Das definitive Ende der sog. Anti-Virus Software? |
||
---|---|---|
#0
| ||
06.11.2009, 14:51
Member
Beiträge: 5291 |
||
|
||
06.11.2009, 15:23
Moderator
Beiträge: 7805 |
#2
Man versucht ja neuerdings mit "cloud" Techniken etwas in Sachen Geschwindigkeit der Malwareerkennung zu tun, das bedeutet aber nach wie vor, die Malwaredatei muss ersteinmal erkannt werden, bevor man sie blockt.
IDS/HIPS ist auch so ein Ding. An sich nicht neu, haelt aber langsam Einzug bei den groesseren, wie Norton, Mcafee, Trend micro usw. Das wiederum setzt ein gewisses Mass an Wissen des Users voraus, damit er die Meldungen des Systems richtig einschaetzen kann. Es wird aber immer ein Katz und Maus spiel blöeiben, da es fuer die Malwareschreiber einfach ein zu lukratives Geschaeft ist. Die stellen sich auf viele Dinge ein. Zu der Zeit, als Antivir angefangen ist mit generischer und heuristischer Erkennung hielt so eine ".gen" bis zu einem Monat. Das ging so lange gut, bis es populaerer wurde und sich die Malwareschreiber drauf eingeschossen haben. Jetzt haelt die Erkennung nach Veroeffentlichung nur noch ca 3 Stunden. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2009, 16:14
Member
Beiträge: 166 |
#3
interessantes Thema, ich kann zwar nicht so viel technisches beitragen und sehe einfach nur das mehr an der Basis angesetzt werden muss: sichere Betriebssystem Architektur
hilft leider auch nicht bei den DAU's die keine Protecus Grundlagen haben und jeder Datei gleich alle Rechte auf Basis des Betriebssystems einräumen. AV Hersteller müssen reagieren, wenn ihre Software wirkungslos ist. Im Augenblick fangen sie das ganze noch gut über Marketing ab und es wird sicherlich teuer Malware Coder mit KnowHow für den AV Schutz abzuwerben. my2cents __________ Vier von drei Deutschen können nicht richtig rechnen! |
|
|
||
06.11.2009, 20:07
Member
Beiträge: 3306 |
#4
Ich kann auch nur den Status Quo wiedergeben, das die AV Hersteller die Heuristiken immer mehr verschärfen und dadurch die Anzahl der False Positives geradezu explodiert. Gerade bei Mail Gateways werden die Scanner dabei nicht intelligenter, sondern im Gegenteil immer blöder. Inzwischen sind nicht nur "suspekte" Inhalte tabu sondern gleich ganze Dateiarten und auch Dinge die der Scanner nicht kennt. Eine Exe direkt per Mail verschicken ist ja schon lange nicht mehr möglich, inzwischen kucken Scanner auch in ZIP Archive und verweigern teilweise die Auslieferung falls überhaupt eine Exe oder DLL drinsteckt, egal welche. Das führt dann zu obskuren *.z_ip Dateien oder eigentlich überflüssigen Archiv Passwörtern.
Als nächstes befürchte ich fast das diese Tricks auch nicht mehr helfen und alles was nicht per se "gut" ist, blockiert wird. Also eine Datei die der Scanner nicht erkennt, ist genauso "böse", wie eine die vielleicht mit einem Wegwerfpasswort versehen ist. Teilweise erscheint es mir jetzt schon so, das beispielsweise exotische Linux Archivformate false positives verursachen, weil der Scanner das Format nicht kennt und als "möglicherweise böse" aussortiert. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
Ich schreibe ja nicht oft hier, aber das Thema interessiert mich eigentlich und sollte das Board ja ebenfalls interessieren.
Denn es ist so das AV Software nun über die Jahre nutzlos geworden ist, gibt es keine Innovation mehr?
Das stupide Signaturerkennen funktioniert ja schon lange nicht mehr, Eingeweihte wissen es schon längst - jede AV Software kann bei Bedarf überlistet werden und zich tausende Windows Maschinen (oder gar Millionen) werden aufs neue kompromitiert.
Zum Schluß hilft nur noch das Allheilmittel ComboFix (oder andere removal software) oder gar nur eine Neuinstallation?
Die Anforderungen an AV Software sind schon gewachsen aber die Hersteller selber ziehen nicht nach, von polymorphischen bis metamorphischen Mechanismen ist doch alles vertreten, gibt es jetzt überhaupt noch ein Produkt welches diesen Gefahren gewachsen ist?
Die sogenannte Heuristik funktioniert nur teilweise und erzeugt eine Menge false positives, muss also zum Großteil neudurchdacht werden wie ein AV das Handeln der Schädlingssoftware Simulieren (eg. Emulieren) kann.
Wie denkt ihr darüber?
Gibt es Leute hier die bei AV Hersteller arbeiten und näheres wissen, wird es da nichts neues mehr geben?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode