Werde Richard mal bescheid geben . Sollte kein wirkliches Problem sein das zu fixen .

*LOL* vielgeschmähte Antivir mit Verstärkung im PE Patching.. mir war schon klar, als da plötzlich PE Erkennungsraten entstanden, wo der Hase läuft, bzw., dass es da eine Veränderung gav ähm gab..

Grundsätzlich finde ich Antivir gar nicht so übel, obwohl es doch etwas *preiswert* wirkt, NOD32 ist wirklich sehr schnell und mit den aktuellen Virensignaturen auch moderat in der Trojaner Erkennung.. aber Geheimtipp, das glaube ich nun wirklich nicht.

*lol* ... glaub mir ... das hatte da nicht wirklich Einfluss. AntiVir ist nur so dumm und scant fast die komplette Datei nach irgendwelchen Strings ab .

Scheint als ob Du nicht wirklich ernsthaft gepatcht hättest . Dann wären Dir die hübschen String Signaturen aufgefallen.

Für nen EPO Patch etc. ist AntiVir nicht anfällig - entpackt ja auch nix *lol*.

Hast Du bei NOD32 auch mal die Advanced Heuristik aktiviert?

hm, als ich AntiVir mal prüfte, benutzte ich die einfachste Form des PE Patchings, die erkannte er prompt und schon um einiges länger als Kaspersky und AVK. Kaspersky brauchte original !!!1 Jahr!!! seit dem ich anfing zu testen, um diese spezielle, einfache Form der Trojaner-Server Manipulation zu erkennen. McAfee ist da besser, aber die kann man wiederum leichter mit Ressourcen Manipulationen überlisten, im Gegensatz zu KAV/AVK. Kaspersky hat etwa um den 3.10.2003 herum erst dazugelernt, lol, ziemlich müde Leistung für einen der Top Scanner am Markt.

Ja, für die den NOD32 Test benutzte ich höchste Heuristicstufe und Laufzeitkomprimierung. Dadurch stieg seine Trefferquote von 60 auf 66 Detections.

[ 31. Oktober 2003, 16:43: Beitrag editiert von: MEGAFREAK ]

Die höchste Heuristikstufe ist NICHT die Advanced Heuristik.

Die Advanced Heuristik ist ein spezieller Modus, der generisches Unpacking und die heuristische Erkennung von Würmern und Backdoors ermöglicht.

Ich mag Dich nicht mit technischen Details nerven ... aber starte den Scanner mal mit der Option /AH (also Start, Ausführen, "c:\programme\eset\nod32.exe /AH") und Scan nochmal. Erst dann ist das aktiv, was wirklich interessant ist .

Was für eine Form von PE Patching meinst Du genau? EPO oder Einschieben von NOPs oder öhnliches?

Hi,

mal ne ganz andere Frage. Hat einer Ahnung was bei Eset die Lizenzverlängerung um 1 Jahr für ne einfache Einzelplatz-Home-User-Lizenz kostet. Habs nämlich nicht auf der Eset-Site gefunden.

dietlmann

Interessant, du hattest recht Andreas, aber diese Funktion sollte man in das GUI einbauen, gibt es einen Grund warum es nicht dort drin ist?

Also mit der Funktion alleine gibt es 75 Treffer, mit Heuristikstufe Hoch, Archive Unterstützung kommt man insgesamt nun auf 80 Detections, somit läßt NOD32 in diesem Expertenmodus sogar Norton AV2004 hinter sich, beachtlich!

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Hi,

mal ne ganz andere Frage. Hat einer Ahnung was bei Eset die Lizenzverlängerung um 1 Jahr für ne einfache Einzelplatz-Home-User-Lizenz kostet. Habs nämlich nicht auf der Eset-Site gefunden.</font>[/QUOTE]Hab mit dem Verkauf zwar wenig zu tun, aber ich erinnere mich an ca. 27 Euro für ein neues Jahr.

</font><blockquote>Zitat:</font><hr />Original erstellt von MEGAFREAK:
Interessant, du hattest recht Andreas, aber diese Funktion sollte man in das GUI einbauen, gibt es einen Grund warum es nicht dort drin ist?

Also mit der Funktion alleine gibt es 75 Treffer, mit Heuristikstufe Hoch, Archive Unterstützung kommt man insgesamt nun auf 80 Detections, somit läßt NOD32 in diesem Expertenmodus sogar Norton AV2004 hinter sich, beachtlich! </font>[/QUOTE]Ja [img]smile.gif[/img] . Es widerspricht der NOD32 Philosophie von "Maximum Speed". Per default ist die Advanced Heuristic nur im IMON aktiv, weil sie primär auf Würmer und spezielle Viren angepasst ist und nur wenige Backdoors erkennt (die Anpassung für Backdoors kommt aber ) und Würmer nunmal fast nur via Mail kommen. Daher ist die Funktion dort optimal platziert.

Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch .

Was für einen PE Patch hast Du benutzt?

Darf man eigentlich mal fragen, welches Verhältnis Du genau zur Firma Eset hast, Andreas? Ist für die Einschätzung Deiner Beratung ja evtl. auch von Bedeutung. Versteh das jetzt bitte nicht falsch, ich finde NOD32 ja auch einen hervorragenden Scanner, aber Du wirkst irgendwie, als hättest Du Insider-Informationen von Eset.

</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana:
Darf man eigentlich mal fragen, welches Verhältnis Du genau zur Firma Eset hast, Andreas? Ist für die Einschätzung Deiner Beratung ja evtl. auch von Bedeutung. Versteh das jetzt bitte nicht falsch, ich finde NOD32 ja auch einen hervorragenden Scanner, aber Du wirkst irgendwie, als hättest Du Insider-Informationen von Eset. </font>[/QUOTE]Ähm ... ich arbeite für ESET? [img]smile.gif[/img] Vornehmlich im Bereich Backdoors, Trojaner und Dialer.

Erkennt NOD32 denn auch Dialer?

"Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch..." Was ist denn da in nächster Zeit zu erwarten...?

dietlmann

[ 01. November 2003, 10:20: Beitrag editiert von: dietlmann ]

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Erkennt NOD32 denn auch Dialer?

"Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch..." Was ist denn da in nächster Zeit zu erwarten...?</font>[/QUOTE]Eine Dialererkennung ist geplant. Zu dem Rest kann ich nichts konkretes sagen [img]smile.gif[/img] . Allerdings wird die AH in verschiedenen Punkten weiter ausgebaut.

Ist es nicht ein Nachteil, dass NOD32 nicht in CAB- od. SFX-Archive hineinschauen kann? Ich meine damit nicht den Realtime-Schutz, da ists sicherlich überflüssig, aber der Scanner sollte m.E. solche verbreiteten Archivformate schon beherrschen. Das Argument mit der Schnelligkeit kann ich nicht ganz verstehen, denn ich hab ja die Wahl die Archivsuche beim Scannen auszuschalten und per default könnte diese ja auch abgeschaltet sein.

dietlmann

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Ist es nicht ein Nachteil, dass NOD32 nicht in CAB- od. SFX-Archive hineinschauen kann? Ich meine damit nicht den Realtime-Schutz, da ists sicherlich überflüssig, aber der Scanner sollte m.E. solche verbreiteten Archivformate schon beherrschen. Das Argument mit der Schnelligkeit kann ich nicht ganz verstehen, denn ich hab ja die Wahl die Archivsuche beim Scannen auszuschalten und per default könnte diese ja auch abgeschaltet sein.</font>[/QUOTE]CAB ist ernsthaft verbreitet? Mir fällt irgendwie niemand außer MS ein, der es ernsthaft benutzt. Einige Setups nennen ihre Datendateien zwar auch *.CAB, ist aber meist ein anderes Format.

Andere wirklich verbreitete Formate wie z.B. ZIP und RAR werden ohnehin unterstützt. Aber ich glaube wir hatten das Thema schon einige Male ... Archivscans sind verschwendete Zeit meiner Ansicht nach.

Malware in Archiven ist definitiv harmlos. Erst durchs Entpacken wird sie aktiv, was ohnehin vom Wächter überwacht wird. Von daher nimmt man keinerlei Abstriche in Puncto Sicherheit in Kauf.