InnoSetup und Trojaner-Heuristiken

**NicoDE**

Interessante Diskussion...

[...] (die entpackte Variante davon mußte ich erst unlängst entfernen, weil ja nicht nur diese eine URI bei Google Safe Browsing gesperrt wird, sondern die komplette Domain mit allen Subdomains)

Kommt mir mehr als bekannt vor... Norton Safe Web besteht darauf, dass meine Domäne, insbesondere die Subdomain mit den SVN-Repositories, unsicher sind (oder halt nicht). Inzwischen bekomme ich mehrmals täglich E-Mails, dass sich der Status der entsprechenden Domänen ändert (ohne, dass ich irgendetwas tun würde)

Im Moment sind die Inhalte wegen eines Umzugs ohnehin offline - und ich denke darüber nach, ob und wie ich die alten SVN-Repositories zur Verfügung stelle.

**Delphi.Narium**

Zitat von Assarbad:

Aber als ehemaliger Admin weiß ich auch, daß die meisten Anwender auch keinen Bock haben geschult zu werden.

Oja, davon kann ich auch ein Liedchen singen.

Und das Schlimme daran ist, dass diejenigen, die am lautesten schreien, sie brauchen keine Schulung auch die sind, die über die wenigste Ahnung verfügen, sie eigentlich am Nötigsten haben

Zitat von Assarbad:

Zitat von Delphi.Narium:

Zitat von Assarbad:

Zitat von Delphi.Narium:

Heuristik heißt bei Virenscanner: Wir suchen nach 'ner Ähnlichkeit.

Nee, das bedeutet wir such(t)en nach Indikatoren und ab einer bestimmten Schwelle schlagen wir Alarm, falls zu viele Indikatoren bedenkliche Werte zeigen.

Naja, und reicht die Menge der Indikatoren, dann böse

Für mich ist das eine Ähnlichkeit, vielleicht auf 'ner anderen Ebene, als bei Meier und Maier, aber es gibt halt eine bestimmte Menge an (algorithmischen) Übereinstimmungen.

Wahrscheinlich meinen wir das gleiche. Nur bei Ähnlichkeiten frage ich mich immer: ähnlich wozu. Und genau diese Cluster bilden sich ja erst raus, je mehr erkannte Dateien man "sieht".

Da bin ich mir sogar sicher, dass wir das Gleiche meinen.

Ähnlich wozu heißt hier in dem Zusammenhang für mich, dass es eine bestimmte Menge (Du nennst es Cluster) von sicher erkannten "Schädlingen" gibt und man nun bei Unbekanntem feststellt, dass die Menge der Überschneidungen (seien es Zeichenfolgen, Bytesequenzen, was auch immer technisch sinnvoll erscheint, ...) einen bestimmten Schwellwert überschreitet und man daher davon ausgehen muss oder zu befürchten steht, dass die untersuchte Datei auch einen der bekannten Schädlinge oder zumindest eine ähnliche Schadfunktion enthalten könnte.

Ich gehe mal davon aus, dass bei einer Heuristik nie eine 100%ige Sicherheit in Bezug auf korrekte Erkennung möglich sein wird. Ebenso wird auch nicht mit 100%iger Sicherheit auszuschließen sein, dass eine Erkennung fälschlicherweise erfolgte.

Zitat von Wikipedia:

Heuristik bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit dennoch zu wahrscheinlichen Aussagen oder praktikablen Lösungen zu kommen.

Zitat von Wikipedia:

Bekannte Heuristiken sind zum Beispiel Versuch und Irrtum (trial and error), statistische Auswertung von Zufallsstichproben und das Ausschlussverfahren. Heuristische Verfahren basieren auf Erfahrungen; sie können auch auf „falschen“ Erfahrungen (z. B. verzerrte Wahrnehmung, Scheinkorrelation) basieren.

Denke, dass das das bestehende Problem recht gut umschreibt.

InnoSetup und Trojaner-Heuristiken

AW: InnoSetup und Trojaner-Heuristiken

AW: InnoSetup und Trojaner-Heuristiken

Forumregeln