Subseven nicht durch AV erkannt |
||
---|---|---|
#0
| ||
03.08.2003, 19:20
Member
Beiträge: 647 |
||
|
||
03.08.2003, 21:34
Member
Beiträge: 813 |
#17
Im Prinzip beide...
Es ist richtig, dass polymorphe Viren nur zuverlässig mit einer Decryptor-Engine erkannt werden können, die einer Unpack-Engine zum "Durchleuchten" von File-Packern und -Cryptern recht ähnlich ist. Ich weiß aber nicht, ob es einfach möglich ist, diese Polymorph-Scanengine auf Packer und Crypter "auszuweiten." Jedenfalls hat AntiVir (und damit auch Vexira) keine Möglichkeit, Packer und Crypter zu durchleuchten - und das ist der Punkt... Es ist auch korrekt, dass man prinzipiell gepackte Malware mit speziellen, "gepackten" Signaturen erkennen kann - allerdings ist dies kein wirklicher Schutz bei Trojanern, wie wir hier auch erklärt haben. Gerade bei Trojanern, die ganz "individuell" von Skript-Kiddies mit einem der unzähligen Packer/Crypter präpariert werden und sich ja _nicht_ selbstständig verbreiten (wichtiger Unterschied zu Viren/Würmern, die ebenfalls oft gepackt werden), kommt es sehr selten vor, dass überhaupt mal ein gepacktes Exemplar bei AV-Herstellern landet, und genauso unwahrscheinlich ist es, dass man durch die daraufhin erstellte 'gepackte' Signatur insgesamt besser geschützt ist (eben weil man gerade diesen speziell präparierten Schädling mit Sicherheit nicht "bekommen" wird.) Man muss aber Antivir/Vexira zugute halten, dass sie im Vergleich zu anderen AVs noch einigermaßen viele "gepackte" Signaturen erstellt haben, so dass sie mit etwas Glück sogar mal einen gepackten Trojaner erkennen können (vgl. unseren Test.) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 03.08.2003 um 21:36 Uhr von forge77 editiert.
|
|
|
||
08.08.2003, 02:12
Member
Beiträge: 15 |
#18
@asdrubael: es stellt keinerlei Schwierigkeit dar einen Server gegen KAV/AVK/RAV undetected zu machen, dasgleiche gilt für TDS im prescan.
Am Einfachsten zu überwinden sind Norton/McAffee/Panda/Chillin & co nur zur Info. Eine wirkliche Sicherheit bieten wohl nur Kombi-Präparate :-D und das eigene wissende oder unwissende Gehirn. Zum Thema AntiVir muß ich sagen, dass der Scanner so manche Dinge erkennt die die großen (KAV/AVK) gar nicht erkennen, vor allem veränderte Server. Ein sehr sinnvoller Zusatzscanner in jedem Fall! Dieser Beitrag wurde am 08.08.2003 um 02:16 Uhr von MEGAFREAK editiert.
|
|
|
||
08.08.2003, 08:58
Member
Beiträge: 3306 |
#19
@MEGAFREAK:
Was theoretisch alles möglich ist und was in der Praxis passiert sind zwei paar Schuhe. Man kann mit AVK nicht 100% "sicher" sein, man kann aber zumindest sicherer sein als mit NAV und Co. Virenscanner-Kombis halte ich für Unfug, weil die Scanner sich gegenseitig behindern. Zwei Engines wie bei AVK oder ein zusätzlicher Online-Scanner sind da sinniger. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 08.08.2003 um 08:59 Uhr von asdrubael editiert.
|
|
|
||
08.08.2003, 13:10
Member
Beiträge: 813 |
#20
Zitat Zum Thema AntiVir muß ich sagen, dass der Scanner so manche Dinge erkennt die die großen (KAV/AVK) gar nicht erkennen, vor allem veränderte Server.Äh, was genau meinst du mit "veränderte Server"? Natürlich kann auch mal ein blindes Huhn ein Korn finden, aber im Großen und Ganzen ist AntiVir durch Server-Modifikationen (wie auch immer die aussehen...: packen/crypten, hex-editieren etc.) wesentlich leichter auszutricksen als KAV/AVK... Oder spielst du auf gezielte Patches "gegen" KAV an? http://scheinsicherheit.o-f.com/artofpatching.htm Zu TDS-3: Der File-Scanner hat ja keine Unpack-Engine, und kann deshalb recht leicht überlistet werden (zusätzlich sind auch die Signaturen nicht die besten) - aber der Memory-Scanner findet erwartungsgemäß fast alles (dafür ist der sau-lahm, und deshalb nicht gerade ein zuverlässiger Schutz... ) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 08.08.2003 um 13:15 Uhr von forge77 editiert.
|
|
|
||
Zitat
oben die antwort, unten meine frage... was habe ich nun davon zu halten? wer hat recht?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...