Schnittstelle für einen Virenscanner
 

Im Rahmen einer Produktzertifizierung bin ich auf die folgende Fragestellung gestoßen: "Stellt das Produkt eine Schnittstelle für Virenscanner zur Verfügung?"

Kann man Virenscannern Schnittstellen anbieten? In der Art, dass der Virenscanner fragt "Bist du ungefährlich" oder so?

Hat schon mal jemand von sowas gehört und kann Informationen geben?

-
Arno

AW: Schnittstelle für einen Virenscanner
 

Ich kenne den umgekehrten Weg - Dass deine Anwendung einen Datenstrom (URL, Bytes, …) hat und den Virenscanner (unabhängig welcher verwendet wird) fragt "Ist das ok?"

https://cloudblogs.microsoft.com/mic...s/?source=mmpc

AW: Schnittstelle für einen Virenscanner
 

Sorum hab ich noch nichts davon gehört, aber stell dir mal vor jeder Virus könnte von sich behaupten "ich bin ungefährlich". :lol: :shock:

OK, es kann sein, dass die Virenscanner auch Signaturen auslesen, deren Zertifikate verifiziert
und dementsprechend dein Programm eher als ungefährlicher weniger gefährlich einstuft, selbst wenn was "Verdächtiges" gefunden wurde.
https://www.delphipraxis.net/90725-e...nfuehrung.html


Andersrum gibt es aber was, wenn ich mich nicht irre, also bei Windows eine API, bei welcher sich die Virenscanner registrieren können und du dann darüber auf ihn zugreifen kannst, um z.B. geziehlt Dateien und Daten/Streams prüfen zu lassen, ohne dich darum kümmern zu müssen welcher der tausenden Virenscanner installiert ist und wie man mit jedem reden muß.
[edit] nicht geirrt :D [/edit]

AW: Schnittstelle für einen Virenscanner
 

Lektüre zum Weitersuchen:

http://germanylandofinnovation.com/q...-virenscan-api

https://www.heise.de/security/meldun...g-2690817.html

AW: Schnittstelle für einen Virenscanner
 

Es gibt eine Api, aber ob das alles noch seine Richtigkeit hat kann ich jetzt nicht beurteilen/testen.
Hier der Link zur Microsoft Antivirus API für Delphi.

Viel Erfolg dabei, mich würde ein Positives Resultat damit freuen zu hören.


edit
Nach Durchlesen, mein Link dient nur wenn man Microsoft Office Dokumente scannen möchte.


Das beste was ich kenne wäre ein Datencheck per www.virustotal.com.

AW: Schnittstelle für einen Virenscanner
 

Nach nochmaligem Überlegen komm ich zur Erkenntnis, dass soeine Schnittstelle sinnlos ist, also ein Programmcode, welcher dem Scanner sagen kann, dass dessen eigene EXE ungefährlich ist,
DENN

Der Scanner würde/könnte die EXE auch schon dann scannen, wenn sie auf der Platte gespeichert wird, also noch bevor die EXE jemals ausgeführt wird.
Demnach kann das Programm keine API ansprechen und dem Scanner etwas über sich selbst sagen.


Signaturen, die extern ausgelesen werden können, sind da etwas Anderes, auch wenn sie hoffentlich niemals den Scanner dazu bringen bei einem entdeckten "absolut gefährlichem Code" auf "du bist garnicht gefährlich" umzuschwenken.

AW: Schnittstelle für einen Virenscanner
 

Hallo,
Frage: "Stellt das Produkt eine Schnittstelle für Virenscanner zur Verfügung?"
Antwort: zum Glück Nein

Frage2: Was für eine idiotische Frage?


Ich hatte zuerst gedacht, dass es darum geht, sich als Virenscanner bei Windows zu registrieren (also #3),
aber das ist wohl doch anders gemeint.

AW: Schnittstelle für einen Virenscanner
 

Guten Morgen zusammen und erst einmal besten Dank für die zahlreichen Antworten.

Wir bekommen öfter mal mehr oder weniger umfangreiche Fragebögen, wenn unser Produkt in größeren Unternehmen oder bei Behörden eingesetzt werden soll. Das ganze nennt sich dann Produktzertifizierung und da kocht jeder mehr oder weniger sein eigenes Süppchen.

Die Frage "Stellt das Produkt eine Schnittstelle für Virenscanner zur Verfügung?" kam zum ersten Mal. So wie die Frage gestellt wurde, ist eine Schnittstelle für Virenscanner im eigenen Programm gemeint - also der Virenscanner fragt das Programm irgendwas. So zumindest meine Interpretation. Mein erster Gedanke war: was für ein Unsinn und da es bei uns eh keine Schnittstelle in der Art gibt war die Antwort Nein.

Trotzdem hat mich das weiter beschäftigt, daher meine (zugegeben provokante) Frage hier.


Das sich Virenscanner bei Windows bekannt machen können, und somit das Wartungscenter Ruhe gibt, war mir bekannt. Das Antimalware Scan Interface ist neu für mich. Vielleicht kann man damit programmgesteuert Ausnahmen für die Firewall von Drittherstellern definieren. Das geht bisher nämlich nur für die Windows Firewall. Aber das soll jetzt nicht Thema hier sein.


Ich werde beim Autor der Ursprungsfrage mal nachhaken wie sie gemeint war. Antwort folgt ...

-
Arno

AW: Schnittstelle für einen Virenscanner
 

Man kann damit, dafür ist es gedacht, vor allem Skripte vor deren Ausführung prüfen lassen. Denn wenn das Programm die selbst irgendwoher holt und nur im Speicher hat, bekommt das Antivirenprogramm gar nicht mit, dass da ein Skript ist, das gleich ausgeführt wird. Um auch solche Fälle abzusichern, bei denen nicht eine offensichtlich ausführbare Datei, wie eben auch ein Skript, auf der Festplatte liegt, wurde die Möglichkeit hinzugefügt, dass Programme selber vor der Ausführung die Daten zur Prüfung geben können.

AW: Schnittstelle für einen Virenscanner
 

Theoretisch könnte damit auch gemeint sein, dass das Programm einem Virenscanner eine API zur Verfügung stellt, um die Daten, die es erzeugt/bearbeitet zu scannen. Das könnte z.B. bei einem Packer sinnvoll sein.

Aber irgendwie glaube ich nicht, dass das gemeint ist.

AW: Schnittstelle für einen Virenscanner
 

Hallo,
es geht wohl wirklich um das hier, wie bereits gedacht:

https://www.heise.de/security/meldun...g-2690817.html

AW: Schnittstelle für einen Virenscanner
 

So viel isses gar nicht und grundsätzlich schon sinnvoll

https://docs.microsoft.com/de-de/win...terface-portal

AW: Schnittstelle für einen Virenscanner
 

Wenn die lieben AV-Hersteller es implementieren, dann schon. Wir machen es bei unseren Produkten bspw. (noch!) nicht.

AMSI ist prinzipiell für Fälle geeignet wie man sie früher von Email-Clients kannte. Als Abhilfe haben diese heutzutage meist eine Einstellung mit der Anhänge mal kurz die Platte berühren, woraufhin der Dateisystemfiltertreiber des AV (oft als Echtzeitschutz o.ä. bezeichnet) zuschlagen kann. Diesen Umweg spart man sich über AMSI. Allerdings ist AMSI natürlich nur mittelfristig hilfreich, da ein Hersteller auch ggf. ältere Versionen von Windows ohne AMSI unterstützen muß.

Kurzfassung: selbst wenn du es implementierst, heißt das noch lange nicht, daß am anderen Ende jemand lauscht [1].

[1] Wobei man sich bei MS in dieser Hinsicht nicht immer so sicher sein kann, da der Defender (der ja mittlerweile MSSE beinhaltet) unter Umständen jene Schnittstellen besetzt die dein AV nicht besetzt.

AW: Schnittstelle für einen Virenscanner
 

So eine Schnittstelle macht doch nur bei Dokumentenverwaltung sinn.
Bestes Beispiel WinRAR der hat eine "Virenscanner Schnittstelle" im klartext er ruft eine CLI Version des Scanners auf und prüft die Dateien damit

AW: Schnittstelle für einen Virenscanner
 

Das macht immer dann Sinn wenn du nicht nur in deinem Sandkasten spielst sondern "von außen" neue Dateien bekommst und verarbeitest oder dem Benutzer zur Verarbeitung/zum Öffnen bereitstellst. Oder verstehe ich etwas falsch? Packprogramm, Email-Programm, Grafikprogramm - Da fällt eine Menge drunter. Finde ich.

AW: Schnittstelle für einen Virenscanner
 

Hmm, die Vergleichbarkeit sehe ich nicht so. Denn diese Methode muß immer auf den entsprechenden CLI-Scanner angepaßt werden. AMSI versucht genau hier eine standardisierte Schnittstelle zu etablieren. An sich ist die Idee schon gut. Nur leider wird sie ihre Wirkung erst dann richtig entfalten wenn im Prinzip jeder auf einer Windowsversion unterwegs ist die auch AMSI bereitstellt. Hier wäre es vielleicht sinnvoller gewesen ähnlich wie beim Filter Manager als Backport für Windows 2000 auch einen Backport bis, sagen wir mal einschließlich Windows 7, bereitzustellen. Das hätte wohl auch mehr Begeisterung bei den ISVs ausgelöst.

Sehe ich ähnlich. Aber die Frage ist dennoch die Sinnhaftigkeit.

Nur ein Beispiel. Aufgrund der Tatsache, daß diverse Tester erwarten, daß eicar.com in ZIP-Dateien bis zwei Ebenen tief (also ZIP in ZIP verpackt) erkannt wird, ist diese Funktion in "Echtzeitscannern" (ich empfinde den Namen als unsinniges, aber leider etabliertes, Marketinggewäsch) drin.

Aber wenn man sich jetzt vor Augen führt, daß die gepackte, möglicherweise bösartige Datei ja nicht einfach aus der Luft irgendetwas bösartiges machen kann, sieht man schnell, daß dazu das Archiv erst einmal entpackt werden muß. Der "Echtzeitschutz" bekommt also in jedem Fall Zugriff bevor es brenzlig wird.

Kniffliger wird es, wenn du das Mailboxformat von, sagen wir mal, Outlook nimmst. Das mußt du erstmal parsen; was nicht nur unglaublich ineffizient ist, sondern auch andere Fragen aufwirft: bspw. was tun wenn ein bösartiger Anhang in einer Mail in der Mailbox entdeckt wird? Mailbox in die Quarantäne verschieben? Zugriff verweigern, so daß der Benutzer nicht einmal den Anhang löschen kann?

Dieses Problem - aber mit einer klaren Betonung auf Skriptsprachen (wurde oben erwähnt) - versucht AMSI nun anzugehen.

Aaaaber, auch bei der Outlook-Mailbox kann man nun argumentieren, daß in vielen Fällen (aber leider Dank "integrativer Maßnahmen" seitens Microsoft nicht immer) der Anhang erst einmal auf der Platte landet und dort vom "Echtzeitschutz" abgefangen werden kann. Aber jene Fälle in denen das nicht der Fall ist, sollen eben von AMSI und anderen Maßnahmen (nicht alle öffentlich) abgedeckt werden. Es gab da ja regelmäßig Probleme mit (aktiven) Inhalten die direkt in Outlook gerendert wurden und so zu Verwundbarkeiten führten.