Zitat:

Ist das etwa ein paar Stufen weiter unten auf der Leiter auf der du stehst?

Dein Homie Krakten hat eben schon die allerletze Verwarnung erhalten. Auch geil drauf?

Ich hör den Begriff heut zum ersten Mal, deswegen frag ich.

Du darfst okni gerne unterstützen.

Wie schrauber
Im Fussball kommt nach der Gelben die 2. Gelbe = Gelb-Rot = Platzverweis?
Gibt es hier auf TB 3 Gelbe Karten?

Kein Scherz jetzt Nyte: kauf deiner Freundin EAM oder sag ihr Sie soll sich EAM selbst kaufen dann hat Sie ein richtig gutes AV das keine Nutzerdaten verkauft und keine ungewollte Spyware, Toolbars oder ähnliches mitinstallieren will und das auch nicht mit einer Cloud verbunden ist. Denn ein Freeware AV das all das nicht machen würde gibt es nicht ausser MSE/Defender. Ausserdem könntest du ihr unchecky installieren damit Sie auch ohne dein Beisein Freeware Installer ausführen kann wenn Sie sich ein Freeware Programm installieren will ohne das dabei unbemerkt von ihr Spyware oder eine Toolbar mitinstalliert wird.

Zitat:

Zitat von purzelbär

Kein Scherz jetzt Nyte: kauf deiner Freundin EAM

Das hat sie schon seit Ewigkeiten drauf.

Es ging mir auch nicht allein um meine Freundin. Ich wollte einfach nur mal klar machen, dass nicht jeder User gleich ein Trottel ist, nur weil er sich weniger mit der Materie Computer (im Detail) beschäftigt, als manch anderer (hier).

Trotzdem bleibt Sensibilisierung wichtig - keine Frage.

Zitat:

Es ging mir auch nicht allein um meine Freundin. Ich wollte einfach nur mal klar machen, dass nicht jeder User gleich ein Trottel ist, nur weil er sich weniger mit der Materie Computer (im Detail) beschäftigt, als manch anderer (hier).

Wäre ja auch noch schöner wenn dem so wäre, nicht jeder hat das Wissen über Computer wie zum Beispiel schrauber, SLE usw. Und sehr erfahrene User die sich herablassend über sog. Otto Normal User äussern, die mag ich nicht.

Zitat:

Zitat von purzelbär

Und sehr erfahrene User die sich herablassend über sog. Otto Normal User äussern, die mag ich nicht.

Wobei ich nicht unbedingt die erfahrenen User meine.

Wie sollen sich Nutzer eine eigene Meinung bilden, wenn hier 15 Seiten Stuss gelabert wird?
Und um noch etwas Sinnvolles gesagt zu haben:
Es ist in meinen Augen ein ABSOLUTES No-Go
als Schutzsoftware Daten zu sammeln, um sie danach zu verkaufen.
Dass man das Ganze bereits zum Installationszeitpunkt abschalten könne, setze ich wie cosinus mit der Waschstrasse gleich.

Trotz der Tatsache, dass ich AVs überhaupt nicht gut gegenüber stehe, ja selber keinerlei AV verwende (Auch Windefender wurde per Policies deaktiviert),
muss auch ich ein Wort für AVs einlegen.
AVs sollen als Schutzsoftware dienen und nicht PRINZIPIELL das tun, wovor sie behaupten, zu schützen.
Jedem halbwegs vernünftigen Menschen dürfte klar sein, dass die angeklagten (AVG z.B) AV NICHT ZeuS Banking Trojan spielen,
sondern hauptsächlich "harmlose" Daten versenden werden. Es geht aber ums PRINZIP, dass die Tätigkeit des AVs damit quasi ad absurdum geführt wird.

Damit ist es ziemlich logisch, dass man Emsisoft anführt, sowieso wenn man noch dort arbeitet.

Wenn Kaspersky nicht gefühlt 15 Kerneltreiber hätte, würde ich eher KAV empfehlen, da dieser im privaten Labortest Dinge erkannt hat, die Emsisoft passieren liess.
(Wegen Fakten: Kaspersky hat erkannt, wenn ich mit fremder Software einen Prozess von Windows geöffnet habe, Emsisoft nicht.
Kaspersky hat selbst Prozess-Hollowing erkannt (in windowseigenem Prozess Befehle des Angreifers ausführen), so dass ein zweistufiger Injektionsvorgang nötig war, um das Kaspersky-HIPS ebenfalls zu umgehen.)

Aber die gewaltige Angriffsfläche von so viel Höchstrechte-Software (Ring 0)
lässt es mir kalt den Rücken runterlaufen.
Wenn Emsisoft daher voll und ganz die neuen Prinzipien von Windows 8.1 und neuer ausnützt, wird es mit Sicherheit extrem schwierig sein, die Vorteile von Emsisoft von der Hand zu weisen.

Grüsse - Microwave

Microwave: Bei welchen Prozessen genau hat EAM process hollowing nicht erkannt und Kaspersky schon? Wundert mich, Poweliks wird erkannt von EAM und der setzt auch auf dieses Prinzip.

Zitat:

Zitat von Avenger77

Microwave: Bei welchen Prozessen genau hat EAM process hollowing nicht erkannt und Kaspersky schon? Wundert mich, Poweliks wird erkannt von EAM und der setzt auch auf dieses Prinzip.

