Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ASLR: Speicher-Randomisierung unter…

Anti Virus Programme..

  1. Thema

Neues Thema Ansicht wechseln


  1. Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 20:41

    ....die meisten deaktivieren ASLR unter Windows wegen der Sicherheit. So viel dazu ....

  2. Re: Anti Virus Programme..

    Autor: FreiGeistler 08.12.14 - 21:17

    Habe gerade mal Wikipedia besucht.
    ASLR ist scheinbar schwierig, vollständig zu implementieren, und mittels spraying (dabei wird Schadcode im Speicher GESTREUT, "dupliziert" ist missverständlich) komplett zu umgehen.



    1 mal bearbeitet, zuletzt am 08.12.14 21:20 durch FreiGeistler.

  3. Re: Anti Virus Programme..

    Autor: lear 08.12.14 - 22:23

    "Jein"
    Dummes Spraying scheitert an DEP, s. zB.
    > http://www.heise.de/security/artikel/Die-Rueckkehr-des-Sprayers-Exploits-trotz-DEP-und-ASLR-1169279.html

    Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas) "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen) lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten keinen massiven run auf ASLR)

    Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht position-independent übersetzt wird, weil libmagic dann nicht mehr zw. binary und shared object unterscheiden kann und man <programm> dann nicht durch anclicken aus dolphin oder nautilus starten kann ... m(

    (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl gesprühe findet man auch die Adresse in der gewünschten lib ;-)

    Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

  4. Re: Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 22:35

    Mal ne Kleine Liste noch sry im ersten Thread war ich grade im Zug und konnte mit edge nur das schreiben :)

    ESET benutzt ASLR komplett aber ESET's Erkennungsraten sind halt meh
    Avira, G Data und McAfee machen dies nur in der 64bit Version

    Gibt ja genug Fälle in dem sich die Malware als Teil des Antiviren Programm ausgibt und dieses "Feature" eben ausnutzt (meistens in den Siganturen selbst) und somit nicht erkannt wird. ASLR Support ist ein großer Entscheidungsfaktor der nicht unterschätzt werden sollte

  5. Re: Anti Virus Programme..

    Autor: Niantic 08.12.14 - 23:17

    lear schrieb:
    --------------------------------------------------------------------------------
    > "Jein"
    > Dummes Spraying scheitert an DEP, s. zB.
    > > www.heise.de
    >
    > Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas)
    > "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen)
    > lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten
    > keinen massiven run auf ASLR)
    >
    > Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht
    > position-independent übersetzt wird, weil libmagic dann nicht mehr zw.
    > binary und shared object unterscheiden kann und man dann nicht durch
    > anclicken aus dolphin oder nautilus starten kann ... m(
    >
    > (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön
    > und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl
    > gesprühe findet man auch die Adresse in der gewünschten lib ;-)
    >
    > Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs
    > libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen
    > (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

    Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach darauf testen ob sie shared libraries sind oder Programme. Weil Programme einen Entry point haben. (Main Funktion). Der Entry point wird im elf header benannt, und das ist auch bei aslr binaries der Fall.

  6. Re: Anti Virus Programme..

    Autor: hannob (golem.de) 08.12.14 - 23:35

    Niantic schrieb:
    --------------------------------------------------------------------------------
    > Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach
    > darauf testen ob sie shared libraries sind oder Programme. Weil Programme
    > einen Entry point haben. (Main Funktion). Der Entry point wird im elf
    > header benannt, und das ist auch bei aslr binaries der Fall.

    Es ist leider nicht so einfach. Manchmal haben auch Libraries eine Main-Funktion. Einfach mal libc starten versuchen, es funktioniert.

    Der entsprechende libmagic-Bugreport ist ja verlinkt, wenn Du einen guten Vorschlag hast (am besten in Form eines Patches): her damit.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schneider Intercom GmbH, München
  2. HARDY REMAGEN GMBH & CO.KG, Hürth
  3. CURRENTA GmbH & Co. OHG, Leverkusen
  4. ITEOS, Stuttgart oder andere Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 249€ + Versand
  2. 169,90€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

  1. Retro Classic Mouse: Azio bringt passende Maus zu seiner Retrotastatur
    Retro Classic Mouse
    Azio bringt passende Maus zu seiner Retrotastatur

    Mit der Retro Classic Mouse können Besitzer von Azios Retro-Classic-Tastatur ihr Setup auf dem Schreibtisch stilgerecht vervollständigen: Die Maus kommt in den gleichen Designs wie die Tastaturen, die Oberfläche ist aus echtem Leder - der Preis aktuell aber noch etwas zu hoch.

  2. Team-Messenger: Ab in die Matrix!
    Team-Messenger
    Ab in die Matrix!

    Es muss nicht immer Slack sein. Das Startup Parity nutzt seit zwei Jahren den freien, offenen und verschlüsselten Team-Messenger Matrix - und zieht eine positive Bilanz. Auch wenn nicht immer alles rundläuft.

  3. Ridesharing: Gericht schränkt Moia-Dienst im Hamburg ein
    Ridesharing
    Gericht schränkt Moia-Dienst im Hamburg ein

    Ein Hamburger Gericht hat dem Einspruch eines Taxi-Unternehmers gegen die VW-Tochter Moia teilweise stattgegeben: Der Fahrdienst darf seinen Elektroauto-Fuhrpark zunächst nicht wie geplant ausbauen. Bis zur Hauptverhandlung darf Moia nur 200 Fahrzeuge betreiben.


  1. 12:30

  2. 12:09

  3. 11:59

  4. 11:55

  5. 11:30

  6. 10:57

  7. 10:47

  8. 10:37