Nav 2004

@mmk @bond

jeder scanner hat seine schwierigkeiten und wehwehchen....

warum führt ihr euren "kleinkrieg" nicht im pm aus?

ihr diskutiert in einem thread in dem es um probleme mit nav und dem booten, bzw. dem betrieb von nav geht, nicht um die erkennung von viren, würmern und co.

@bond

ich bin kein spezi auf dem gebiet der scanner, aber ich hab desöfteren in verschiedenen webseiten gelesen, das nav probleme mit laufzeitpackern hat.
sorry, wenn ich das nun so sagen muss, aber wie kann es sein, das soviele webseiten sowas sagen und DU als einziger das gegenteil behauptest?!

mal abgesehen von der stablität des programmes, können sich doch soviele leute nicht irren, ausserdem würde symatec doch gegen solche FALSCHBEHAUPTUNGEN gegen angehen, schliesslich gehts um deren ruf, oder nicht!

wenn deine behauptung stimmt, dann gib uns nen link von symatec der besagt, das nav laufzeitkomprimierte dateien beherrscht und nicht EIGENE erfahrungen!


mal ein paar links:

http://www.gfisoftware.de/de/mailsecurity/wpmultiplevirusengines.htm
http://www.chip.de/artikel/c_artikelunterseite_11797048.html
http://www.rokop-security.de/main/article.php?sid=473

 

Oh nein,
nicht schon wieder eine Norton Diskussion!!!!!!!!!!!


Lasst den Norton Sch... weg, dann habt ihr alle keine Probleme mehr.
Wenn alle ihre Software nach Test kaufen, dann gute Nacht!!

Stefan

 

@mmk
und nochwas, auf dein letztes zitat bezogen (der virenwächter NAV führt upx-gepackte backdoor-programme trotzdem aus, wenn ich das richtig deute?!)....das ist so nicht ganz richtig.
ich habe eine 54kb upx-gepackte datei da und habe sie ausgeführt !
datei-einzelheit des fileinfo-totalcommanderlisterplugin
File Type Description : Portable Executable (PE)
Possible Packer/Encryptor : UPX

und hier ist die ausgabe symantec-logbuch
Datum 21.05.2004 02:44:47
Funktion Auto-Protect
Bedrohungsname Backdoor.Beasty.Family
Ergriffene Maßnahme Automatisch gelöscht
Elementtyp Datei
Ziel N/A
Verdächtige Aktion N/A
Version der Virendefinitionen 200405190021
Produktversion 10.0.1.13
Benutzername Jens
Computername B-GATES
Details
Quelle: C:\WINDOWS\system32\dxdgns.dll
Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Beasty.Family

wie ich schon sagte, das ausgeführte schad-programm (exe-gepackt) wird erkannt und gelöscht.

 

@mmk
ich weiss, das du es bist STEELE...warum versteifst du dich in deinen postings rein auf den "angriff" mit der speziellen einzelheit? wir wissen doch das du oberschlau bist und ich huldige dir doch auch jeden abend vorm bett gehen
in meinen posting gings allgemein um den test, das der absichtlich ungenau gehalten ist und für unwissende user das nav2004 absichtlich in ein schlechtes licht gerückt wird durch markante eigenschaften die wirklich nur sehr selten auftreten und unter bestimmten vorraussetzungen auf die jedoch absichtlich nicht weiter eingegangen wird.
für mich stellt sich da die frage, wussten die tester von den aufgezeigten "eigenschaften" ...wenn ja war das system und der testzustand vor-präpariert und nicht taufrisch.
und daher ist der AV-test nicht gerade glaubwürdig auf Rokop Security.

 

Das brauche ich gar nicht, das machst du schon selbst. Deine Aussagen zeigen nämlich erneut, dass du nicht verstanden hast, wo genau der Knackpunkt bei dem Problem des Erkennens laufzeitkomprimierter Malware liegt. Mehr dazu weiter unten.

Es geht gar nicht so sehr um Statistiken als viel mehr um prinzipielle Fragen. Zum Beispiel auch darum, dass viele User gar nicht erkennen, dass ein Mehr an Code auch ein Mehr an Fehlern zur Folge hat. Somit erklären sich auch - in wechselwirkungen mit anderer Software - Konflikte wie hier vom Threadersteller beschrieben.

Wichtig hierbei ist ebenso das Wissen um prinzipielle Schwächen, auch von Software, die Schutz bieten soll:

http://oschad.de/wiki/index.php/Virenscanner

Nein, von den Scannern ohne gute Unpackingengine eben nicht, bevor ein Laden in den Speicher erfolgt. Genau das solltest du erkannt haben, wenn du die Erläuterungen zur Laufzeitkomprimierung gelesen hättest.

Ach? Mal abesehen von deinen etwas schwammigen Formulierungen, ist das sogar eine nicht ganz falsche Beobachtung. Es gibt etliche hundert Laufzeitkomprimierer in jeweils vielen unterschiedlichen Versionen. Alle zu kennen, ist selbst für die leistungsfähigsten unmöglich. Zu empfehlen wären leistungsfähige Scanner, die auf der Kaspersky-Engine basieren. NOD32 z.B. arbeitet teilsweise etwas anders, z.B. mit generischem Unpacking, um ggf. auch Malware, die mit unbekannten Packern komprimiert wurde, zu entpacken.

Schön, nur widersprichst du dir mit deinen Aussagen. Ich betone nochmals: du hast das prinzipielle Problem nicht verstanden und behauptest daher, spätestens beim Aussführen laufzeitkomprimierter Malware würde sie auch von Scannern, die über keine gute Unpackingengine verfügen, erkannt werden. Dem ist aber nicht so denn:

Nach dem Ausführen wird die dann unverschlüsselte Datei im Speicher entpackt - beim Speicherscan versagen aber die herkömmlichen Virenscanner in der Regel alle. [Es gibt aber spezielle Speicherscanner wie TrojanHunter, die diese Probleme nicht haben.]

Daher gibt es nur eine Möglichkeit für einen Virenscanner, das Ausführen dieser laufzeitkomprimierten Schadsoftware zu verhindern - und zwar, bevor sie in den Speicher geladen wird. Das geht aber nur, wenn der Scanner den verwendeten Laufzeitpacker kennt. Kennt er ihn nicht, kann er auch nicht eingreifen.

Und ob die Scanner Laufzeitpacker kennen oder nicht, wird eben mit Hilfe des OnDemand-Testes geprüft.


In anderen Worten nochmals hier (http://www.rokop-security.de/main/article.php?sid=686) nachzulesen:

 

Sorry, aber diese Meinung ist mir zu fatalistisch. Wenn ein Programm ausnahmsweise mal auf einem bestimmten System rumzickt, ok, das kann passieren. Aber wenn immer wieder bei dem selben Programm nach der Installation das Herzklopfen losgeht, ob es denn auf Dauer funzt oder nicht, dann muss ja wohl das Programm und nicht das System oder der User ne Macke haben.

Der Thread-Ersteller hat gefragt, wie er NAV richtig nutzen kann und sein System trotzdem stabil läuft. Ohne erneut einen Norton-Pro-Kontra-flame lostreten zu wollen, bleibt festzuhalten, dass bisher niemand diese Frage mit Anspruch auf Ernsthaftigkeit beantworten konnte. Das spricht doch für sich. Also bleibt's dabei: Einpacken und zurückbringen.

 

Es ist doch wie mit vielen Proggis, bei einem laufen sie ohne Probleme beim anderen eben nicht.
Aus diesem grund hab ich nur noch Freeware als Scanner am laufen, wen was nichts funct oder Probleme verursacht fliegt es genauso kostenlos wie es installiert wurde wieder vom Rechner.
Was diverse Meinungen bzw. Testergebnisse anbetrifft naja so was find ich eher zum und zum

mfg. dedie

 

> ich empfehe dir echt, nen anderen scanner zu nutzen.

Jau, dem ist nichts hinzuzufügen. Vielleicht noch folgender Tipp:

Wenn du das Programm neu gekauft hast, packe es in die schöne gelbe Schachtel, gehe zu dem Händler, schildere in höflichem, aber bestimmtem Ton dein Problem, weise darauf hin, dass das Programm augenscheinlich einen nicht behebbaren Mangel hat und verlange dein Geld zurück. (Am besten, wenn weitere Kunden in Hörweite sind). Falls dich der Verkäufer an Symantec weiterreichen will: Dein Vertragspartner ist der Verkäufer, nicht Symantec. Davon ganz abgesehen, beantwortet Symantec Email-Anfragen mit einem vorformulierten Text, mit dem man auf die Telefon-Hotline verwiesen wird. Kostet nur schlappe 29 Euro pro Anruf. Hierauf brauchst du dich natürlich nicht einzulassen.

 

@mmk
beweis das gegenteil , das ich unrecht hab in meinen ausführungen.....denk drann, glaube nie statistiken die du nicht selbst gefälscht hast .
ich hab nicht abgestritten das z.b. ein upx-gepacktes tool im manuellen scan oft nicht als das erkannt werden kann als das was es ist, ich hab explizit gesagt das dieses tool erst während der ausführung (im extrahierten zustand) erkannt wird.
wenn du die testseite Rokop Security richtig gelesen hast, sind ausserdem die wenigsten AV-scanner in der lage exe-gepackte programmtools zu extrahieren .
ich hab schon zu dos-zeiten mit exe-packern gearbeitet, ich weiss schon wozu das da ist, daher treffen mich deine unterschwelligen angriffsversuche nicht.

 

der wieviele thread mit problemen wegen norton ist es? der 30te?

also nav04 lief bei mir 4 monate stabil ohne nennenswerte einbußen beim booten oder arbeiten.
ohne vorwarnung (kein inet oder installiert oder deinstalliert oder kopiert oder gelöscht) gabs dann den crash und zwar bei jedem zugriff auf ne platte.
hab 2 tage gebraucht bis ich herraus gefunden habe, das norton der übeltäter ist.
das ende vom lied ist, das ich nun kaspersky drauf habe und damit sehr zufrieden bin. hab bis heute kein bsod (bluescreen of death) oder ähnliches gehabt!
*malaufholzklopf*

ich empfehe dir echt, nen anderen scanner zu nutzen.
nav ist bei der wahl des systems und des user sehr wählerisch. hinzu kommt noch das problem mit der laufzeitkomprimierung und mit verschachtelten archiven.... soweit ich weiss, sind die probs immer noch nicht gelöst!

 

Nein. Du hast das Prinzip von Laufzeitkomprimierern noch nicht verstanden. Infos dazu siehe hier:

http://www.rokop-security.de/main/article.php?sid=473

Besonders deutlich wird es hier:

http://www.rokop-security.de/main/article.php?sid=686

Leider zeigst du einmal wieder, dass du dich nicht richtig informiert hast, und auf Basis dessen Unsinn behauptest.

 

ich hab mir die tests auf Rokop Security ebenfalls durchgelesen, so richtig ernst nehmen kann man das ehh nicht. da steht z.b.
http://www.rokop-security.de/main/article.php?sid=685&mode=thread&order=0
"4 installationsversuche - Woran es lag, war nicht eindeutig festzustellen" ... so richtig glaube ich das nicht.
auch die folgenden fehlermeldungen haben nichts mit einem taufrischen system zu tun (taskmanager funktionierte z.b. nicht richtig , daher waren die wächter inaktiv) .
die fehlalarm-meldung http://www.rokop-security.de/main/images/reviews/nav2004/fehler.JPG beruht auf einem problem mit dem handling von bestimmten archivdateien während des manuellen scanning , das hatte ich auch einmal und hatte aus dem betreffenden RAR ein ZIP gemacht, dann funktionierte es problemlos....das wird auf der testseite auch unbeantwortet gelassen.
man hat z.b. bei der erkennungsrate auch nicht miterwähnt , das die erkennungsrate praktisch höher ist als während eines reinen scannings da vieles während der "ausführung" erkannt und gelöscht wird.
meiner meinung nach sind die tests nicht von fähigen computeranwendern erstellt und nur rein subjektiv zu betrachten.

 

Schau doch mal die Tests auf Rokop Security an,dann weisst du,was ich meine........

Ich schliesse mich der Meinung von Grizzly an! Schau mal auf der Seite von Rokop-security vorbei. Ich habe selbst jjahrelang auf NAV gesetzt - und viel Pleiten Pech und Pannen erlebt.