@Bummi, Luckie und jaenicke (bezogen auf Post #25)
Bitte die Sätze nicht anders deuten als sie gemeint sind oder dazu dichten was nicht drin steht. Sie sind so gemeint wie sie da stehen. Nicht mehr, aber auch nicht weniger.
Wenn ich sage, dass ich Rechner zu schützen weiß, dann, weil ich Kunden die früher permanent Probleme mit Viren hatten trotz Virenscanner, plötzlich keine Probleme haben. Und weil auch die Rechner von Computerneulingen seit der Installation noch nie einen Virusproblem hatten.
Interessante Aussage. Du weißt also von Malware genau wo sie sich einnisten und was sie verändern und kannst das alles Rückgängig machen? Hm, damit könntest du wahrscheinlich sehr viel Geld verdienen. Ein menschlicher Virenscanner und Wunderheiler in einem?
Ich hab früher richtige Untersuchungen bezüglich Virenbefall gemacht, die mit jedem Virenlabor mithalten oder sogar besser waren. Ich hatte zig virtuelle Maschinen laufen und habe getestet mit welcher Konfiguration welche Gefahren drohen. Ich habe richtig Feldforschung betrieben. Ich hab jetzt kein Lust meine Unterlagen durchzusuchen, aber es gab da auch Rechner mit einigen hunderten bis tausenden Schädlingen. Der krassester Fall war eine Maschine die im Sekundentakt Schädlinge nach lud (oder kopierte?) und sich so selbst aus dem den Rennen brachte, weil nach einer Zeit die Festplatte voll war. Bei einer andere Maschine liefen gleichzeitig einige hundert Schädlinge parallel und verbrauchten 100% Rechenleistung dadurch.
Das zeigt wie dumm Schädlinge sein können. Der Schädling der sich im Sekundentakt nach lud dachte, dass er sich so schützen kann, weil keiner schneller löschen kann als er sich vervielfältigen kann. Man darf hier also nicht dem Konzept des Schädlings folgen und versuchen schneller zu löschen als er sich kopieren kann, sondern muss ihm die Grundlage entziehen. Man muß zuerst dafür sorgen, dass er sich nicht weiter vervielfältigt, erst dann kann man anfangen ihn zu löschen. D. h. immer das Konzept durchbrechen.
Gelegentlich habe ich mich dran gemacht solche extrem befallene Rechner Just4Fun wieder erfolgreich von Schädlingen zu befreien. Und wenn ich sage, dass man alles befreien kann, oder zumindest stilllegen kann, dann stimmt das schon. Man muß nur Erfahrung haben. Du muß wissen, dass Schädlinge im Grunde genommen dumm sind, es sind einfache Konstrukte die durchaus erfolgreich ein Konzept verfolgen, aber nicht genial sind. Die Leute glauben, dass sie genial sind weil sie es geschafft haben einen Rechner zu befallen. In Wahrheit sind es Grobmotoriker die durchaus mit einem dicken Hammer irgendwo draufhauen können und so viel Schaden anrichten, aber sonst nicht besonders helle sind. Ich behaupte nicht, dass man einen Schädling genial programmieren kann, aber wozu? Wozu Auffand betreiben? Ein Trojaner zielt auf eine spezielle Lücke, da ist es gut, vielleicht unternimmt er auch einiges zum Eigenschutz, aber nicht alles. Ein Trojaner nutzt Sicherheitslücken aus, hat in der Regel aber auch Sicherheitslücken.
Ich hab Systeme wieder frei bekommen, wenn man Interesse hatte. Manchmal ist es Fummelsarbeit, aber manchmal ist es einfacher als man denkt. Wenn ein Schädling sich nicht entfernen läßt, dann kann man dafür sorgen, dass er keinen Schaden anrichtet. Es gibt einige Konzepte wie man ein Schädlingsproblem angehen kann.
Wie dumm Schädlinge sein können, wobei ich nicht den Fehler begehen will sie zu unterschätzen, habe ich bemerkt als ich meinen Dialer-Killer noch unter Windows 9x entwickelt hatte. So größenwahnsinnig es sich anhört, mein Toll war besser als jedes kommerzielle Tool. Wieso ich es nicht kommerziell anbot, keine Ahnung, vielleicht fehlte mir da der Mut. Irgendwann kam DSL und das Problem hat sich erledigt. Denn während die professionellen Systeme tief im System alles überwachten, oder nach Signatur im Programmcode suchten, ist mir die Schwachstelle der Dialer aufgefallen - ihr Name. Sonderbar, man hat sich so viel Mühe gegeben sie gut zu programmieren, aber keiner ist auf die Idee gekommen dem Dialer einen guten Namen zu geben. So unglaublich es klingt, alle Dialer hatten Namen die sich aus einer handvoll Begriffen zusammen setzte oder kopierten sich in bestimmte Ordner. Überwachte man die Prozesse und suchte nach Muster oder überwachte bestimmte Ordner, war die Trefferquote 100%.
Und wer jetzt meint, dass das Programm nicht zuverlässig arbeiten konnte, weil es ja irgendwer auf die Idee hätte kommen können den Prozess zu verstecken, klar, wäre möglich gewesen, hat aber keiner gemacht. Zumindest bei mir oder meinen Freunden nicht. Woher ich das weiß? Über die Telefonrechnung. Das ist das was ich mit Schwachstellen meine, manchmal ist die Schwachstelle simpler als man denkt. Das mein Toll funktionierte weiß ich, weil ich jeden Abschuss mit dem Sound aus Spiel mir das Lied vom Tode quittierte
Bisschen Spaß muss sein.
Das heißt wenn ein Trojaner Code nachgeladen hatte, der irgendetwas am System verändert hat, und dieser Code dann wieder gelöscht wurde, kannst du das trotzdem nachvollziehen und rückgängig machen?
Wo habe ich das behauptet? Was weg ist, ist weg. Was zerstört ist ist zerstört. Zerstörtes kann auch ich nicht wiederherstellen. Was ich geschrieben habe ist, dass ein Schädling genauso wie ein Kopierschutz nur von Menschen geschrieben wurde und überlistet werden kann.
Ok, es geht hier doch nicht drum welchen Schaden ein Schädling anrichtet, sondern wie drauf reagiert wird. Wenn dein Rechner befallen ist und deine Software meint, dass sie nichts machen kann, wie reagierst du? Ruhig, versuchst das Problem zu analysieren, oder panisch, schnell alles platt machen?
Ich habe mich nicht besser gemacht als ich bin, aber Schädlinge sind wie ein Kopierschutz von Menschen gemacht und haben immer eine Schwachstelle. Man muß die nur finden.
Wie willst du denn herausfinden was alles an einem kompromittierten Rechner für Hintertüren geöffnet wurden?
Das ist es ja, nicht dem Konzept folgen, denn da ist der Schädling gut und schützt sich. Vielmehr das Konzept durchbrechen.