Hmm, die Vergleichbarkeit sehe ich nicht so. Denn diese Methode muß immer auf den entsprechenden CLI-Scanner angepaßt werden. AMSI versucht genau hier eine standardisierte Schnittstelle zu etablieren. An sich ist die Idee schon gut. Nur leider wird sie ihre Wirkung erst dann richtig entfalten wenn im Prinzip jeder auf einer Windowsversion unterwegs ist die auch AMSI bereitstellt. Hier wäre es vielleicht sinnvoller gewesen ähnlich wie beim Filter Manager als Backport für Windows 2000 auch einen Backport bis, sagen wir mal einschließlich Windows 7, bereitzustellen. Das hätte wohl auch mehr Begeisterung bei den ISVs ausgelöst.

Sehe ich ähnlich. Aber die Frage ist dennoch die Sinnhaftigkeit.

Nur ein Beispiel. Aufgrund der Tatsache, daß diverse Tester erwarten, daß eicar.com in ZIP-Dateien bis zwei Ebenen tief (also ZIP in ZIP verpackt) erkannt wird, ist diese Funktion in "Echtzeitscannern" (ich empfinde den Namen als unsinniges, aber leider etabliertes, Marketinggewäsch) drin.

Aber wenn man sich jetzt vor Augen führt, daß die gepackte, möglicherweise bösartige Datei ja nicht einfach aus der Luft irgendetwas bösartiges machen kann, sieht man schnell, daß dazu das Archiv erst einmal entpackt werden muß. Der "Echtzeitschutz" bekommt also in jedem Fall Zugriff bevor es brenzlig wird.

Kniffliger wird es, wenn du das Mailboxformat von, sagen wir mal, Outlook nimmst. Das mußt du erstmal parsen; was nicht nur unglaublich ineffizient ist, sondern auch andere Fragen aufwirft: bspw. was tun wenn ein bösartiger Anhang in einer Mail in der Mailbox entdeckt wird? Mailbox in die Quarantäne verschieben? Zugriff verweigern, so daß der Benutzer nicht einmal den Anhang löschen kann?

Dieses Problem - aber mit einer klaren Betonung auf Skriptsprachen (wurde oben erwähnt) - versucht AMSI nun anzugehen.

Aaaaber, auch bei der Outlook-Mailbox kann man nun argumentieren, daß in vielen Fällen (aber leider Dank "integrativer Maßnahmen" seitens Microsoft nicht immer) der Anhang erst einmal auf der Platte landet und dort vom "Echtzeitschutz" abgefangen werden kann. Aber jene Fälle in denen das nicht der Fall ist, sollen eben von AMSI und anderen Maßnahmen (nicht alle öffentlich) abgedeckt werden. Es gab da ja regelmäßig Probleme mit (aktiven) Inhalten die direkt in Outlook gerendert wurden und so zu Verwundbarkeiten führten.