Kann mir vielleicht jemand sagen, wieviele
Packformate F-Prot kennt?
Hab nen Kumpel der sich wundert einen Trojaner
auf seinem PC gefunden zu haben obwohl er eigentlich
den F-Prot Monitor ständig am laufen hat.
Hab jetzt an nen mehrfach gepackten,gecrypteten
oder ähnliches gedacht den F-Prot einfach nicht
erkannt hat.
Und wo wir schon dabei sind, wieviele Packformate
kennt eigentlich Kaspersky 4.5?
Gruss
Der Zatu

Hi der zatu,
</font><blockquote>Zitat:</font><hr />Kann mir vielleicht jemand sagen, wieviele
Packformate F-Prot kennt?...Und wo wir schon dabei sind, wieviele Packformate
kennt eigentlich Kaspersky 4.5?...
</font>[/QUOTE]... klar, wenn man die Dokumentation zum Programm liest .... . Die Frage ist allerdings nicht ganz korrekt gestellt: Virenwächter (On-Access-Scanner) bei den meisten AV-Programmen erkennen nur die Dateien, die unmittelbare Bedrohung enthalten, d.h. direkt ausgefürt werden können (*exe, *.com,*.vbs,*.htm usw.) und manchmal - die gefährlichen Signaturen in einigen Archiv-Typen (zip, rar, lzh usw.). Die Dateien-Scanner (On-Demand-Scanner) von denen müssen nach dem Befehl des Benutzers die Archive auspacken und durchsuchen, einige können es auch mit "gecrypteten und 2-mal gepackten Archiven". So geschah im Fall mit deinem Kumpel und es ist doch nicht so schlimm - letztendlich wurde den Virus erkannt.

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
Die Frage ist allerdings nicht ganz korrekt gestellt: Virenwächter (On-Access-Scanner) bei den meisten AV-Programmen erkennen nur die Dateien, die unmittelbare Bedrohung enthalten, d.h. direkt ausgefürt werden können (*exe, *.com,*.vbs,*.htm usw.) und manchmal - die gefährlichen Signaturen in einigen Archiv-Typen (zip, rar, lzh usw.).</font>[/QUOTE]Achtung! Man verwechsele nicht Archive auf der einen Seite mit Laufzeitkomprimierern / Exepackern und Cryptern auf der anderen. Trotzdem ausführbare Dateiren auf diese Weise speziell gepackt werden, bleiben sie dennoch weiterhin ausführbar.

Hier eine Übersicht derer, die Kaspersky unter anderem kennt:
http://jojo.lcirc.net/docs/kav_info.htm

</font><blockquote>Zitat:</font><hr />Original erstellt von Der Zatu:
Kann mir vielleicht jemand sagen, wieviele
Packformate F-Prot kennt?</font>[/QUOTE]Nicht so sehr viele...
http://scheinsicherheit.o-f.com/fprot.htm

</font><blockquote>Zitat:</font><hr />Hab nen Kumpel der sich wundert einen Trojaner auf seinem PC gefunden zu haben obwohl er eigentlich den F-Prot Monitor ständig am laufen hat.</font>[/QUOTE]Wenn man wüsste, um welchen Trojaner es sich handelt, könnte man sicher mehr sagen.

</font><blockquote>Zitat:</font><hr />Hab jetzt an nen mehrfach gepackten,gecrypteten oder ähnliches gedacht den F-Prot einfach nicht erkannt hat.</font>[/QUOTE]_Kann_ sein, muss aber auch nicht zwigend.

[ 10. Juli 2003, 20:45: Beitrag editiert von: mmk ]

Schade nur, dass dann ja der Monitor versagt haben muss! Kann mir dass mit KAV auch passieren?
Ich dachte bislang immer, dass der Monitor vor dem Start einer Datei bzw. nach dem Entpacken eh
nochmal nachschaut ob nicht malware darunter ist.
Hab ich mich da etwa getäuscht?
Ach ja, ich besitze weder die Doku von F-Prot, da ich es nicht benutze, noch die Doku von KAV 4.5,
da ich es mir meines Wissens ohne Doku aus dem Netz
heruntergeladen habe.
Und bevor jemand meckert: Von der offiziellen Webseite von KAV. Hab ja schliesslich noch ca. ein halbes Jahr den gültigen Key [img]tongue.gif[/img]
Der Zatu

edit: thanks an mmk

</font><blockquote>Zitat:</font><hr /> Ich dachte bislang immer, dass der Monitor vor dem Start einer Datei bzw. nach dem Entpacken eh nochmal nachschaut ob nicht malware darunter ist. </font>[/QUOTE]Das geht nur bei Archiven, nicht aber laufzeitgepackter/gecrypteter Malware (den Unterschied hat mmk ja erklärt... [img]smile.gif[/img] ).

KAV kann ausgesprochen gut mit gepackter/gecrypteter Malware umgehen, wie du in mmk's Link gesehen hast (siehe dazu auch hier.)
Das gilt auch für den Monitor (deshalb ist er teilweise etwas langsam...) [img]smile.gif[/img]

Trotzdem 'kennt' auch KAV nicht alle Packer/Crypter und _kann_ deshalb auch ausgetrickst werden...