.
es kommt drauf an...^^
Aber ich glaube Daemontools ist der LAN Seuchenträger.

MSN Livemessenger NUR in sandboxie verwenden!
yahoo messenger NUR in sandboxie verwenden!
Wie wäre es komplett ein Alternativprogramm wie Pidgin, Miranda o.ä. zu verwenden?
Oh...ich dachte schon du kommst auch noch mit Kopete.
Pidgin, Miranda, Trillian, Kopete... meine letzten Information sagen das die Unterstützung von Audio und Video chat für das MSNP16 in keinem funktioniert...
Außerdem mag ich amsn...und dort besteht hoffnung das mit der nächsten version audio und video wieder da sind...(außer dem MUSS ich amsn mögen weil ich viele stunden damit verbracht habe alle in SLED11SP1 nicht vorhandene bibliotheken zu suchen, zu installieren, fehlgeschlagene installationen aufzuräumen , neu zu suchen und zu installieren und am ende den scheiß confgurieren und de source builden und das compilat installieren....also falls jemand eine aMSN Version für sled 11sp1 braucht...ich habe nen recht vollständigen Ordner dafür)

Und die schönen features von MSN...animierte avatare , Hintergründe und perverse smiles die mir den text unleserlich machen, animoticons, winks...das muss alles sein und nicht nur im empfangen modus!!
Deswegen sandboxie... und du kannst sandboxie auch benutzen um dich bei jedwelcher anderen activität mit nicht vertrauenswürdigen Programmen oder Dateien abzusichern...

auf Kino(Punkt)"komisches Land in dem alles erlaubt ist" Filme gucken dir komische codecs installieren...alles kein Problem in der sandbox.


Was gefällt dir an Sandboxie nicht?


Und vergiss das mit dem löschen von dem Trojaner...das system ist schon zu lange kompromitiert, es neu auf zu setzen ist das einzig Richtige.
Zu lange kompromittiert? Hast du die Malware geschrieben, oder woher weißt du wie lange sein System kompromittiert ist?


Es gibt sicher andere Methoden um von diesen "Rogue AVs" loszukommen, aber die sicherste Methode ist in der Tat immer ein sauberes Backup zu haben oder sich durch Neuinstallation eins zu verschaffen und dann immer zu pflegen.
Sag ich doch! Würdest du auf die Sauberkeit des Systems noch vertrauen, wenn die Malware weg ist ?
Andreas
Monads? Wtf are Monads?

Geändert von QuickAndDirty ( 4. Feb 2011 um 00:48 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#14

AW: Antivirus.NET

  Alt 4. Feb 2011, 03:27
Zu der Zeit als ich mich mit Virenscannern beschäftigt habe hieß es sie installieren sich als Rootkitt. Vor allem Norten Commander soll deswegen besonders gut gewesen sein(damals...heute nervt er nur...kann nicht raten den zu nutzen).
Norton Commander war ein DOS-Dateimanager. Und Norton Antivirus wurde vor 2 oder 3 Jahren komplett neu geschrieben, weil die Leute es nur noch als zu klobig empfanden ... inzwischen ist also wohl eher der Ruf schlechter als die Tatsachen. Aber ich will ja keine Werbung für die Konkurrenz machen

es kommt drauf an...^^
Aber ich glaube Daemontools ist der LAN Seuchenträger.
Ach so? Eine Glaubensfrage? ...

Könntest du das vielleicht mit einer IDB oder entsprechenden Ausschnitten des Disassemblats untermauern? Mit Glauben hab ich's nicht so ...

Oh...ich dachte schon du kommst auch noch mit Kopete.
Pidgin, Miranda, Trillian, Kopete... meine letzten Information sagen das die Unterstützung von Audio und Video chat für das MSNP16 in keinem funktioniert...
Ach ja, stimmt. Wenn man unbedingt dieses oder jenes "braucht", kann die Sicherheit mal hintenan stehen ... nicht wahr? Kennen wir als "Social Engineering"-Masche von der verlockenden Wirkung von (kostenlosen) Filmchen mit nackten Tatsachen. Man "braucht" halt diesen Codec oder diesen Player und schwupps hat sich irgendeine Malware eingenistet.

Und die schönen features von MSN...animierte avatare , Hintergründe und perverse smiles die mir den text unleserlich machen, animoticons, winks...das muss alles sein und nicht nur im empfangen modus!!
Das ist sehr schade. Dank alternativem IM kann ich auf alle diese Sachen verzichten, auch wenn du mich kontaktieren würdest und meinst mir solchen Mist aufnötigen zu müssen. Alle Mühe umsonst ...

Deswegen sandboxie... und du kannst sandboxie auch benutzen um dich bei jedwelcher anderen activität mit nicht vertrauenswürdigen Programmen oder Dateien abzusichern...
Der Sinn (oder Unsinn) dieser Ansätze beschäftigt mich schon eine Weile. Wenn in einem Sandkasten deine Daten gestohlen werden, sind sie auch weg ... völlig egal ob du als Bonus noch Malware bekommen hast oder diese verhindert wurde.

auf Kino(Punkt)"komisches Land in dem alles erlaubt ist" Filme gucken dir komische codecs installieren...alles kein Problem in der sandbox.
Is klar ...

Was gefällt dir an Sandboxie nicht?
Dazu bemühe ich mal die Worte des Autors ...
Zitat von http://www.sandboxie.com/index.php?NotesAbout64BitEdition:
Full disclosure: The 64-bit edition of Sandboxie provides a reduced level of protection compared to the 32-bit edition of Sandboxie.

This shortcoming is the result of a new security feature introduced in 64-bit editions of Windows, called Kernel Patch Protection. This feature aims to protect the core of Windows (the kernel) by regularly performing self-checks to detect changes.

The problem is that a stock Windows kernel does not provide all the facilities necessary to implement a security solution such as Sandboxie. On 32-bit Windows, Sandboxie can dynamically enhance the Windows kernel to provide the missing functionality. This is not possible on 64-bit Windows, due to the Kernel Patch Protection feature.

It should be noted, however, that even with this disadvantage, the 64-bit edition of Sandboxie is still an adequate front line of defense against most types of malicious software.

Additionally, in order to compensate for this disadvantage, the 64-bit edition of Sandboxie enables the Drop Rights setting by default. This setting may need to be disabled before software can be installed into a sandbox.
Wie war das noch mit den Rootkitmethoden?

Würdest du auf die Sauberkeit des Systems noch vertrauen, wenn die Malware weg ist ?
Kommt drauf an. Wenn ich sie selber vollständig analysiert und verstanden hätte, bspw. schon.

Aber wozu drauf vertrauen, wenn ich doch saubere Backups bereithalte
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:49 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz