1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Webroot Endpoint Security…

Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

  1. Thema

Neues Thema Ansicht wechseln


  1. Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: JouMxyzptlk 26.04.17 - 11:35

    Manche AV Hersteller haben (teils vor vielen Jahren) aus so was gelernt.
    Bei F-Secure weiß ich das (als Gold-Partner bekommt man auch solche Fragen aus der Technik beantwortet). Kurz nach dem Jahr 2000 herum ist denen das das letzte mal passiert, seit dem haben die eine dicke Whitelist und extra Schutz für Systemdateien damit ein fehlerhaftes Signaturupdate nicht das Betriebssystem abschießt.
    Andere AV Hersteller haben das hoffentlich auch. Nur welche, das weiß ich nicht, könnte da nur vermuten. Symantec sicher nicht, so oft wie die Systeme abschießen ;).



    1 mal bearbeitet, zuletzt am 26.04.17 11:49 durch JouMxyzptlk.

  2. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: MoonShade 26.04.17 - 11:42

    Was passiert dann, wenn ein Virus sich an Systemdateien dranhängt, ist die Whitelist intelligent genug um veränderte Systemdateien zu erkennen?

  3. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: Tantalus 26.04.17 - 11:43

    JouMxyzptlk schrieb:
    --------------------------------------------------------------------------------
    > Andere AV Hersteller haben das hoffentlich auch. Nur welche, das weiß ich
    > nicht, könnte da nur vermuten. Symantec sicher nicht, so oft wie die
    > Systeme abschießen ;).

    GData hat so anno 2005/2006 rum den selben Bock geschossen, da half nur noch die Reparaturinstallation. Ich schätze mal, seither sind die auch sehr vorsichtig geworden.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  4. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: twothe 26.04.17 - 11:49

    Avira hat auch so eine Whitelist nachdem es da gewissen Unfälle gab.

    Allerdings bemerke ich an dem sonst eigentlich sehr guten Scanner, dass der in den letzten Jahren immer paranoider wird, und jede exe-Datei erst mal als Virus identifiziert, die irgendwie komische Sachen mit Speicher oder Handles macht. Letztens z.B. einen Launcher für ein freeshard runter geladen, der beim offiziellen Client im Speicher nur die URL auf den anderen Server umbiegt, von Avira gleich mal als Worm-irgendwas in Quarantäne genommen.

  5. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: JouMxyzptlk 26.04.17 - 11:54

    MoonShade schrieb:
    --------------------------------------------------------------------------------
    > Was passiert dann, wenn ein Virus sich an Systemdateien dranhängt, ist die
    > Whitelist intelligent genug um veränderte Systemdateien zu erkennen?

    Da gibt es Abstufungen. Wenn der SATA/AHCI (exemplarisch) verpfuscht wird hängt es davon ab ob das System mit dem verpfuschten Treiber gebootet hat oder nicht. Auf jedenfalls gibt es eine dicke Meldung. Die ganz genaue Antwort (Wort für Wort) vom Techniker habe ich da nicht mehr im Kopf, ich kann mich nur noch an meine Bewertung erinnern: "OK, das ist so sinnvoll".

  6. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: Muhaha 26.04.17 - 11:55

    MoonShade schrieb:
    --------------------------------------------------------------------------------
    > Was passiert dann, wenn ein Virus sich an Systemdateien dranhängt, ist die
    > Whitelist intelligent genug um veränderte Systemdateien zu erkennen?

    Whitelist bedeutet hier ja nicht, dass Systemdaten gar nicht geprüft werden, sondern dass Systemdaten, die ganz bestimmte Eigenschaften aufweisen, nicht vom Scan erfasst werden. Sprich, eine "shell32.dll" muss so und so sein, damit sie gewithelisted wird. Gibt es einen Windows-Patch und diese Datei ändert sich, bekommt der Scanner mit dem nächsten Update eine neue, aktualisierte Whitelist.

  7. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: Tuxgamer12 26.04.17 - 12:06

    Muhaha schrieb:
    --------------------------------------------------------------------------------
    > Sprich, eine "shell32.dll" muss
    > so und so sein, damit sie gewithelisted wird. Gibt es einen Windows-Patch
    > und diese Datei ändert sich, bekommt der Scanner mit dem nächsten Update
    > eine neue, aktualisierte Whitelist.

    Dann muss die aktualisierte Whitelist aber vor dem Windows-Update kommen - denn sonst wird der Scanner zwangsläufig eine Datei gelegentlich sehen, die vom Soll-Stand abweicht.

    Bekommst du dann als Virenscanner Updates vor dem Rest der Welt? Und was ist, wenn ich Virenscanner Update kurze Zeit deaktiviere und Windows-Update einspiele?

    Wird das also wirklich so gemacht? Würde mich tatsächlich interessieren.

  8. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: Truster 26.04.17 - 12:36

    Meine Gedanken dazu - man könnte es auch so lösen:

    Dateien, die von Microsoft signiert sind, werden ausgenommen.

    Dateien, die nicht signiert sind:
    Wird durch Windows Update eine Datei verändert (der Online Wächter kann dies feststellen) , wird die Datei geimpft*. Wird eine Treiberdatei o.ä. durch ein Setup ersetzt, kann eine Abfrage in der AV Software eingebaut werden, ob dieser Vorgang zulässig ist.

    So sollte man das Problem doch halbwegs in den Griff bekommen?

    *Die AV Software erstellt eine Signatur und schreibt sie in die lokale Datenbank.

  9. Re: Ein Paar AV Hersteller haben extra Whitelists gegen Signaturfehler

    Autor: Apfelbrot 26.04.17 - 13:28

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > Muhaha schrieb:
    > ---------------------------------------------------------------------------

    > Dann muss die aktualisierte Whitelist aber vor dem Windows-Update kommen -
    > denn sonst wird der Scanner zwangsläufig eine Datei gelegentlich sehen, die
    > vom Soll-Stand abweicht.

    Dann ist sie nur nicht mehr auf der Whitelist, aber nicht als Schadcode identifiziert.

    > Bekommst du dann als Virenscanner Updates vor dem Rest der Welt? Und was
    > ist, wenn ich Virenscanner Update kurze Zeit deaktiviere und Windows-Update
    > einspiele?

    Solange die Datei kein Auffälliges Verhalten aufweist, oder zB. von MS Signiert ist, wird der Virenscanner genau gar nichts tun.

    > Wird das also wirklich so gemacht? Würde mich tatsächlich interessieren.

    Ja wird es.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Claranet GmbH, Frankfurt am Main
  2. BASF Services Europe GmbH, Berlin
  3. Phoenix Contact GmbH & Co. KG, Blomberg
  4. InnoGames GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

  1. Lightning vs. USB-C: USB-Konsortium war zu träge
    Lightning vs. USB-C
    USB-Konsortium war zu träge

    Im Streit um den offenen Standard USB-C und Apples eigenen Standard Lightning sind neue Details bekanntgeworden. Das USB-Konsortium gibt sich selbst die Schuld, nicht frühzeitig einen USB-Standard fertig gehabt zu haben, der gegen Lightning hätte bestehen können.

  2. Datenschützer kritisieren: H&M soll Mitarbeiter umfangreich ausspioniert haben
    Datenschützer kritisieren
    H&M soll Mitarbeiter umfangreich ausspioniert haben

    Der schwedische Modehändler Hennes und Mauritz (H&M) soll Mitarbeiter in großem Stil ausspioniert haben. Die zuständige Datenschutzbehörde hat ein Bußgeldverfahren eingeleitet und bezeichnet die Datenschutzverstöße als besonders drastisch.

  3. Handyverträge: Verkürzte Laufzeit und leichtere Kündigungen geplant
    Handyverträge
    Verkürzte Laufzeit und leichtere Kündigungen geplant

    Zwei Jahre laufende Mobilfunkverträge sollen bald der Vergangenheit angehören. Das Bundesjustizministerium hat einen Gesetzentwurf für kürzere Laufzeitverträge und bessere Kündigungsmöglichkeiten veröffentlicht. Auch Vertragsverlängerungen werden begrenzt.


  1. 11:38

  2. 10:35

  3. 10:11

  4. 13:15

  5. 12:50

  6. 11:43

  7. 19:34

  8. 16:40