AW: Schnittstelle für einen Virenscanner
 

Hallo,
es geht wohl wirklich um das hier, wie bereits gedacht:

https://www.heise.de/security/meldun...g-2690817.html

AW: Schnittstelle für einen Virenscanner
 

So viel isses gar nicht und grundsätzlich schon sinnvoll

https://docs.microsoft.com/de-de/win...terface-portal

AW: Schnittstelle für einen Virenscanner
 

Wenn die lieben AV-Hersteller es implementieren, dann schon. Wir machen es bei unseren Produkten bspw. (noch!) nicht.

AMSI ist prinzipiell für Fälle geeignet wie man sie früher von Email-Clients kannte. Als Abhilfe haben diese heutzutage meist eine Einstellung mit der Anhänge mal kurz die Platte berühren, woraufhin der Dateisystemfiltertreiber des AV (oft als Echtzeitschutz o.ä. bezeichnet) zuschlagen kann. Diesen Umweg spart man sich über AMSI. Allerdings ist AMSI natürlich nur mittelfristig hilfreich, da ein Hersteller auch ggf. ältere Versionen von Windows ohne AMSI unterstützen muß.

Kurzfassung: selbst wenn du es implementierst, heißt das noch lange nicht, daß am anderen Ende jemand lauscht [1].

[1] Wobei man sich bei MS in dieser Hinsicht nicht immer so sicher sein kann, da der Defender (der ja mittlerweile MSSE beinhaltet) unter Umständen jene Schnittstellen besetzt die dein AV nicht besetzt.

AW: Schnittstelle für einen Virenscanner
 

So eine Schnittstelle macht doch nur bei Dokumentenverwaltung sinn.
Bestes Beispiel WinRAR der hat eine "Virenscanner Schnittstelle" im klartext er ruft eine CLI Version des Scanners auf und prüft die Dateien damit

AW: Schnittstelle für einen Virenscanner
 

Das macht immer dann Sinn wenn du nicht nur in deinem Sandkasten spielst sondern "von außen" neue Dateien bekommst und verarbeitest oder dem Benutzer zur Verarbeitung/zum Öffnen bereitstellst. Oder verstehe ich etwas falsch? Packprogramm, Email-Programm, Grafikprogramm - Da fällt eine Menge drunter. Finde ich.

AW: Schnittstelle für einen Virenscanner
 

Hmm, die Vergleichbarkeit sehe ich nicht so. Denn diese Methode muß immer auf den entsprechenden CLI-Scanner angepaßt werden. AMSI versucht genau hier eine standardisierte Schnittstelle zu etablieren. An sich ist die Idee schon gut. Nur leider wird sie ihre Wirkung erst dann richtig entfalten wenn im Prinzip jeder auf einer Windowsversion unterwegs ist die auch AMSI bereitstellt. Hier wäre es vielleicht sinnvoller gewesen ähnlich wie beim Filter Manager als Backport für Windows 2000 auch einen Backport bis, sagen wir mal einschließlich Windows 7, bereitzustellen. Das hätte wohl auch mehr Begeisterung bei den ISVs ausgelöst.

Sehe ich ähnlich. Aber die Frage ist dennoch die Sinnhaftigkeit.

Nur ein Beispiel. Aufgrund der Tatsache, daß diverse Tester erwarten, daß eicar.com in ZIP-Dateien bis zwei Ebenen tief (also ZIP in ZIP verpackt) erkannt wird, ist diese Funktion in "Echtzeitscannern" (ich empfinde den Namen als unsinniges, aber leider etabliertes, Marketinggewäsch) drin.

Aber wenn man sich jetzt vor Augen führt, daß die gepackte, möglicherweise bösartige Datei ja nicht einfach aus der Luft irgendetwas bösartiges machen kann, sieht man schnell, daß dazu das Archiv erst einmal entpackt werden muß. Der "Echtzeitschutz" bekommt also in jedem Fall Zugriff bevor es brenzlig wird.

Kniffliger wird es, wenn du das Mailboxformat von, sagen wir mal, Outlook nimmst. Das mußt du erstmal parsen; was nicht nur unglaublich ineffizient ist, sondern auch andere Fragen aufwirft: bspw. was tun wenn ein bösartiger Anhang in einer Mail in der Mailbox entdeckt wird? Mailbox in die Quarantäne verschieben? Zugriff verweigern, so daß der Benutzer nicht einmal den Anhang löschen kann?

Dieses Problem - aber mit einer klaren Betonung auf Skriptsprachen (wurde oben erwähnt) - versucht AMSI nun anzugehen.

Aaaaber, auch bei der Outlook-Mailbox kann man nun argumentieren, daß in vielen Fällen (aber leider Dank "integrativer Maßnahmen" seitens Microsoft nicht immer) der Anhang erst einmal auf der Platte landet und dort vom "Echtzeitschutz" abgefangen werden kann. Aber jene Fälle in denen das nicht der Fall ist, sollen eben von AMSI und anderen Maßnahmen (nicht alle öffentlich) abgedeckt werden. Es gab da ja regelmäßig Probleme mit (aktiven) Inhalten die direkt in Outlook gerendert wurden und so zu Verwundbarkeiten führten.