AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Windows und Virenwächter

Ein Thema von Willie1 · begonnen am 6. Jun 2022 · letzter Beitrag vom 1. Aug 2022
Antwort Antwort
Seite 3 von 3     123   
26. Jul 2022, 14:29
Dieses Thema wurde am "26. Jul 2022, 14:29 Uhr" von "Daniel" aus dem Forum "Win32/Win64 API (native code)" in das Forum "Betriebssysteme" verschoben.
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.586 Beiträge
 
Delphi 11 Alexandria
 
#22

AW: Windows und Virenwächter

  Alt 27. Jul 2022, 00:00
Leider ist die Performance weniger gut, was man insbesondere beim Kompilieren mit Delphi gut merkt. Das klappt mit Norton deutlich schneller.
Auch beim Defender kann man Compiler, Linker und andere Entwicklertools ausnehmen und hat dennoch beim Ausführen der erstellten PE-Datei ein Sicherheitsnetz, sofern man sich nicht gleich entscheidet den ganzen "Entwicklungsordner" als Ausnahme zu deklarieren.

Vermutlich hat Norton da einfach ne bessere Heuristik um den Compiler zu erkennen und macht das dann von sich aus. Gerade das wiederum wäre für mich eher ein Negativmerkmal. Aber so unterscheiden sich halt die Anforderungen.
Das hat mich nun einmal interessiert. Ich habe daher eine der zu kompilierenden Dateien extern mit Viruscode manipuliert, dann Windows und Delphi wieder gestartet. Die Datei wurde dann beim Kompilieren von Norton erkannt.

Deine Vermutung ist also nicht korrekt. Die Analyse der Dateien ist einfach nur schneller, wird aber durchaus korrekt durchgeführt.

Und diese Information kann man nicht mit "dem gesunden Menschenverstand" ermitteln, den ja einige als Alternative zu Antivirentools anpreisen.
Doch. Und der ist die beste Alternative. Leider ist der in anglophonen Welt als "common sense" bezeichnete gesunde Menschenverstand nicht so "common", bzw. stark auch von Wissen und Erfahrung abhängig.
Woher soll ich das denn erkennen? Klar, es gibt einige Quellen, die zusätzlich Hashwerte zu den Downloads anbieten, aber das sind ja nun einmal nicht viele.
Da du schreibst, dass ich eine solche serverseitige Manipulation auch mit dem gesunden Menschenverstand erkennen könnte, wäre interessant wie genau. Da habe ich leider keine Idee, wenn der Virus nicht gerade so dumm geschrieben ist, dass er beim Ausführen des Setups erkennbar ist.

Wenn du per Default kein JS ausühren lässt (uMartix), sollte das kein Problem sein.
Wie soll das dabei helfen, einen serverseitig kompromittierten Download von einem Server zu erkennen?
Überhaupt nicht!

Aber wer auf seinem Server überhaupt solche Downloads aus nicht vorher geprüften Quellen ausführt, hat ganz andere Probleme! Schon von SRP und AppLocker gehört? Und dann halt Silos/AppContainer auf modernen Windowsversionen ...
Davon habe ich doch gar nicht gesprochen. Ich rede davon, dass ich auf meinem Desktop einen Download von einem eigentlich vertrauenswürdigen Server lade, der aber auf dem Server durch einen Virus befallen wurde. Und genau das kann ich durch Norton erkennen.

Bei den beiden genannten Beispielen wurde hinterher auch bekannt, dass die Server kompromittiert wurden. Es war kein (!) False Positive, zumal das auch ein großer Zufall gewesen wäre...
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Willie1

Registriert seit: 28. Mai 2008
657 Beiträge
 
Delphi 10.1 Berlin Starter
 
#23

AW: Windows und Virenwächter

  Alt 28. Jul 2022, 11:42
Hallo,
nachdem mir Norton ein Angebot 30 Euro für ein Jahr gemacht hat, habe ich es angenommen. Ich nutze weder die Norton Cloud noch bin ich mit Norton im Dark Net unterwegs. Ich denke, meine Entscheidung war richtig.
Dass Avira die Billigmarke von Norton ist, finde ich interessant.

Nachdem ich in einem einfachen Delphi-Programm GetMem ohne FreeMem benutzt hatte, unterdrückte Norton schließlich die Ausführung des Programms vollständig.

