Ich glaube dein Sarkasmus-Detektor ist kaputt ...

Ja, der leidet in letzter Zeit ein wenig und muss mal wieder nachjustiert werden. Ich hatte deinen Kommentar tatsächlich ernst genommen ...

Wow, tausend Dank! Das ist ne Menge Input.

Vor allem die Hintergründe zu VT und Co. Ein ungutes Bauchgefühl hatte ich eh bei dem Ansatz "so lange kleine Änderungen probieren, bis es passt." Das hat sich dann bestätigt, und ich werde das bleiben lassen, bzw. nur in Ausnahmefällen machen.

Generell sind mir Fehlalarme bei den ganzen AV-Herstellern egal in dem Sinne, dass ich da keine Arbeit reinstecke, um die von meiner Seite zu beheben. Dafür ist mein Nutzerkreis zu klein, und die Schnittmenge zu Nutzern von Antivirus-Produkt-XY dürfte eher ein-, maximal zweistellig sein. Beim Windows Defender sieht das etwas anders aus, daher habe ich mich an der Stelle mal oberflächlich damit beschäftigt.

Zum Begriff Schlangenöl: Ich bin da nicht so fanatisch wie z.B. fefe. Problematisch sehe bei AV-Software, dass sie unter Umständen bei einigen Usern ein (falsches) Gefühl der Sicherheit erzeugt, und im Ernstfall dann doch nicht hilft. Bei Sicherheits-Komplett-Paketen, die dann auch TLS-Verbindungen aufbrechen, werde ich aber wirklich skeptisch.
Ein Virenscanner, der im Hintergrund läuft, ist schon sinnvoll denke ich. Ich bin da auch sehr dankbar, dass MS sowas bei Windows integriert hat, und dass deren Defender relativ unauffällig arbeitet. Und nicht regelmäßig Popups produziert wie "Alles OK, ich mache einen super Job!" und "Bitte hier klicken zum Kauf der Vollversion".

Klar, die haben auch ein berechtigtes Interesse daran, dass ein eigenes Programm nicht das eigene OS unbenutzbar macht.

Den Anderen ist es wohl eher mehr egal, hauptsache "sicher".
Wobei, viele der AV-Programmhersteller nutzen doch keine eigene Signaturen und verwenden die von wo anders,
aber ich hätte dann eigentlich auch erwartet, dass es dort dann auch einfacher wird, wenn sich nur Einer oder eine Gruppe um die Befüllung/Bereinigung/Reparatur kümmern, anstatt jder Hersteller selbst.


Zum Glück hatte ich selber noch nicht so große Probleme und die zwei/drei mal, war das Problem zwei Stunden bis paar Tage Später weg, nachdem ich den Fals-Positive hochgeladen hatte.


Nur ein paar Neuerungen von Microsoft nerven, denn standardmäßig ist jetzt "Löschen" voreingestellt, statt den Kunden zu warnen nerven.
Und dann diesee neue coole Funktion, wo ich grade wieder den Namen vergessen hab, da wird beim "ersten" Start die EXE ungefragt/heimlich in die Cloud hochgeladen, für x sekunden blockiert/verzögert und dann geperrt, oder wenn die Cloud nicht schnell genug reagiert nach 10 oder 30 Sekunden erst gestartet.


[EDIT] OK, war zu einfach der Name: "block at first sight"
https://www.tenforums.com/tutorials/...dows-10-a.html
https://docs.microsoft.com/de-de/win...nder-antivirus

Hatte ein Programm auf dem Server kompiliert, via RDP her geholt und wollte es lokal testen ... erst gefühlt ewig warten und dann der Sperrbildschrirm.

Nehmen wir mal die aktuelle Bedeutung, so wie sie halt auf AV-Software auch angewandt wird.

AVs schützen vor Dingen, die den jeweiligen Herstellern bekannt sind, bzw. durch eine Heuristik erfaßt werden. So weit, so gut. Problem ist nur, daß in der Tat allein schon durch das Parsen von Dateien aller Couleur jede Menge Angriffsfläche frisch entsteht. Guck dir die mehr oder weniger regelmäßigen Schwachstellen in Sachen Archivformate an. Und wenn es dann an die Bearbeitung der gemeldeten Schwachstellen kommt, dann merkt man, daß es auch bei AV-Herstellern kein höheres Problembewußtsein für Schwachstellen gibt als anderswo.

Die Kritik ist also durchaus berechtigt. Im Gegensatz zu den ganzen anderen im obigen Artikel verlinkten Programmen haben die meisten AVs aber durchaus auch eine Schutzwirkung. Daher finde ich den Begriff Schlangenöl - bei aller berechtigter Kritik! - unpassend.

Das bringt das Hauptproblem schön auf den Punkt. Bzw. es ist Glückssache ob sie hilft. Sprich, sie hilft in - meinetwegen - 98% der Fälle, aber was passiert falls du über die verbleibenden 2% stolperst. In absoluten Zahlen sind die verbleibenden 2% dann ja noch immer extrem viele nicht erkannte Schädlinge.

Leider ist es nicht im Interesse der AV-Hersteller Anwender zu schulen. Das wäre aus meiner Sicht die wirksamste Methode schlechthin. Aber als ehemaliger Admin weiß ich auch, daß die meisten Anwender auch keinen Bock haben geschult zu werden.

Sei gleich ablehnend. Derlei MitM-Quark gehört auf den Müllhaufen der Geschichte. Das geht überhaupt nicht.

Glückspilz!

Okay, kurzer Exkurs. Signaturen im klassischen Sinne kommen noch immer zum Einsatz. Aber allein durch die schiere Menge täglich frischer Malware, die sich nur in wenigen Bytes unterscheidet, müssen diese baldmöglichst in Heuristiken überführt werden. Das macht man, sobald sich ein Cluster aus verschiedenen Dateien herauskristallisiert. Die Bezeichnung "Signaturen" ist also eigentlich technisch irreführend, aber dennoch gebräuchlich.

Erkennung ergibt sich grob gesagt aus: Engine (Code) + "Signaturen" (Daten).

Meistens sind diese "Signaturen" nur zu jeweils einer Engine kompatibel. Aus Endanwendersicht gibt es also jene AV-Hersteller mit eigener Engine und jene ohne eigene Engine. Letztere bauen - auch wenn das jetzt etwas überspitzt und verkürzt ist - im Prinzip nur eine Benutzeroberfläche um eine existierende AV-Engine. Und ja, es kann sein daß ein solcher Hersteller seine eigenen "Signaturen" anbietet oder zusätzlich zu denen des Herstellers der AV-Engine eigene erstellt und anbietet (dazu gibt's dann Werkzeuge seitens des Herstellers der Engine). Bei VT kann man häufig an der gleichen Namensgebung erkennen ob sich mehrere AV-Produkte eine Engine teilen.

Dann gibt es noch den Spezialfall mehrerer Engines. Meistens sind das dann Hersteller aus der zweiten Kategorie, denn die Engine-Hersteller befinden sich ja in einer natürlichen Konkurrenz zueinander. Meist wird die schnellste Engine vorgeschaltet. Zusätzliche Engines dienen dann der Verifikation. Denn allgemein galt bei uns immer: sobald wir etwas erkennen, geht's nicht mehr um Geschwindigkeit, sondern um Gründlichkeit. Bei mehreren Engines bekäme also die Engine 2 die Datei nochmal vorgelegt und so können dann bspw. Fehlalarme (False Positives) ausgeschlossen werden.

Aber ich kann keine wirklichen Details nennen, da ich da nicht genug Einblick habe (Multi-Engine). Ich würde annehmen, daß der Produkt-Hersteller die eingesetzten Engines selbst bewertet und so quasi den Erkennungen eine Vertrauenswürdigkeit zuordnet und dementsprechend einen Gesamt-Score ermittelt. Also bspw. weiß der dann daß Engine 1 die schnellste ist, also wird die davorgeschnallt. Außerdem ist Engine 1 gut bei - sagen wir mal - Droppern. Hingegen bei PUA ergibt sich eine Diskrepanz zu den Bewertungskriterien von Engine-Hersteller und Produkt-Hersteller. Also werden PUA-Erkennungen von Engine 1 nochmal Engine 2 vorgelegt und dann ggf. "durchgelassen".

Das erhöht natürlich unheimlich die Akzeptanz solche Lösungen

Wahrscheinlich meinen wir das gleiche. Nur bei Ähnlichkeiten frage ich mich immer: ähnlich wozu. Und genau diese Cluster bilden sich ja erst raus, je mehr erkannte Dateien man "sieht".

Oja, davon kann ich auch ein Liedchen singen.

Und das Schlimme daran ist, dass diejenigen, die am lautesten schreien, sie brauchen keine Schulung auch die sind, die über die wenigste Ahnung verfügen, sie eigentlich am Nötigsten haben

Da bin ich mir sogar sicher, dass wir das Gleiche meinen.

Ähnlich wozu heißt hier in dem Zusammenhang für mich, dass es eine bestimmte Menge (Du nennst es Cluster) von sicher erkannten "Schädlingen" gibt und man nun bei Unbekanntem feststellt, dass die Menge der Überschneidungen (seien es Zeichenfolgen, Bytesequenzen, was auch immer technisch sinnvoll erscheint, ...) einen bestimmten Schwellwert überschreitet und man daher davon ausgehen muss oder zu befürchten steht, dass die untersuchte Datei auch einen der bekannten Schädlinge oder zumindest eine ähnliche Schadfunktion enthalten könnte.

Ich gehe mal davon aus, dass bei einer Heuristik nie eine 100%ige Sicherheit in Bezug auf korrekte Erkennung möglich sein wird. Ebenso wird auch nicht mit 100%iger Sicherheit auszuschließen sein, dass eine Erkennung fälschlicherweise erfolgte.
Denke, dass das das bestehende Problem recht gut umschreibt.