1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ASLR: Speicher-Randomisierung unter…

Anti Virus Programme..

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 20:41

    ....die meisten deaktivieren ASLR unter Windows wegen der Sicherheit. So viel dazu ....

  2. Re: Anti Virus Programme..

    Autor: FreiGeistler 08.12.14 - 21:17

    Habe gerade mal Wikipedia besucht.
    ASLR ist scheinbar schwierig, vollständig zu implementieren, und mittels spraying (dabei wird Schadcode im Speicher GESTREUT, "dupliziert" ist missverständlich) komplett zu umgehen.



    1 mal bearbeitet, zuletzt am 08.12.14 21:20 durch FreiGeistler.

  3. Re: Anti Virus Programme..

    Autor: lear 08.12.14 - 22:23

    "Jein"
    Dummes Spraying scheitert an DEP, s. zB.
    > http://www.heise.de/security/artikel/Die-Rueckkehr-des-Sprayers-Exploits-trotz-DEP-und-ASLR-1169279.html

    Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas) "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen) lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten keinen massiven run auf ASLR)

    Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht position-independent übersetzt wird, weil libmagic dann nicht mehr zw. binary und shared object unterscheiden kann und man <programm> dann nicht durch anclicken aus dolphin oder nautilus starten kann ... m(

    (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl gesprühe findet man auch die Adresse in der gewünschten lib ;-)

    Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

  4. Re: Anti Virus Programme..

    Autor: Legacyleader 08.12.14 - 22:35

    Mal ne Kleine Liste noch sry im ersten Thread war ich grade im Zug und konnte mit edge nur das schreiben :)

    ESET benutzt ASLR komplett aber ESET's Erkennungsraten sind halt meh
    Avira, G Data und McAfee machen dies nur in der 64bit Version

    Gibt ja genug Fälle in dem sich die Malware als Teil des Antiviren Programm ausgibt und dieses "Feature" eben ausnutzt (meistens in den Siganturen selbst) und somit nicht erkannt wird. ASLR Support ist ein großer Entscheidungsfaktor der nicht unterschätzt werden sollte

  5. Re: Anti Virus Programme..

    Autor: Niantic 08.12.14 - 23:17

    lear schrieb:
    --------------------------------------------------------------------------------
    > "Jein"
    > Dummes Spraying scheitert an DEP, s. zB.
    > > www.heise.de
    >
    > Ohne DEP (32bit Systeme) ist ASLR grundsätzlich (Linux, Windows, sonstwas)
    > "schwach" (aber nicht nutzlos) - ob es sich (ggü. den Performanceeinbußen)
    > lohnt, muß jeder selbst wissen. (Ich erwarte zum. für die 32bit Varianten
    > keinen massiven run auf ASLR)
    >
    > Der Golem-Artikel läuft iW. darauf hinaus, daß Code für executables nicht
    > position-independent übersetzt wird, weil libmagic dann nicht mehr zw.
    > binary und shared object unterscheiden kann und man dann nicht durch
    > anclicken aus dolphin oder nautilus starten kann ... m(
    >
    > (Das eine bekannte Speicheradresse auf alle libs durchschlägt ist unschön
    > und sollte gefixed werden, aber imo nicht gravierend - mit ein bisserl
    > gesprühe findet man auch die Adresse in der gewünschten lib ;-)
    >
    > Was die Antivir Situation angeht: afair ist es einfach so, daß einige AVs
    > libs ohne ASLR support einbinden und damit ein Loch in die Anwendungen
    > (meist den Browser...) reißen. Das betraf iirc aber nicht alle AVs.

    Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach darauf testen ob sie shared libraries sind oder Programme. Weil Programme einen Entry point haben. (Main Funktion). Der Entry point wird im elf header benannt, und das ist auch bei aslr binaries der Fall.

  6. Re: Anti Virus Programme..

    Autor: hab (Golem.de) 08.12.14 - 23:35

    Niantic schrieb:
    --------------------------------------------------------------------------------
    > Dann sollte man aber eher libmagic fixen. Binaries lassen sich sehr einfach
    > darauf testen ob sie shared libraries sind oder Programme. Weil Programme
    > einen Entry point haben. (Main Funktion). Der Entry point wird im elf
    > header benannt, und das ist auch bei aslr binaries der Fall.

    Es ist leider nicht so einfach. Manchmal haben auch Libraries eine Main-Funktion. Einfach mal libc starten versuchen, es funktioniert.

    Der entsprechende libmagic-Bugreport ist ja verlinkt, wenn Du einen guten Vorschlag hast (am besten in Form eines Patches): her damit.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. Swiss Post Solutions GmbH, Bamberg, London (Großbritannien) (Home-Office)
  3. Limbach Gruppe SE, Heidelberg
  4. Psychiatrisches Zentrum Nordbaden, Wiesloch

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-91%) 2,20€
  2. 10,48€
  3. (u. a. Warhammer 40,00€0: Gladius - Relics of War für 23,79€, Aggressors: Ancient Rome für 17...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

IT-Fachkräftemangel: Es müssen nicht immer Informatiker sein
IT-Fachkräftemangel
Es müssen nicht immer Informatiker sein

Die Corona-Pandemie scheint der Digitalisierung tatsächlich einen Schub zu geben. Aber woher sollen die dafür nötigen ITler kommen?
Ein Interview von Peter Ilg

  1. Jobporträt IT-Produktmanager Der Alleversteher
  2. Headhunter "Wegen der Krise verlassen mehr IT-Profis ihre Komfortzone"
  3. IT-Ausbildungsberufe Endlich "supermodern"

Unix: Ein Betriebssystem in 8 KByte
Unix
Ein Betriebssystem in 8 KByte

Zwei junge Programmierer entwarfen nahezu im Alleingang ein Betriebssystem und die Sprache C. Zum 50. Jubiläum von Unix werfen wir einen Blick zurück auf die Anfangstage.
Von Martin Wolf


    1. Jens Spahn: Bislang 300 Infektionsmeldungen über Corona-Warn-App
      Jens Spahn
      Bislang 300 Infektionsmeldungen über Corona-Warn-App

      Die Corona-Warn-App ist bislang über 14 Millionen Mal heruntergeladen worden, ungefähr 300 Warnmeldungen über mögliche Infektionen wurden ausgegeben.

    2. Bafin: Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant
      Bafin
      Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant

      Der Skandal um fehlende Milliarden beim Finanzdienstleister Wirecard bringt die Finanzaufsicht in Erklärungsnot - und damit auch die Bundesregierung.

    3. Teams: Slack wirft Microsoft unfairen Wettbewerb vor
      Teams
      Slack wirft Microsoft unfairen Wettbewerb vor

      Slack gehört zu den Gewinnern in der Corona-Krise, das Plus hätte aber noch höher ausfallen können: Unternehmens-Chef Stewart Butterfield wirft Microsoft Wettbewerbsverzerrung vor.


    1. 14:17

    2. 13:59

    3. 13:20

    4. 12:43

    5. 11:50

    6. 14:26

    7. 13:56

    8. 13:15