Gruß Willie.
Gut hören kann ich schlecht, schlecht sehen kann ich gut - Ersteres stimmt nicht, das zweite schon.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.586 Beiträge
 
Delphi 11 Alexandria
 
#24

AW: Windows und Virenwächter

  Alt 28. Jul 2022, 19:45
Dass Avira die Billigmarke von Norton ist, finde ich interessant.
Sie haben es vor nicht einmal zwei Jahren gekauft. Es ist also nicht eine Billigmarke im eigentlichen Sinn, sondern nach wie vor ein komplett anderes Produkt, nur jetzt unter dem gleichen Dach.
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#25

AW: Windows und Virenwächter

  Alt 1. Aug 2022, 09:03
Jupp, aber wenn alle so denken würden wie du, wären alle AV-Hersteller pleite.
Ich sehe das Problem nicht.
Im Ernst, dann suchen sich die Leute halt andere Jobs.
Nur weil "...aBeR dIe aRBeiTsPlÄtZe...", dass ist doch keine gute Begründung.
War auch eher als Scherz gedacht. Wobei es einen wahren Kern gibt. Gäbe es keine Konkurrenz, gäbe es wenig Impetus für Microsoft sein Produkt selbst ständig technisch zu verbessern.

Das hat mich nun einmal interessiert. Ich habe daher eine der zu kompilierenden Dateien extern mit Viruscode manipuliert, dann Windows und Delphi wieder gestartet. Die Datei wurde dann beim Kompilieren von Norton erkannt.

Deine Vermutung ist also nicht korrekt. Die Analyse der Dateien ist einfach nur schneller, wird aber durchaus korrekt durchgeführt.
Wenn du meinst. Ich könnte jetzt ja auf die Details eingehen wo genau da was schief gehen könnte beim einen aber nicht beim anderen Produkt, aber lassen wir's.

Woher soll ich das denn erkennen?
In den meisten PE-Dateien gibt es Metadaten die genau diese Information enthalten.

Aber du scheinst einen sehr verengten Blick auf das zu haben was den gesunden Menschenverstand im Themenkomplex bösartiger Software angeht.

Klar, es gibt einige Quellen, die zusätzlich Hashwerte zu den Downloads anbieten, aber das sind ja nun einmal nicht viele.
Wenn mit AuthentiCode signiert ist, dann sind dies auch Hashwerte. Die sind nur in die Datei selber eingebettet, aber sehr wohl auch ohne Ausführen der Datei prüfbar.

Aber Hashwerte ohne Signatur sind eigentlich auch Moppelkotze, weil du's dann ja wieder mit einem manipulierten/kompromittierten Server zu tun haben könntest. Bei einer kryptographisch sicheren Signatur müßte auch noch der geheime Schlüssel des Unterzeichners kompromittiert sein.

Da du schreibst, dass ich eine solche serverseitige Manipulation auch mit dem gesunden Menschenverstand erkennen könnte, wäre interessant wie genau.
Das habe ich an keiner Stelle geschrieben.

Der gesunde Menschenverstand beschränkt sich übrigens nicht auf das Erkennen bösartiger Software, sondern setzt deutlich früher an. Dazu gehören diverse passive und aktive Abwehrmaßnahmen, die sich je nach OS, Browser usw. jeweils anders gestalten können.

Davon habe ich doch gar nicht gesprochen. Ich rede davon, dass ich auf meinem Desktop einen Download von einem eigentlich vertrauenswürdigen Server lade, der aber auf dem Server durch einen Virus befallen wurde.
Okay, das war dann ein Mißverständnis meinerseits. Klingt allerdings nicht nach einem vertrauenswürdigen Server (und eigentlich macht's nicht besser).

Apropos, WinGet kann hier zumindest teilweise durch die Prüfung von Hashwerten helfen. Kommt natürlich auch immer darauf an was wann wie kompromittiert wurde, falls dies das Bedrohungsszenario ist (beim Absichern arbeitet man ja immer gegen ein Bedrohungsszenario).

Und genau das kann ich durch Norton erkennen.
Und genau diese Technikgläubigkeit ist es, welcher der gesunde Menschenverstand deutlich überlegen ist.

Gedankenspiel: Norton vermasselt es einmal und läßt etwas durch. Du bemerkst es -- egal ob noch früh genug oder bei der Nachbereitung eines größeren Ausfalls durch die nicht erfolgte Erkennung -- was tust du? Die Wahrscheinlichkeit, daß du auf Norton fluchen, dies vielleicht auch öffentlich tun und dann das Produkt wechseln würdest ist groß. Denn es bedarf nur einer Enttäuschung um über lange Zeit aufgebautes Vertrauen zu verspielen. Dabei wäre das ziemlich unfair ggü. dem Produkt von Norton.

Denn wie alle Hersteller kocht auch Norton nur mit Wasser, wie man so schön sagt. Daß es von der Erkennungsleistung bei dir besser paßt, ist doch wunderbar. Schrieb ich ja schon. Ich will dir das auch überhaupt nicht madig machen (es gab echte technische Gründe bis vor wenigen Jahren von Trend Micro abzuraten, aber ansonsten nehmen sich die meisten Produkte nicht viel und man sollte es nach Gusto und Geldbeutel entscheiden). Aber die hier so gut passende Erkennungsleistung kann an allem möglichen liegen und erhöhte Erkennung bedeutet eigentlich auch immer erhöhter Anteil an Fehlerkennungen.

Norton hat also behauptet daß dein Download bösartig sei und hat ihn dann vermutlich selbständig gelöscht. Wie hast du denn diese Aussage überprüft? Bzw. wie lauteten die Erkennungsnamen? Gibt da ja so einige Muster, wie ich schon oben beschrieb. Entweder könnte es ein simpler Fall von PUA/PUS sein und dir war das egal und du gingst lieber auf Nummer sicher (wäre dann aber kein Fall von bösartig), oder -- kommt auch regelmäßig vor -- es ist eine Erkennung die auf einem bestimmten Obfuscator/Protector (o.ä.) basierend entsteht. Wir haben das in der Firma bspw. im Zusammenhang von einem bestimmten Programm von uns mit Themida-Behandlung (bei bestimmten Einstellungen). Die Fehlerkennung lautet dann immer auf den gleichen Erkennungsnamen. Aber die wird dadurch nicht weniger Fehlerkennung.

Kann natürlich auch eine echte Erkennung und ein echt kompromittierter Server gewesen sein. Aber in dem Fall solltest du deine Definition von Vertrauenswürdigkeit überdenken. Ich selbst habe diese Form von Kompromittierung auf Serverseite noch nicht erster Hand erlebt, dafür aber unzählige Male daß jemand eine Kompromittierung behauptet hat, es sich dabei aber ein ums andere Mal um eine Fehlerkennung handelte (läßt sich bspw. anhand existierender Hashlisten unter Versionskontrolle und mit Signatur wunderbar nachweisen).

Bei den beiden genannten Beispielen wurde hinterher auch bekannt, dass die Server kompromittiert wurden. Es war kein (!) False Positive, zumal das auch ein großer Zufall gewesen wäre...
Gut, dann haste Glück gehabt (wobei hier meine Frage wäre ob der Serverbetreiber die fachlichen Kenntnisse mitbringt oder auch nur die Aussage des AV für bare Münze nahm?! ).

Deiner Beschreibung nach klingt es vor allem so als hätte Norton entweder eine deutlich bessere Heuristik bzw. verhaltensbasierte Erkennung (was sich aber mit der behaupteten Performance beißt) oder deren Produkt telefoniert einfach häufiger heimwärts und erreicht dadurch eine bessere "statische" Live-Erkennung. Letzteres ist wahrscheinlicher und wer's mag, dem sei's gegönnt.

(Einschub: MS selber telefoniert eine Menge selber heimwärts, es sei denn man zieht "die Handbremse" an und drosselt das gehörig. MS schickt aber auch Telemetrie welche die anderen AVs erzeugen an sich selbst und aggregiert die und gibt die als Zuckerli wieder an die AV-Hersteller raus, wenn die die Vorgaben von MS besonders gut einhalten.)
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)

Geändert von Assarbad ( 1. Aug 2022 um 09:12 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.586 Beiträge
 
Delphi 11 Alexandria
 
#26

AW: Windows und Virenwächter

  Alt 1. Aug 2022, 22:21
Und genau diese Technikgläubigkeit ist es, welcher der gesunde Menschenverstand deutlich überlegen ist.
Ich habe ja immer gesagt, dass es für mich eine zusätzliche Information ist, die ich sonst nicht habe.
Ich installiere immer wieder auch Software, die weder signiert ist noch Hashwerte irgendwo auflistet. Da hilft mir kein nachdenken oder nachschauen. Gar nicht. Wie gesagt, es sei denn der Virus ist so dumm, sich durch sein Verhalten zu verraten.

Deiner Beschreibung nach klingt es vor allem so als hätte Norton entweder eine deutlich bessere Heuristik bzw. verhaltensbasierte Erkennung (was sich aber mit der behaupteten Performance beißt) oder deren Produkt telefoniert einfach häufiger heimwärts und erreicht dadurch eine bessere "statische" Live-Erkennung. Letzteres ist wahrscheinlicher und wer's mag, dem sei's gegönnt.
Ja, das wird serverbasiert gemacht. Diese Kommunikation halte ich allerdings bei Antivirensoftware für sehr wichtig (und bei anderer Software, wie z.B. Windows, für sehr sinnvoll).
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#27

AW: Windows und Virenwächter

  Alt 1. Aug 2022, 22:26
Dann paßt es doch
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:02 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz