AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Softwareentwicklung im Allgemeinen Projektplanung und -Management Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]
Thema durchsuchen
Ansicht
Themen-Optionen

Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

Offene Frage von "Sir Rufo"
Ein Thema von xbkbk · begonnen am 28. Mär 2016 · letzter Beitrag vom 30. Mär 2016
Antwort Antwort
Seite 2 von 6     12 34     Letzte »    
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#11

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 11:25
Oder die NVidia-Treiber-Systemsteuerung, die einfach einfriert, wenn sie gewisse Rechte nicht bekommt und dann bekommst du gar keine Fehlermeldung und auch keine Abfrage... es läuft einfach nicht mehr und man kann den Grafikkarten-Treiber nicht einstellen usw. usw....
Sowas macht hübsch aggressiv... alleine schon was man da für Zeit reinbuttert...
Wenn dem so ist, dann ist die gerade installierte Software wohl Virenfrei.
Irgendwie schaffen es Virenprogrammierer immer wieder, ihre Software zu installieren, ohne daß der Benutzer mehr als unbedingt nötig belästigt wird (meistens nie). Und in den meisten Fällen funktioniert sie auch noch.



Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
mm1256

Registriert seit: 10. Feb 2014
Ort: Wackersdorf, Bayern
640 Beiträge
 
Delphi 10.1 Berlin Professional
 
#12

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 11:36
Irgendwie schaffen es Virenprogrammierer immer wieder, ihre Software zu installieren...
So ist es, leider. Darum bin ich auch überzeugt davon, dass man mit weiteren/neuen Tools wie vom TE angedacht letztendlich nichts oder nicht viel erreichen kann. Der Schutz müsste schon früher ansetzen, z.B. bei der Installation. Ein nicht zertifizierter Treiber oder eine nicht zertifizierte Software sollte gar nicht installierbar oder ausführbar sein. So was könnte man doch als sinnvolle Ergänzung zu einer AV-Software sehen?
Gruss Otto
Wenn du mit Gott reden willst, dann bete.
Wenn du ihn treffen willst, schreib bei Tempo 220 eine SMS
  Mit Zitat antworten Zitat
einbeliebigername

Registriert seit: 24. Aug 2004
140 Beiträge
 
Delphi XE8 Professional
 
#13

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 12:15
Hallo,

Ein nicht zertifizierter Treiber oder eine nicht zertifizierte Software sollte gar nicht installierbar oder ausführbar sein. So was könnte man doch als sinnvolle Ergänzung zu einer AV-Software sehen?
Dann werden die nötigen Zertifikate halt geklaut oder es werden Schwachstellen in irgendeiner (Sicherheits-)Software ausgenutzt. Und wenn das nicht geht, dann kommen die Dummen die dieses Sicherheitsfeature ohne Grund deaktivieren.

Und dann bleiben noch die Softwareentwickler, die mit diesem Sicherheitsfeature die unterschiedlichsten Probleme haben. Wie ich. Bei einem meiner Projekte wüsste ich gar nicht wie ich das Signieren umsetzten sollte, selbst wenn ich mir das leisten könnte.

einbeliebigername.
  Mit Zitat antworten Zitat
pesi

Registriert seit: 29. Aug 2003
Ort: 36217 Ronshausen
117 Beiträge
 
Delphi XE5 Professional
 
#14

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 14:09
Dann will ich auch mal meinen unqualifizierten Senf dazugeben, aber der Initiator dieses Threads hat es ja so gewollt:

Ich würde mir einen solche Software definitiv niemals installieren. Die macht Einiges von dem, weswegen ich schon Windows Vista oder auch Windows 8 nicht installiert habe: MICH BEVORMUNDEN! Das ist MEIN PC und MEIN BETRIEBSSYSTEM und wenn ICH ENTSCHEIDE mir eine Software XYZ zu installieren, dann hat mein PC das gefälligst zu tun und zwar OHNE WENN UND ABER! ....wenn ich im Nachhinein feststelle, dass diese Software Schrott ist oder Dinge tut die ich nicht möchte, naja, dann fliegt sie halt wieder!

VG
Peter
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.574 Beiträge
 
Delphi 11 Alexandria
 
#15

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 14:55
....wenn ich im Nachhinein feststelle, dass diese Software Schrott ist oder Dinge tut die ich nicht möchte, naja, dann fliegt sie halt wieder!
Was bei Malware nicht so einfach ist...
Da bleibt dann nur das letzte Backup einzuspielen (zumindest als seriöse Vorgehensweise).
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
mm1256

Registriert seit: 10. Feb 2014
Ort: Wackersdorf, Bayern
640 Beiträge
 
Delphi 10.1 Berlin Professional
 
#16

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 17:20
[ot]
Und dann bleiben noch die Softwareentwickler, die mit diesem Sicherheitsfeature die unterschiedlichsten Probleme haben. Wie ich. Bei einem meiner Projekte wüsste ich gar nicht wie ich das Signieren umsetzten sollte, selbst wenn ich mir das leisten könnte.

einbeliebigername.
k-Software ist dein Freund wenn es um gute Preise geht. Zum Umsetzen wirst du in der DP geholfen
Gruss Otto
Wenn du mit Gott reden willst, dann bete.
Wenn du ihn treffen willst, schreib bei Tempo 220 eine SMS
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#17

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 17:52
Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?
Nicht wirklich effizient. Wenn ich Hooks gezielt umgehen will, dann "manual mappe" ich die entsprechende Dll, parse noch schnell die EAT und hole mir die Funktionsadressen somit komplett ohne irgendwelche API Aufrufe.

Da das manuelle Laden der Dll auch nicht ohne Weiteres festgestellt werden kann, ist davon auszugehen, dass auch keine Inline Hooks mehr im Code aktiv sind.

Und wenn man ganz viel Zeit zu viel hat, dann bastelt man sich für jede Windows Version eine Syscall-Table. Kennt man die entsprechenden Interrupt Nummern (sieht man in der ntdll.dll auf den ersten Blick in fast jeder nativen API), kann man über das direkte Ausführen der SYSCALL Instruction auch die entsprechende API im Kernel ansprechen.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#18

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 18:01
Ja gut wer sich so viel Arbeit macht hat es auch verdient nicht gehookt zu werden
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
FarAndBeyond
(Gast)

n/a Beiträge
 
#19

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 20:37
Zitat:
Wenn dem so ist, dann ist die gerade installierte Software wohl Virenfrei.
Irgendwie schaffen es Virenprogrammierer immer wieder, ihre Software zu installieren, ohne daß der Benutzer mehr als unbedingt nötig belästigt wird (meistens nie). Und in den meisten Fällen funktioniert sie auch noch.
Ja, wenn der Cracker was kann, dann merkt niemand etwas auch die AV-Software nicht. (Falls er sie nicht schon längst abgeschossen hat.. wie schwer ist es ein Icon in der TNA erscheinen zu lassen?)
Wenn im Hintergrund auf modernen Rechnern ein oder zwei Dienste zusätzlich laufen, dann macht sich das in der Geschwindigkeit überhaupt nicht bemerkbar und bei guter Programmierung werden die Dienste nichtmal mehr angezeigt... zumindest nicht mit StandardTools...

Zitat:
Dann werden die nötigen Zertifikate halt geklaut oder es werden Schwachstellen in irgendeiner (Sicherheits-)Software ausgenutzt. Und wenn das nicht geht, dann kommen die Dummen die dieses Sicherheitsfeature ohne Grund deaktivieren.
Und dann bleiben noch die Softwareentwickler, die mit diesem Sicherheitsfeature die unterschiedlichsten Probleme haben.
Ja, das sehe ich genauso, wie sollen Zertifikate helfen wenn diese genau wie alles andere aus Nullen und Einsen bestehen??? SoftwareSchutz kann immer umgangen werden, die Frage ist wie lange möchte jemand daran sitzen und es probieren. Das ganze ist soetwas wie eine Challenge und es gibt immer Leute die haben das Können und Wissen und die Zeit...

Zitat:
....wenn ich im Nachhinein feststelle, dass diese Software Schrott ist oder Dinge tut die ich nicht möchte, naja, dann fliegt sie halt wieder!
Und hast du mal darüber nachgedacht wie du das feststellen willst. Das sagt sich immer sehr einfach, aber in der Praxis bemerkst du gar nichts. Wie schwer ist es für solche klugen Köpfe eine Software zu schreiben, die einen Job macht und sich dann wieder löscht, den Email-Client oder was sonst noch nötig ist hat die Software schon mit an Bord.

Wie willst du bemerken ob eine Software:
- einen globalen Hook einrichtet
- einen direkten Speicherzugriff macht
- einen laufenden Prozess manipuliert bzw. verändert
- eine DLL initialisiert oder sich indirekt an einen laufenden Prozess anhängt
- in den Speicherbereich einer anderen Anwendung schreibt
- sich höhere oder mehr Rechte beschafft
- Dateien austauscht
- Dienste nutzt
...
Mal ganz abgesehen von der Tatsache, dass eine moderne CPU 'ne Menge an Dingen innerhalb von wenigen Millisekunden oder Mikrosekunden oder Nanosekunden macht. Danach sieht dann schon wieder alles anders aus (Tarnmodus an). Und die meisten Rechner laufen länger als nur hier und da mal 'ne Minute.

Wenn du etwas bemerkst, dann hat der Angreifer 'was falsch gemacht.
Ich will gar nicht wissen wie viele Rechner und Webseiten sich da draußen im Zombie-Modus befinden.

Ich hab' mal OpenOffice getestet (welche Version weiß ich aber nicht mehr) und war sehr überrascht, dass DRAW ohne globalen Hook nicht funktionieren wollte, nach weiteren Tests hat sich OpenOffice sogar einen direkten Speicherzugriff gönnen wollen. Komischerweise macht LibreOffice das nicht und DRAW funzt auch ohne globalen Hook in LibreOffice. Seitdem bin ich LibreOfficeFan (Portable Version).

