AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Softwareentwicklung im Allgemeinen Projektplanung und -Management Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

Offene Frage von "Sir Rufo"
Ein Thema von xbkbk · begonnen am 28. Mär 2016 · letzter Beitrag vom 30. Mär 2016
Antwort Antwort
Seite 3 von 6     123 45     Letzte » 
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#21

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 22:20
....wenn ich im Nachhinein feststelle, dass diese Software Schrott ist oder Dinge tut die ich nicht möchte, naja, dann fliegt sie halt wieder!
Was bei Malware nicht so einfach ist...
Da bleibt dann nur das letzte Backup einzuspielen (zumindest als seriöse Vorgehensweise).
Genau das meine ich. Man kann nicht immer alles ohne weiteres deinstallieren.
Die eben gepostete Idee hat da eine Lösung für (nicht gerade die beste - das weiß ich auch)
Felix
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#22

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 22:27
Irgendwie schaffen es Virenprogrammierer immer wieder, ihre Software zu installieren...
So ist es, leider. Darum bin ich auch überzeugt davon, dass man mit weiteren/neuen Tools wie vom TE angedacht letztendlich nichts oder nicht viel erreichen kann. Der Schutz müsste schon früher ansetzen, z.B. bei der Installation. Ein nicht zertifizierter Treiber oder eine nicht zertifizierte Software sollte gar nicht installierbar oder ausführbar sein. So was könnte man doch als sinnvolle Ergänzung zu einer AV-Software sehen?

An sich ist das eine sehr gute Idee, allerdings glaube ich nicht, dass jede Software, die man gerne installieren möchte, signiert/zertifiziert ist, was dann für einen großen Teil der Anwender wieder problematisch ist und jene Zertifizierung lässt sich teilweise auch fälschen.
Felix
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#23

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 22:32
Das Problem ist, dass man keinen 100%igen Schutz anbieten kann, der dann auch noch 95% der Anwender gerecht wird. Die in diesem Forum angemeldeten Nutzer können auf einem ganz anderen Level bedient werden, als es beim DAU (dumbest allowed User) nötig ist. Der mittelmäßig informierte Nutzer hingegen sollte wiederum anders geschützt werden.
Hier im Forum muss man glaube ich keinen vor einer Rechnung.exe aus einer Email warnen und es klickt auch keiner auf Werbung, die einem zum 20. Mal am Tag erklärt, dass man ja schon wieder ein neues iPhone gewonnen hat, wenn man bloß seine Kreditkartennummer angibt..
Es gibt aber auch andere Nutzer. Darum sollte man beim Erstellen einer Schutzsoftware entweder explizit eine bestimmte Zielgruppe bedienen, mit der das Programm "keinen Stress hat" oder man baut das ganze so, dass jeder Nutzer was damit anfangen kann, was aber fast unmöglich ist.
Ich bin beispielsweise jedes mal angepisst, wenn AV Programme eine Autorun.inf auf meinem Stick als gefährlich ansehen, ja sich sogar teilweise erdreisten, die gleich mal zu löschen, obwohl sie nur das Icon der Partiton ändern soll
Felix
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#24

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 22:33
Dann will ich auch mal meinen unqualifizierten Senf dazugeben, aber der Initiator dieses Threads hat es ja so gewollt:

Ich würde mir einen solche Software definitiv niemals installieren. Die macht Einiges von dem, weswegen ich schon Windows Vista oder auch Windows 8 nicht installiert habe: MICH BEVORMUNDEN! Das ist MEIN PC und MEIN BETRIEBSSYSTEM und wenn ICH ENTSCHEIDE mir eine Software XYZ zu installieren, dann hat mein PC das gefälligst zu tun und zwar OHNE WENN UND ABER! ....wenn ich im Nachhinein feststelle, dass diese Software Schrott ist oder Dinge tut die ich nicht möchte, naja, dann fliegt sie halt wieder!

VG
Peter
Ich würde mir das auch nich installieren
Wie gesagt, es richtet sich nur an mittelmäßig erfahrene Nutzer und nicht an die, die eh schon wissen, was sie tun.
Felix
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#25

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 22:36
Könnte man nicht das umgehen von Hooks umgehen indem man GetProcAddress hookt?
Nicht wirklich effizient. Wenn ich Hooks gezielt umgehen will, dann "manual mappe" ich die entsprechende Dll, parse noch schnell die EAT und hole mir die Funktionsadressen somit komplett ohne irgendwelche API Aufrufe.

Da das manuelle Laden der Dll auch nicht ohne Weiteres festgestellt werden kann, ist davon auszugehen, dass auch keine Inline Hooks mehr im Code aktiv sind.

Und wenn man ganz viel Zeit zu viel hat, dann bastelt man sich für jede Windows Version eine Syscall-Table. Kennt man die entsprechenden Interrupt Nummern (sieht man in der ntdll.dll auf den ersten Blick in fast jeder nativen API), kann man über das direkte Ausführen der SYSCALL Instruction auch die entsprechende API im Kernel ansprechen.
An sich ist da was dran, aber wer macht sich schon die Mühe?
Ich meine das sind ja nicht die 99% der Viren, die unterwegs sind (behaupte ich einfach mal)

Ja gut wer sich so viel Arbeit macht hat es auch verdient nicht gehookt zu werden
eben
Felix
  Mit Zitat antworten Zitat
FarAndBeyond
(Gast)

n/a Beiträge
 
#26

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 23:04
Zitat:
Da Delphi wohl die falsche Plattform ist lasse ich es gleich sein, da ich mit anderen Sprachen wie C, C++ usw. nichts am Hut habe.
Moment mal... nicht so schnell... warum ist Delphi die falsche Platform???
Wegen der SYS-Files? Das kann man mit Delphi3 machen und auch mit höheren Delphi-Versionen mit Hilfe des DDDK. (Delphi Driver Development Kit)
Muß man ja auch nicht verwenden, ist sozusagen 'ne Hilfe...

AV-Software kann nicht funktionieren, aber das hinterfragt ja keiner... Jeder, der sich auch nur etwas auskennt weiß das schon seit Ewigkeiten!!!
Führende ITler im Sicherheitsbereich benutzen solch eine Software nicht! Warum wohl nicht?
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#27

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 23:05
Nur mal so am Rande bemerkt:

Du hast keinen Virus programmiert, sondern ein Programm geschrieben, dass die Tastatureingaben loggt, Screenshots macht und regelmäßig Daten auf einen FTP-Server hochlädt.

Ein Virus versucht sich selber zu vermehren (auf anderen Systemen zu verbreiten) und das fehlt bei dir komplett.

Was sollte jetzt ein Antiviren-Programm an deinem Programm zu meckern haben?

Schadprogramme müssen erst einmal als Schadprogramm erkannt und dann eine Signatur erstellt werden damit dies auch von den AV erkannt wird. Die Heuristik springt auf jeden Fall nicht bei deinem Programm an, sonst würden eine ganze Reihe von normalen Programmen auch auf der Abschußliste stehen.
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#28

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 23:52
Nur mal so am Rande bemerkt:

Du hast keinen Virus programmiert, sondern ein Programm geschrieben, dass die Tastatureingaben loggt, Screenshots macht und regelmäßig Daten auf einen FTP-Server hochlädt.

Ein Virus versucht sich selber zu vermehren (auf anderen Systemen zu verbreiten) und das fehlt bei dir komplett.

Was sollte jetzt ein Antiviren-Programm an deinem Programm zu meckern haben?

Schadprogramme müssen erst einmal als Schadprogramm erkannt und dann eine Signatur erstellt werden damit dies auch von den AV erkannt wird. Die Heuristik springt auf jeden Fall nicht bei deinem Programm an, sonst würden eine ganze Reihe von normalen Programmen auch auf der Abschußliste stehen.
Achja, das habe ich vergessen, zu erwähnen. Er hat sich auf alle Partitionen ungleich C:\ ins Wurzelverzeichnis kopiert. (auch mit Timer alle halbe Minute etwa)

