Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ASLR: Speicher-Randomisierung unter…

Anti Virus Programme..

  1. Thema

Neues Thema Ansicht wechseln


  1. Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 20:41

    ....die meisten deaktivieren ASLR unter Windows wegen der Sicherheit. So viel dazu ....

  2. Re: Anti Virus Programme..

    Autor: FreiGeistler 08.12.14 - 21:17

    Habe gerade mal Wikipedia besucht.
    ASLR ist scheinbar schwierig, vollständig zu implementieren, und mittels spraying (dabei wird Schadcode im Speicher GESTREUT, "dupliziert" ist missverständlich) komplett zu umgehen.



    1 mal bearbeitet, zuletzt am 08.12.14 21:20 durch FreiGeistler.

  3. Re: Anti Virus Programme..

    Autor: lear 08.12.14 - 22:23

    "Jein"
    Dummes Spraying scheitert an DEP, s. zB.
    > http://www.heise.de/security/artikel/Die-Rueckkehr-des-Sprayers-Exploits-trotz-DEP-und-ASLR-1169279.html

    Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas) "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen) lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten keinen massiven run auf ASLR)

    Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht position-independent übersetzt wird, weil libmagic dann nicht mehr zw. binary und shared object unterscheiden kann und man <programm> dann nicht durch anclicken aus dolphin oder nautilus starten kann ... m(

    (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl gesprühe findet man auch die Adresse in der gewünschten lib ;-)

    Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

  4. Re: Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 22:35

    Mal ne Kleine Liste noch sry im ersten Thread war ich grade im Zug und konnte mit edge nur das schreiben :)

    ESET benutzt ASLR komplett aber ESET's Erkennungsraten sind halt meh
    Avira, G Data und McAfee machen dies nur in der 64bit Version

    Gibt ja genug Fälle in dem sich die Malware als Teil des Antiviren Programm ausgibt und dieses "Feature" eben ausnutzt (meistens in den Siganturen selbst) und somit nicht erkannt wird. ASLR Support ist ein großer Entscheidungsfaktor der nicht unterschätzt werden sollte

  5. Re: Anti Virus Programme..

    Autor: Niantic 08.12.14 - 23:17

    lear schrieb:
    --------------------------------------------------------------------------------
    > "Jein"
    > Dummes Spraying scheitert an DEP, s. zB.
    > > www.heise.de
    >
    > Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas)
    > "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen)
    > lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten
    > keinen massiven run auf ASLR)
    >
    > Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht
    > position-independent übersetzt wird, weil libmagic dann nicht mehr zw.
    > binary und shared object unterscheiden kann und man dann nicht durch
    > anclicken aus dolphin oder nautilus starten kann ... m(
    >
    > (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön
    > und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl
    > gesprühe findet man auch die Adresse in der gewünschten lib ;-)
    >
    > Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs
    > libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen
    > (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

    Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach darauf testen ob sie shared libraries sind oder Programme. Weil Programme einen Entry point haben. (Main Funktion). Der Entry point wird im elf header benannt, und das ist auch bei aslr binaries der Fall.

  6. Re: Anti Virus Programme..

    Autor: hannob (golem.de) 08.12.14 - 23:35

    Niantic schrieb:
    --------------------------------------------------------------------------------
    > Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach
    > darauf testen ob sie shared libraries sind oder Programme. Weil Programme
    > einen Entry point haben. (Main Funktion). Der Entry point wird im elf
    > header benannt, und das ist auch bei aslr binaries der Fall.

    Es ist leider nicht so einfach. Manchmal haben auch Libraries eine Main-Funktion. Einfach mal libc starten versuchen, es funktioniert.

    Der entsprechende libmagic-Bugreport ist ja verlinkt, wenn Du einen guten Vorschlag hast (am besten in Form eines Patches): her damit.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Rolf Weber KG, Schauenstein
  3. operational services GmbH & Co. KG, Braunschweig
  4. Freie und Hansestadt Hamburg, Behörde für Inneres und Sport, Landesamt für Verfassungsschutz, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  2. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)
  3. 769,00€
  4. 239,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Ãœberwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. FWA: Huawei verspricht schnellen Glasfaserausbau ohne Spleißen
    FWA
    Huawei verspricht schnellen Glasfaserausbau ohne Spleißen

    Huawei hat Komponenten für den Glasfaserausbau entwickelt, die das Spleißen überflüssig machen sollen. Statt in 360 Minuten könne mit End-to-End-Plug-and-Play der Prozess in nur 36 Minuten erfolgen.

  2. Live Captions: Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
    Live Captions
    Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein

    Mit dem Pixel 4 führt Google seine neue Funktion Live Captions ein: Sobald ein Video oder eine Audiodatei auf dem Smartphone startet, können automatisch erzeugte Untertitel angezeigt werden. Transkribiert wird komplett auf dem Gerät selbst - bisher aber nur auf Englisch.

  3. VPN: Wireguard fliegt wegen Spendenaufruf aus Play Store
    VPN
    Wireguard fliegt wegen Spendenaufruf aus Play Store

    Die Android-App des freien Wireguard-VPN ist von Google aus dem Play Store entfernt worden. Der Grund dafür ist offenbar ein Spendenaufruf der Entwickler in ihrer eigenen App.


  1. 16:29

  2. 16:09

  3. 15:42

  4. 15:17

  5. 14:58

  6. 14:43

  7. 14:18

  8. 13:53