Trojaner-Board
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Security-Suite mit der (ANGEBLICH) besten Verhaltens-Erkennung (https://www.trojaner-board.de/163687-security-suite-angeblich-besten-verhaltens-erkennung.html)

cosinus 02.03.2015 16:54
Zitat:
Zitat von Bootsektor (Beitrag 1435033)
In der Tat. :kaffee_reboot:
http://cdn.meme.li/instances/250x250/52978577.jpg

schrauber 02.03.2015 17:05
wenn dann richtig! :D

http://rs2img.memecdn.com/In-der-Tat_o_117959.jpg

cosinus 02.03.2015 17:06
Du kennst Stargate nicht :D

Darklord666 02.03.2015 18:51
http://img01.lachschon.de/images/150...lung1337_1.jpg

:D

Bootsektor 02.03.2015 22:43
Zitat:
Zitat von schrauber
nicht schon wieder


Aber wieso das denn (nicht) :rofl:

Microwave 03.03.2015 10:44
Zitat:
Zitat von Fragerin (Beitrag 1435003)
Genau, und die sehen mit Tools wie FRST und anderem auch Systemveränderungen, die ein Virenscanner nicht sucht oder anzeigt.
..Ausser meine... :blabla:

Ne, Spass beiseite, ich habe versucht einen PoC zu entwerfen, der mit reinen "syscalls" funktioniert, ohne die einzelnen syscall-Nummern jedoch vorzudefinieren.
Damit wäre der PoC unabhängig von Änderungen der Interfaces auf jedem 64-bit-System ab Windows Vista/7 lauffähig und vorallem auch in jeder kommenden Windowsversion (obwohl keine mehr kommt).
Leider schlug der Ansatz fehl, da beim Durchprobieren aller Nummern von 0 bis 500 alle möglichen und unmöglichen Dinge passierten, wie z.B. das Anhalten meines eigenen Programms.
Ich probiere demnächst wohl einen gemischten Ansatz, mal sehen.


Grüsse - Microwave

EDIT: Hier gehts ja heiss zu und her

CalimeroSc2 03.03.2015 19:25
Zitat:
Zitat von darktwilight (Beitrag 1422393)
Okay, dann hatte ich falsche Informationen, oder die Informationen falsch verstanden :)

Nur bei OA plus EAM, wurde mein Rechner zur Schnecke....
mit EIS läuft er schön Rund....auch wenn man nicht ganz soviel einstellen kann, wie bei der OA.
bei mir laufen eam+oa bestens zusammen. habe auch die internetsecurity. kann nicht behaupten, das die erste variante den rechner bremst. vielleicht ne einstellung. vielleicht versehentlich debugmodus aktiviert...

Microwave 06.03.2015 15:17
Meine Güte, was ist eigentlich in die AV-Industrie gefahren:
Emsisoft überwacht fast gar nichts an Systemschnittstellen,

avast! Biegt alle möglichen und unmöglichen Systemroutinen um...

Code:
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                0000000076f51360 5 bytes JMP 0000000100040460
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                          0000000076f513b0 5 bytes JMP 0000000100040450
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                          0000000076f51510 5 bytes JMP 0000000100040370
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                              0000000076f51560 5 bytes JMP 0000000100040470
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                    0000000076f51570 5 bytes JMP 00000001000403e0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                          0000000076f51620 5 bytes JMP 0000000100040320
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                  0000000076f51650 5 bytes JMP 00000001000403b0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                      0000000076f51670 5 bytes JMP 0000000100040390
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                            0000000076f516b0 5 bytes JMP 00000001000402e0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                          0000000076f51730 5 bytes JMP 00000001000402d0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                        0000000076f51750 5 bytes JMP 0000000100040310
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                        0000000076f51790 5 bytes JMP 00000001000403c0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                      0000000076f517e0 5 bytes JMP 00000001000403f0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                        0000000076f51940 5 bytes JMP 0000000100040230
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                              0000000076f51b00 5 bytes JMP 0000000100040480
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                            0000000076f51b30 5 bytes JMP 00000001000403a0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                      0000000076f51c10 5 bytes JMP 00000001000402f0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                  0000000076f51c20 5 bytes JMP 0000000100040350
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                        0000000076f51c80 5 bytes JMP 0000000100040290
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                      0000000076f51d10 5 bytes JMP 00000001000402b0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                      0000000076f51d30 5 bytes JMP 00000001000403d0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                          0000000076f51d40 5 bytes JMP 0000000100040330
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                  0000000076f51db0 5 bytes JMP 0000000100040410
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                      0000000076f51de0 5 bytes JMP 0000000100040240
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                          0000000076f520a0 5 bytes JMP 00000001000401e0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                      0000000076f52160 5 bytes JMP 0000000100040250
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                      0000000076f52190 5 bytes JMP 0000000100040490
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                            0000000076f521a0 5 bytes JMP 00000001000404a0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                        0000000076f521d0 5 bytes JMP 0000000100040300
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                    0000000076f521e0 5 bytes JMP 0000000100040360
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                          0000000076f52240 5 bytes JMP 00000001000402a0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                        0000000076f52290 5 bytes JMP 00000001000402c0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                          0000000076f522c0 5 bytes JMP 0000000100040380
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                            0000000076f522d0 5 bytes JMP 0000000100040340
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                    0000000076f525c0 5 bytes JMP 0000000100040440
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                    0000000076f527c0 5 bytes JMP 0000000100040260
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                      0000000076f527d0 5 bytes JMP 0000000100040270
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                    0000000076f527e0 5 bytes JMP 0000000100040400
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                0000000076f529a0 5 bytes JMP 00000001000401f0
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                  0000000076f529b0 5 bytes JMP 0000000100040210
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                      0000000076f52a20 5 bytes JMP 0000000100040200
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                      0000000076f52a80 5 bytes JMP 0000000100040420
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                        0000000076f52a90 5 bytes JMP 0000000100040430
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                  0000000076f52aa0 5 bytes JMP 0000000100040220
.text  C:\Windows\system32\csrss.exe[752] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                          0000000076f52b80 5 bytes JMP 0000000100040280
(Quelle: GMER-Scan aus "Win7: Regin ? viele Funde mit LOKI, akute Paranoia angebracht?")

und bringt 8(!!!!) Kerneltreiber mit (Man denke bloss an die x-fach vergrösserte Angriffsfläche!) und beide übersehen wichtige Dinge wie NtGetNextProcess/NtGetNextThread/NtCreateUserProcess und Weiteres.
Und eines darf man mir mal ganz rational erklären: Weshalb um alles in der Welt überwacht man NtQueueApcThreadEx, aber NtQueueApcThread nicht??? Beide sind bis auf unwichtige Parameter gleichwertig!
Was soll zudem dabei rumkommen, das Öffnen von Events zu registrieren?

Naja.. was rege ich mich überhaupt auf.. ich benutze die Dinger ja nicht.

Kopfschüttelnde Grüsse - Microwave

CalimeroSc2 08.03.2015 21:06
avast = schmeiss weg
emsi = top & so ein support findest nirgends wieder

Zenon49 09.03.2015 01:27
Nutzte früher Avast, aber Qualität hat sehr stark nachgelassen. Nun bin ich bei 360 Security und bin hocherfreut. Es arbeitet mit 3 Viren-Engines, hat ne Sandbox, nen History Cleaner und läuft flüssiger als Avira.

xXFreakXx 09.03.2015 10:06
...und kommt aus China, hat keine deutsche Version, geschweigedenn deutschen Support, nein ehrlich, sowas mag ich nun garnicht. Ne Software deren genauen Ursprung ich nicht weiß, gerade als Anti-Virus ist für mich keine gute Wahl.

Kronos60 09.03.2015 12:10
Und was soll das bedeuten, dass Qihoo aus China kommt? Qihoo ist bei den Tests immer vorne dabei, und mit ein bisschen Schulenglisch kann man Qihoo ganz leicht einstellen.
Und Avast kommt aus Tschechien, Bitdefender aus Rumänien usw.....das bedeutet gar nichts.

Bootsektor 09.03.2015 13:58
Kannst du sagen was die damit alles anstellen... CHina ist nicht grad bekannt für konformen Umgang.

Privacy Issues With China's Qihoo 360 Technology, Which Provides Free Antivirus Software, Are Becoming More Public; But Qihoo Strongly Rebuts Accusations

Kronos60 09.03.2015 14:03
Das ist doch leeres Geschwätz, diese Frage könnte man ja bei jeden Scanner stellen. Außerdem wird das Programm seit Jahren regelmäßig geprüft.
Das würde ja jeden Scanner mit Cloud-Anbindung betreffen.

Bootsektor 09.03.2015 14:07
Leeres Geschwätz.. hast du dich mal informiert....

Diese Frage stellt sich mir sowieso generell bei Software aus China.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27