Habe nochmal nachgeforscht: Gegen EAM hatte ich kein Process Hollowing angewendet, da bereits normales Öffnen für Vollzugriff (so normal das Öffnen mittels sogenannten syscall-Instruktionen halt ist) des lsass.exe-Prozesses auf Windows 7 SP1 64 bit mit Erfolg belohnt wurde.
Gegen KAV2015 musste ich hingegen "unmerklich" tiefer in die Trickkiste greifen, da KAV2015 nicht (nur?) Usermode-Hooks einsetzte.

Für technisch Unbedarftere:
Es ist nicht die Rede davon, irgendwelche Exes zu scannen, ob sie "Viren" enthalten, sondern davon, frühzeitig zu alarmieren, wenn die als ungefährlich betrachtete Datei ausgeführt wird und unerwartet "eigenartige" Dinge zu tun versucht.
Mit "eigenartig" ist folgendes gemeint:
Kein Microsoft Office oder Internet Explorer würde jemals versuchen, kritische Systemprozesse zu öffnen, wenn so etwas dennoch passiert, ist etwas sehr faul.

Vielleicht noch notabene: Wurde vom Angreifer ein einziger der kritischen Systemprozesse (lsass.exe gehört dazu) auch nur ein einziges Mal
mit genügend Rechten für "Schreiben in dessen Speicherbereich" und "Ändern des Speicherschutzes" geöffnet, ist das Spielchen
zu Ende und der Rechner kompromittiert. Selbst Kaspersky kann dann nicht mehr feststellen,
ob der momentan ausgeführte Code auf die Registry zugreifen darf oder nicht.
Dafür benötigt der Angreifer i.d.R. Adminrechte.
Es lässt sich aber zeigen, dass Malware so entwickelt werden kann, dass sie selbst ohne Adminrechte jegliche spätere Verhaltenserkennung austricksen kann,
indem etwa der Windows-Explorer befallen wird.

Das mal so nebenbei, oder anders, weshalb es sinnlos ist, Process Hollowing via NtUnmapViewOfSection-Hooks erkennen zu wollen.
Process Hollowing kann einzig und alleine daran erkannt werden, dass ein fremder Prozess versucht, eine bekannte, ("trusted") Systemapplikation auszuführen, oder daran, dass diese vom fremden Prozess gestartete Datei versucht, einen Systemprozess mit Schreibrechten zu öffnen. KAV erkennt Letzteres und schlägt Alarm.

Alle Ausführungen beziehen sich auf die 64-Bit-Editionen von Windows, wo nur noch eine sehr begrenzte Anzahl an "Kernelhooks" (Filter-Interfaces) zur Verfügung stehen.
Usermode-Hooks sind aus nicht näher erläuterten Gründen erfahrungsgemäss 100 % wirkungslos.


Grüsse

Microwave

TL;DR Das ist wohl langsam mein letzter Post, da ohnehin alle zwei Tage wieder ein neues Thema erstellt wird, wo es wieder auf die ein- oder andere Art ums Gleiche geht.

Einmal mehr: Bei verhaltensbasierten AV-Systemen hilft es nur, das Öffnen eines Prozesses auf's Genauste zu überwachen und zu bewerten, da alles andere prinzipbedingt zu spät ist.
Wer nicht glaubt, was ich "gemessen" habe, kann die Versuche gerne bei sich wiederholen, die Laborbedingungen wurden jeweils sehr genau dokumentiert.
Für Signaturen muss die Malware offensichtlich bereits bekannt sein und da helfen auch 2-stündige Updates nichts, da auch
die AV-Hersteller erst auf den Trichter kommen müssen, dass eine neue Malware im Umlauf ist.

Zitat:

Zitat von Microwave

Wenn Kaspersky nicht gefühlt 15 Kerneltreiber hätte, ... Aber die gewaltige Angriffsfläche von so viel Höchstrechte-Software (Ring 0) lässt es mir kalt den Rücken runterlaufen.

Und trotzdem - oder gerade deswegen - kommt sowas zustande => Vom Jäger zum Gejagten: Kaspersky-Virenscanner lässt sich leicht austricksen | heise online

Aber immerhin: "Die von ihm bekannt gemachten Sicherheitslücken sind in aktuellen Versionen der Kaspersky-Produkte nicht mehr vorhanden. Er lobt die Firma für ihr "rekordverdächtiges Tempo" im Umgang mit den Lücken."

Ja, es gibt einfach Sachen, die gibt's nicht!
Nunja - es wäre gelogen, wenn ich sagen würde, dass ich auf das KAV 2016 nicht gespannt wie ein Flitzebogen sei.
Hoffentlich habe ich dann überhaupt noch Zeit für den Kram...

Grüsse - Microwave

Zitat:

Zitat von Microwave

Ja, es gibt einfach Sachen, die gibt's nicht!

Muss man es jetzt aber dem OS oder dem Virenscanner anlasten, dass nach irgendwelchen ZIP-Dateien rangehängte DLLs einfach ausgeführt werden???

Mal nebenbei erwähnt find ich das an Windows eh etwas bescheuert, dass man die Ausführbarkeit in 99,9% der Fälle an der Dateiendung festmacht....