Oder: Windows 7 Notepad holt sich immer einen globalen Hook wenn man das zulässt. Funktioniert allerdings auch prima ohne diesen. Welcher Nutzer bekommt das denn mit ????
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#20

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 23:18
Ich entnehme den vorherigen Kommentaren, dass sich das ganze (für mich) wohl eher weniger zu programmieren lohnt, da es für den gewonnenen Nutzen zu aufwändig ist.
Da Delphi wohl die falsche Plattform ist lasse ich es gleich sein, da ich mit anderen Sprachen wie C, C++ usw. nichts am Hut habe.

Alternativ hätte ich eine Ersatzidee, die nicht ganz so erfahrenen Nutzern dennoch nützlich werden könnte (sofern sie wenigstens ein ganz kleines bisschen von Computern verstehen)
Da ich Antivirenprogrammen aus Gründen* nicht vertraue, möchte ich gerne etwas schreiben, das es einem ermöglicht, Viren zu bekämpfen, ohne auf herkömmliche AV Lösungen zurückgreifen zu müssen.
Meine Idee wäre also folgende:
Da der Großteil der Viren irgendeine .exe und/oder .dll irgendwo hin erstellt habe ich mir überlegt, dass man ein Notfallprogramm (für den durchschnittlichen, aber nicht ganz dummen Nutzer) schrieben kann, das eine Dateiliste von C:\ und Unterverzeichnissen anlegt und einem dann alle Dateien anzeigt, die innerhalb einer bestimmten Zeit installiert wurden (der Nutzer kann soll zunächst eingeben, seit wieviel Tagen er komisches Verhalten beobachtet und das Programm listet dann alle Dateien auf, die seitdem erstellt worden sind)
Dann soll der Nutzer die Möglichkeit haben, die betreffenden Daten zu entfernen.
Dass das ganze eine ziemlich dreckige Lösung ist weiß ich selbst, das braucht mir keiner sagen, aber es soll auch NUR eine Notfallösung darstellen, sodass spontan schnell weitergearbeitet werden kann, wobei man sich mittelfristig etwas detailierter um sein System kümmern sollte.
Das ganze kann sinnvoll sein, wenn die besagte Rechnung.exe irgendwo was hinkopiert hat, was da nicht hin soll. Dass dann in irgendwelchen Autostarteinträgen oder sonstigen Verweisen auf die nicht mehr existente Datei referiert wird ist mir bekannt, kann aber aufgrund der Notfallösung vernachlässigt werden.
Für hartnäckige Viren ist die Nutzung eines solchen Programmes von einer Live CD empfehlenswert, allerdings bin ich am überlegen, ob man auch den Loginscreen mit sowas ausstatten könnte (utilman.exe oder sethc.exe ersetzen)
Dass das Risiko besteht, dass Nutzer Daten löschen, die eigentlich noch gebraucht werden habe ich auch schon überlegt. Das könnte man so umgehen, dass das Programm vor dem Löschen eine Sicherheitskopie in C:\Backup_vor_Löschung_von_Sachen\ anlegt, mitsamt einer Textdatei, wo die gesicherten Daten herkommen, sodass man sie falls das OS nicht mehr arbeiten will, per Live CD zurückschieben kann.

Gebt bitte auch hierzu euren Senf ab, besonders, wenn ihr Verbesserungsvorschläge habt.



*Ich habe in Delphi mal just for Fun einen kleinen Virus geschrieben, um zu sehen, wie die AV Programme darauf reagieren. Das Ding war recht billig und nicht sehr auufwändig geschrieben (Arbeitszeit 2 bis 4 Stunden oder so und das auch nur weil ich recherchieren musste, wie man Tastatureingaben hookt) Die .exe hat sich erstmal irgendwo in %appdata%\bla.. kopiert und in der regedit in den Autostart gepflanzt. Während das Ding lief hat es alle Tastatureingaben (hab ich gehookt) geloggt und alle 20 Sekunden auf einen FTP Server hochgeladen. Zudem hat er alle 30 Sekunden einen Screenshot gemascht und den ebenfalls auf den FTP Server geladen.
Ich dachte, dass das 80% der Antivirenscanner komisch finden müssten, aber nichts da! habe die Project1.exe auf virustotal hochgeladen und die Seite sagte mir, dass 52 von 52 Antivirenprogrammen grünes Licht gegeben haben und es offenbar keines der Programme komisch fand, was da abgeht. (3 Programme haben gemeckert, als ich versucht hab, die selbe Datei unter dem Namen blabla.txt.exe oder so hochzuladen, allerdings auch NUR aufgrund des Namens und nicht, weil es eine gefährliche Aktion ausführen will..) Naja seit dem Tag sind AV Programme für mich gestorben, weil ich erkannte, dass wenn man ohne nennenswerte Kenntnisse über Viren einen Virus schreiben kann, der nicht erkannt wird, die AV Lösungen wohl wenig taugen.
-> Das ist auch der Grund, warum ich selbst so etwas schreiben will. Ob es dann ständig nervt oder nicht steht auf einem anderen Blatt, aber zumindest in Puncto Sicherheit soll das ganze punkten.
Felix
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 6     12 34     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:15 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz