[valeron]

ich lass mich auch gern von on demand überzeugen, aber "selbst kümmern" und besonders "bekanntenkreis"
sind nicht gerade umhauende argumente

auf jedenfall schaue ich mir nochmal winpooch+clamwin an, ich habe on-access und trotzdem keine große systemauslastung.

[ShadowHunter]

Naja was ist das Problem wenn man grad am Rechner nichts zutun hat nen Scan laufen zu lassen?
Und was bringt es dir wenn ich dir sage mir haben Leute mit Fachwissen gesagt, dass sie darin auch keinen Sinn sehen. Mehr kann ich auch nicht machen.
Jedenfalls haben die Rechner im Bekanntenkreis eine Meldung bekommen "Virus foo" wurde geblockt.
Nachdem manuellen Scan hatte er sich dennoch ins System geschrieben.

[Rika]

Naja, das heißt bloß, daß die Meldung blöd ist.
Einbruchserkennung und Einbruchsverhinderung sind zweierlei.

[ShadowHunter]

http://www.zdnet.com.au/news/security/soa/...39263949,00.htm

soviel zum thema:

einfach ein vernünftiges Sicherheitskonzept haben somit spart man sich den Einsatz!

[valeron]

Zitat

have an 80 percent miss rate.

mehr wichtiges steht da nicht.

nein ich hab selber mal nachgeschaut und, wie dein bericht schon zeigt, virenscanner erkennen einen gewissen prozentsatz an schadsoftware, und wenn man den virenscanner on-access laufen lässt ist er im stande viren die er in der datenbank hat vor der ausführung zu blocken:

als beispiel nehme ich jetzt mal die favicon lücke im firefox (bis version 1.0.3). durch diese lücke lädt sich ein dropper auf den pc, der dann den richtigen trojaner downloadet und somit das system befallen ist.

1. der virenscanner kann (natürlich nur im on-access) den dropper entfernen und der trojaner kommt nie auf dem computer an.

2. der trojander muss auch aud den computer geladen werden, und genau da kann der virenscanner (natürlich nur im on-access) den trojaner schon wieder vor der ausführung blocken

in situationen wo der virus garnicht in der datenbank ist, ist es in dem moment natürlich egal ob on-demand oder on-access, da geb ich dir recht.

[Rika]

Zitat

1. der virenscanner kann (natürlich nur im on-access) den dropper entfernen und der trojaner kommt nie auf dem computer an.

Genau falsch. Das Ding wird vom Browser bereits zur Ausführung gebracht, bevor es überhaupt in den Browser-Cache geschrieben wird.

[ShadowHunter]

Habe im Usenet auch mal nachfragt, evtl. hilft dir der Beitrag auch weiter:
http://groups.google.de/group/de.comp.secu...ource&hl=de

[valeron]

naja:
-eine richrige erklärung hatte dort auch keiner, war zwar vieles richtig z.b. dass zuerst einmal das sicherheitskonzept stimmen muss, usw. was ich ja nicht bestreite, aber manches war nicht gerade "sinnvoll":

Zitat

es ist ein großer Irrtum, zu glauben, Würmer wären ein
Sicherheitsproblem. Würmer sind einfach nur nervtötende Software - einfach
zu identifizieren, einfach zu entfernen,

ich dachte eingentlich immer bei _jedem_ befall neu aufsetzen.

Zitat

Die einfachste ist: bekannte Malware ist nicht gefährlich. Unbekannte ist
es. Und gegen die unbekannte helfen die Scanner nicht.

richtig, sagt aber nichts gegen on-demand oder on-access

Zitat

Clamav aktualisiert die Signaturen viel viel zu spät.

das stimmt auch, clamwin schneidet bei vielen tests _sehr_ schlecht ab, ist aber wieder die alte diskussion.

Zitat

Leichte Schläge auf den Hinterkopf?

.....

Dieser Beitrag wurde von valeron bearbeitet: 20. Juli 2006 - 22:21

[ShadowHunter]

Es geht mehr darum, dass wenn dein Konzept stimmt und du Software regelmäßig auf den neuesten Stand bringst, er einfach überflüssig ist.
Du darfst ihn ja gerne verwenden, nur ob er ein "muss" ist sei dahingestellt. Könnte man als vereinfachten PFW Krieg sehen. Nur, dass es dort klarer ist.

[valeron]

ja aber _jedes_ konzept bringt dir nichts wenn irgendein programm von mir eine lücke hat und mir nen trojan unterschiebt!!!

so ich hab jetz auch noch was von heise, was meiner vorstellung recht nahe kommt:
LINK

Zitat

Das Verfahren reicht aus, um den PC vor Virenbefall zu schützen, da der Scanner so Schädlingsprogramme kurz vor ihrer Aktivierung entdecken und entschärfen kann, und ist zudem recht fix, da ja nur wenige Aktionen zu überprüfen sind.

ich halte heise (c't) für kompetent und verlässlich, und der test ist eindeutig ein argument für on-access scanns!

[ShadowHunter]

Zitat

ja aber _jedes_ konzept bringt dir nichts wenn irgendein programm von mir eine lücke hat und mir nen trojan unterschiebt!!!

Dann ist die Lücke normalerweise früher "gestopft" als eine neue Datenbank!

[valeron]

normalerweise ist gut

2. glaube ich das wohl kaum, da neue virendefinitionen teilweise stündlich kommen und normale programmupdates eher wöchentlich

Dieser Beitrag wurde von valeron bearbeitet: 20. Juli 2006 - 22:49

[Rika]

Zitat

2. glaube ich das wohl kaum, da neue virendefinitionen teilweise stündlich kommen und normale programmupdates eher wöchentlich

Und Exploits kann man codieren.

Zitat

ich halte heise (c't) für kompetent und verlässlich

Dann ist also das frühere Gerede pro PFW und das aktuelle Gerede kontra PFWs zugleich richtig?

[valeron]

Zitat

Dann ist also das frühere Gerede pro PFW und das aktuelle Gerede kontra PFWs zugleich richtig?

ka, also ich halte nichts von personal firewalls, und ich glaube die c't handhabt es nicht anders, was früher mal war ist mir ein klein wenig egal.

aber das ist auch nicht wichtig wenn es um das thema on-access , on-demand geht.

[ShadowHunter]

Sagen wirs so, c't is wohl noch die einzige Zeitschrift die sich lohnt zu lesen (von iX, freeX und linux magazin mal abgesehen)

Zitat

aber das ist auch nicht wichtig wenn es um das thema on-access , on-demand geht.

Sie gehen aber von anderen Ra(h)menbedingungen aus
Man sollte in unserem Fall eher ein vernünftig konfiguriertes System und den Umgang als Basis nehmen