Ich finde, dass das AV Programm das durchaus mit einem "könnte gefährlich sein, muss es aber nicht" um die Ecke kommen sollte. Ich meine auch wenn es sich nicht selbst fortpflanzt, reicht das beschriebene doch schon aus, um sagen zu können, dass da eventuell etwas passieren könnte, das nicht im Sinne des Endnutzers sein kann. (Von Wegen Heuristik und so - die soll ja genau das eigentlich tun: Gefahren erkennen, bevor sie auftreten)
Dass auch normale Programme auf der Abschussliste stehen würden ist logisch, aber durchaus nicht ganz blöd. Wenn dem Nutzer nur gesagt wird "das Programm macht folgendes: Hook setzen, Internet nutzen, im Autostart verankern, sich selbst kopieren" ohne, dass das als Gefahr deklariert wird kann der Nutzer ja selbst entscheiden, dass das für eine AntiVir.exe in Ordnung geht, aber für eine Rechnung.exe nicht.


Zitat:
Da Delphi wohl die falsche Plattform ist lasse ich es gleich sein, da ich mit anderen Sprachen wie C, C++ usw. nichts am Hut habe.
Moment mal... nicht so schnell... warum ist Delphi die falsche Platform???

[...]

AV-Software kann nicht funktionieren, aber das hinterfragt ja keiner... Jeder, der sich auch nur etwas auskennt weiß das schon seit Ewigkeiten!!!
Führende ITler im Sicherheitsbereich benutzen solch eine Software nicht! Warum wohl nicht?
Warum Delphi die falsche Plattform sein soll weiß ich nicht, hab ich sinngemäß aber folgender Äußerung entnommen:

Zitat:
Das dürfte wahrscheinlich noch ein ganzes Stück schwieriger werden als Ring3 Hooks (und das wird schon nicht soo einfach).
Außerdem kannst du dann Delphi schon mal vergessen (falls du vor hattest dafür Delphi zu verwenden).
Felix

Geändert von xbkbk (29. Mär 2016 um 23:55 Uhr) Grund: Ergänzung
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#29

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 30. Mär 2016, 00:00
[...]
AV-Software kann nicht funktionieren, aber das hinterfragt ja keiner... Jeder, der sich auch nur etwas auskennt weiß das schon seit Ewigkeiten!!!
Führende ITler im Sicherheitsbereich benutzen solch eine Software nicht! Warum wohl nicht?
Das ist mir bekannt, aber ich finde, dass man das ändern sollte. Leichter gesagt, als getan - klar, aber genau dafür kam mir die Idee mit dem Programm, das bei allem nervt und um Erlaubnis bittet.
PS: Ich hatte mir mal vor x Jahren ZoneAlarm installiert. Was Internet angeht macht das Programm ziemlich genau das, was ich vorhabe, allerdings auch wirklich nur, wenn eine .exe nach Hause telefonieren will. Sonstige Aktionen interessieren das Programm nicht wirklich.
Felix

Geändert von xbkbk (30. Mär 2016 um 00:01 Uhr) Grund: Rechtschreibung :D
  Mit Zitat antworten Zitat
xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#30

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 30. Mär 2016, 00:08
Hallo,
Dann werden die nötigen Zertifikate halt geklaut oder es werden Schwachstellen in irgendeiner (Sicherheits-)Software ausgenutzt. Und wenn das nicht geht, dann kommen die Dummen die dieses Sicherheitsfeature ohne Grund deaktivieren.

Und dann bleiben noch die Softwareentwickler, die mit diesem Sicherheitsfeature die unterschiedlichsten Probleme haben. Wie ich. Bei einem meiner Projekte wüsste ich gar nicht wie ich das Signieren umsetzten sollte, selbst wenn ich mir das leisten könnte.

einbeliebigername.
Ich kann bestätigen, dass nicht jedes Zertifikat automatisch seine Richtigkeit hat. Habe mal in ner Zeitschrift gelesen, dass von einem namhaften Softwarehersteller Zertifikate entwendet wurden und ich habe auch schon mal ein Adware Programm live gesehen, das signiert war.
Nicht, dass ich Zertifizierung / Signierung generell für wenig aussagekräftig halte - meistens passt das ja, aber es ist eben auch nicht ganz zuverlässig und ein Zertifikat kostet Geld, das nicht jeder Entwickler bereit ist, auszugeben.
Felix
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:37 Uhr.
Powered by vBulletin® Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf