23
Stand Alone PC als Virenscan Terminal
Hallo zusammen,
dies ist mein erster Beitrag hier in der Community und ich freue mich mit an Board sein zu dürfen.
Jetzt aber schnell zu meiner Frage.
Ich habe die Aufgabe ein Stand-Alone Notebook aufzusetzen welches nur die Aufgabe hat zum Viren, Trojan, Spyware .... usw. Scan zur verfügung zu stehen.
Aufgabenstellung für mich ist.
- Mitarbeiter kommt mit seinem USB-Stick, CD, DVD, SD-Card zum gerät und verbindet das Wechelsmedium.
- Wenn Gerät installiert wurde kann der Benutzer eine Icon auf dem Desktop klicken und es wird automatisch ein Viren, Trojaner, usw.... scan durchgeführt.
Wichtig!!!
- Der Scan soll NUR den Wecheldatenträger scannen
- Die Software sollte möglichst eine Markensoftware sein. (Dumme Vorraussetzung aber war nicht meine) daher keine Noname Tools o.ä.
Beispiel zu dem ding mit der Markensoftware wäre der Spybot. Ich habe den vorgeschlagen da man den so konfigurieren kann wie es gefordert ist und der in der Prof. Version auch einen Virenscanner mitbringt. Leider ist es daran gescheitert das ich keine aussagekräftigen Testberichte von vertrauenswürdigen Quellen (z.b. heise) gefunden habe zu der neuen Version.
- Geld spielt keine Rolle
- Es dürfen auch zwei Buttons und zwei Programme sein aber nicht mehr
Bitte helft mir weiter da ich echt keine ahnung habe was ich da jetzt noch nehmen kann.
Danke!!!
dies ist mein erster Beitrag hier in der Community und ich freue mich mit an Board sein zu dürfen.
Jetzt aber schnell zu meiner Frage.
Ich habe die Aufgabe ein Stand-Alone Notebook aufzusetzen welches nur die Aufgabe hat zum Viren, Trojan, Spyware .... usw. Scan zur verfügung zu stehen.
Aufgabenstellung für mich ist.
- Mitarbeiter kommt mit seinem USB-Stick, CD, DVD, SD-Card zum gerät und verbindet das Wechelsmedium.
- Wenn Gerät installiert wurde kann der Benutzer eine Icon auf dem Desktop klicken und es wird automatisch ein Viren, Trojaner, usw.... scan durchgeführt.
Wichtig!!!
- Der Scan soll NUR den Wecheldatenträger scannen
- Die Software sollte möglichst eine Markensoftware sein. (Dumme Vorraussetzung aber war nicht meine) daher keine Noname Tools o.ä.
Beispiel zu dem ding mit der Markensoftware wäre der Spybot. Ich habe den vorgeschlagen da man den so konfigurieren kann wie es gefordert ist und der in der Prof. Version auch einen Virenscanner mitbringt. Leider ist es daran gescheitert das ich keine aussagekräftigen Testberichte von vertrauenswürdigen Quellen (z.b. heise) gefunden habe zu der neuen Version.
- Geld spielt keine Rolle
- Es dürfen auch zwei Buttons und zwei Programme sein aber nicht mehr
Bitte helft mir weiter da ich echt keine ahnung habe was ich da jetzt noch nehmen kann.
Danke!!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 220310
Url: https://administrator.de/contentid/220310
Printed on: April 23, 2024 at 05:04 o'clock
23 Comments
Latest comment
Hi,
Es gibt einige Virenscanner Distributionen da draußen
Da könnten man doch aufsetzen.
mfg
Cthluhu
Es gibt einige Virenscanner Distributionen da draußen
- Desinfec't
- Knoppicillin
- Kaspersky Rescue Disk
- ...
Da könnten man doch aufsetzen.
mfg
Cthluhu
Ist aber auch eher "no Name". Hier würde ich der GF eher klar machen, dass es wichtiger ist, dass das System eher unter einem Linux läuft (dafür gibt es dann auch einige Virenscanner, kostet auch nicht wirklich viel)
Zitat von @falscher-sperrstatus:
Ist aber auch eher "no Name". Hier würde ich der GF eher klar machen, dass es wichtiger ist, dass das System eher
unter einem Linux läuft (dafür gibt es dann auch einige Virenscanner, kostet auch nicht wirklich viel)
Ist aber auch eher "no Name". Hier würde ich der GF eher klar machen, dass es wichtiger ist, dass das System eher
unter einem Linux läuft (dafür gibt es dann auch einige Virenscanner, kostet auch nicht wirklich viel)
Hi,
•Kaspersky Rescue Disk
das soll NoName sein ? Wenn die GF Kaspersky hört und sich bisschen auskennt wird sie doch hellauf begeistert sein oder nicht ?
Grüße
Exze
hey,
Desinfec't kommt doch von c't also Heise. Das sollte für die GF auch ein "seriöser" Hersteller sein.
Desinfec't kommt doch von c't also Heise. Das sollte für die GF auch ein "seriöser" Hersteller sein.
2
Hi,
frag mal deine GF was derer Ansicht nach seriös ist. Spybot halte ich persönlich nicht für seriös. Aber das ist miene Ansicht und Meinung
Kaspersky, Desinfect usw. ist doch die rrichtige Lösung für dich
Gruß Eumel
frag mal deine GF was derer Ansicht nach seriös ist. Spybot halte ich persönlich nicht für seriös. Aber das ist miene Ansicht und Meinung
Kaspersky, Desinfect usw. ist doch die rrichtige Lösung für dich
Gruß Eumel
Vielen dank für die vielen schnellen Antworten.
Aber eine Distribution ist hier noch keine Alternative. Das ganze soll erst einmal auf Windows Basis laufen.
Kaspersky wäre schon ein Name der ohne zutun durchgehen würde
Aber eine Distribution ist hier noch keine Alternative. Das ganze soll erst einmal auf Windows Basis laufen.
Kaspersky wäre schon ein Name der ohne zutun durchgehen würde
Hi,
Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
mfg
Cthluhu
Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
mfg
Cthluhu
Hi,
die GF traut dem Linux/ unix wohl nicht
Gruß Eumel
die GF traut dem Linux/ unix wohl nicht
Gruß Eumel
meine Rede.... -.-
Sag deinen Geschäftsführern, wenn sie dies unter Windows versuchen zu realisieren, können sie es auch gleich sein lassen.
Die Idee mit dem desinfec't PC, der rumsteht und genau dafür genutzt wird, ist schon klasse.
Die Idee mit dem desinfec't PC, der rumsteht und genau dafür genutzt wird, ist schon klasse.
Sorry Exzellius, ich hab zu schlechte Erfahrungen mit Kaspersky gemacht, nichts für ungut.
Hallo,
das hört sich alles schön und gut an und es ist auch einmal schön zu sehen, dass es noch Geschäftsleitungen gibt die Geld in die
Hand nehmen, für so etwas!
Allerdings würde ich einmal sagen kennen wir alle sogar gleich mehrere Situationen wo eine menge Mitarbeiter Ihre
Medien scannen möchte und jemand keine Zeit hat, der dann einfach den USB Stick an stöpselt und/oder einfach die
CD/DVD einlegt und loslegt, also das mit der Antiviren-Scann Station ist zwar gut gemeint aber ein richtige guter Antivirus
auf jedem PC oder WS und zwar eine Server gestützten AV Lösung die eventuell sogar noch durch eine AV Lösung auf einer
UTM (Firewall+IDS/IPS+Kontent+AV & Malwarefilter) unterstützt wird. Das mit der AV Scann Lösung so wie Du sie anstrebst
lässt sich auch auf einem Notebook mit gebootetem c´t disinfect erledigen, allerdings ist das dann eben eine OpenSource Lösung
nur wenn dort dann mit 5 AV Scannern nichts gefunden wurde und auf den PCs, WSs und Servern NOD32 von ESET läuft und vorne
auf einer UTM eine Kaspersky Lösung läuft hat man zwar das ganze Portfolio schon gut und auch ausreichend ausgeschöpft, aber
es bringt eben herzlich wenig wenn man nicht oft genug mit den Mitarbeitern spricht und seitens der Geschäftsleitung auch einmal
eine schriftliche Arbeitsanweisung herausgibt, die manchmal mehr Wunder bewirkt als alles andere.
Und alles zusammen ist dann ein runder Schutz wobei ich auch immer ein wenig lila Nackenhaare bekomme wenn da jeder seinen
"Kram" auf Datenträgern mitbringen darf und auch anschließen darf.
Gruß
Dobby
das hört sich alles schön und gut an und es ist auch einmal schön zu sehen, dass es noch Geschäftsleitungen gibt die Geld in die
Hand nehmen, für so etwas!
Allerdings würde ich einmal sagen kennen wir alle sogar gleich mehrere Situationen wo eine menge Mitarbeiter Ihre
Medien scannen möchte und jemand keine Zeit hat, der dann einfach den USB Stick an stöpselt und/oder einfach die
CD/DVD einlegt und loslegt, also das mit der Antiviren-Scann Station ist zwar gut gemeint aber ein richtige guter Antivirus
auf jedem PC oder WS und zwar eine Server gestützten AV Lösung die eventuell sogar noch durch eine AV Lösung auf einer
UTM (Firewall+IDS/IPS+Kontent+AV & Malwarefilter) unterstützt wird. Das mit der AV Scann Lösung so wie Du sie anstrebst
lässt sich auch auf einem Notebook mit gebootetem c´t disinfect erledigen, allerdings ist das dann eben eine OpenSource Lösung
nur wenn dort dann mit 5 AV Scannern nichts gefunden wurde und auf den PCs, WSs und Servern NOD32 von ESET läuft und vorne
auf einer UTM eine Kaspersky Lösung läuft hat man zwar das ganze Portfolio schon gut und auch ausreichend ausgeschöpft, aber
es bringt eben herzlich wenig wenn man nicht oft genug mit den Mitarbeitern spricht und seitens der Geschäftsleitung auch einmal
eine schriftliche Arbeitsanweisung herausgibt, die manchmal mehr Wunder bewirkt als alles andere.
Und alles zusammen ist dann ein runder Schutz wobei ich auch immer ein wenig lila Nackenhaare bekomme wenn da jeder seinen
"Kram" auf Datenträgern mitbringen darf und auch anschließen darf.
Gruß
Dobby
1
Soweit geben ich dir recht. Doch hilft eine UTM doch recht wenig bei USB Sticks und SD Karten usw. Genauso ist es nicht zu vermeiden bei Kundendienstmitarbeitern das diese Ihre Firmensticks an Fremde Systeme anschließen.
Lässt sich das Desinfect auf einem Notebook installieren?
Kann man die Einstellungen mit der der Scanner startet irgendwie dauerhaft ändern, wenn ja dann wie? Natürlich ist mir bewusst das dies nur bei einer usb-Stick version funktioniert.
Liebe Grüße und vielen Dank
Stephan
Lässt sich das Desinfect auf einem Notebook installieren?
Kann man die Einstellungen mit der der Scanner startet irgendwie dauerhaft ändern, wenn ja dann wie? Natürlich ist mir bewusst das dies nur bei einer usb-Stick version funktioniert.
Liebe Grüße und vielen Dank
Stephan
Genauso ist es nicht zu vermeiden bei Kundendienstmitarbeitern das diese Ihre Firmensticks an Fremde Systeme anschließen.
Bis da etwas drauf ist was nach draußen einen Kontakt herstellen möchte!Lässt sich das Desinfect auf einem Notebook installieren?
Man kann es auf jeden Fall davon booten! Mit der Installation wäre ich vorsichtig, denneigentlich liegt der Sicherheitsgewinn ja in dem Medium was nicht mehr beschrieben werden
kann und somit auch nicht mehr infiziert werden kann.
Kann man die Einstellungen mit der der Scanner startet irgendwie dauerhaft ändern, wenn ja dann wie?
Ja das kann man und man kann auch einen USB Stick anklemmen und die Konfiguration abspeichern!Genau das gleiche gilt natürlich für die AV Signaturen die kann man dann dort auch drauf abspeichern
und bei dem nächsten Bootvorgang kann man auch alles wieder davon laden!
Natürlich ist mir bewusst das dies nur bei einer usb-Stick version funktioniert.
Siehe weiter oben.Gruß
Dobby
Hallo Malli88,
mal ein paar generelle Überlegungen dazu.
Wenn ihr auf Nummer sicher gehen wollt, müssten mehrere Virenscanner installiert sein (wäre bei Desinfec't gegeben).
Jetzt gehe mal von einem 2GB USB Stick mit vielen Daten aus und scanne den mit allen 3 Virenscannern der Desinfec't.
Schon mal gemacht?
Nein? Das dauert eine ganze Weile. Wenn ich eine Festplatte mit der Desinfec't scanne darf man das gern in Stunden rechnen.
Nur scannen, ohne das Aktualisieren der Signaturen, das dauert auch noch mal eine ganze Weile.
Das ist im normalen Betrieb einfach nicht umsetzbar.
Oder geht es euch nur darum, das die Wechseldatenträger gescannt werden?
Dann können das die MA auch abends auf dem Firmennotebook zu Hause nebenbei laufen lassen, auf den Geräten habt ihr
doch wohl einen zentral verwalteten Virenscanner, oder?
Vielleicht überlegt ihr euch das noch einmal.
grüße vom it-frosch
mal ein paar generelle Überlegungen dazu.
Wenn ihr auf Nummer sicher gehen wollt, müssten mehrere Virenscanner installiert sein (wäre bei Desinfec't gegeben).
Jetzt gehe mal von einem 2GB USB Stick mit vielen Daten aus und scanne den mit allen 3 Virenscannern der Desinfec't.
Schon mal gemacht?
Nein? Das dauert eine ganze Weile. Wenn ich eine Festplatte mit der Desinfec't scanne darf man das gern in Stunden rechnen.
Nur scannen, ohne das Aktualisieren der Signaturen, das dauert auch noch mal eine ganze Weile.
Das ist im normalen Betrieb einfach nicht umsetzbar.
Oder geht es euch nur darum, das die Wechseldatenträger gescannt werden?
Dann können das die MA auch abends auf dem Firmennotebook zu Hause nebenbei laufen lassen, auf den Geräten habt ihr
doch wohl einen zentral verwalteten Virenscanner, oder?
Vielleicht überlegt ihr euch das noch einmal.
grüße vom it-frosch
Moin,
ich würde dafür, wie von anderen auch vorgeschlagen, eine PC mit desinfect von der DVD oder vom Schreibgeschütztem Stick nehmen. das kann man sich natürlich genauso mit einem standard-Linux 6 Virenscanner von der Stange bauen, aber die desinfect Variante ist im Prinzip direct einsatzbereit. ggf. muß man sich die Lizenzen von den desinfect-Virenscannern noch dazukaufen, wenn man das ganze in eine rFirma einsetzt.
Wichtig ist, daß sobald auf den Medien größere Datenbestände zum prüfen sind, das ganze ein Geduldsspiel wird, d.h. das System durchaus mal im Stundenbereich belegt ist!
lks
ich würde dafür, wie von anderen auch vorgeschlagen, eine PC mit desinfect von der DVD oder vom Schreibgeschütztem Stick nehmen. das kann man sich natürlich genauso mit einem standard-Linux 6 Virenscanner von der Stange bauen, aber die desinfect Variante ist im Prinzip direct einsatzbereit. ggf. muß man sich die Lizenzen von den desinfect-Virenscannern noch dazukaufen, wenn man das ganze in eine rFirma einsetzt.
Wichtig ist, daß sobald auf den Medien größere Datenbestände zum prüfen sind, das ganze ein Geduldsspiel wird, d.h. das System durchaus mal im Stundenbereich belegt ist!
lks
Zitat von @Cthluhu:
Hi,
Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
Hi,
Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
Eben deshalb. Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel, eine Schadsoftware unerkannt zum Zielsystem zu befördern.
Grüße
Richard
2
Hallo Richard,
Ich würde für den angesprochenen Einsatzzweck ein Linux System bevorzugen da:
- mehrere Virenscanner nacheinander die Daten scannen können (die Installation von mehren Virenscannern unter Windows ist meist problematisch)
- für dieses OS es bisher die wenigsten Viren gibt, sprich die Gefahr eines infizierten Prüfsystems recht gering ist
- unpatchte Windows Sicherheitslücken die beim Anstecken der Wechseldatenträger einen evtl. vorhanden Virus aktivieren fallen durch Linux weg
- "Versteck" Strategien aktiver Viren (siehe http://www.heise.de/ct/inhalt/2013/20/190/) funktionieren nicht
grüße vom it-frosch
Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel, eine Schadsoftware unerkannt zum Zielsystem zu befördern.
Könntest du, nur mal Interesse halber, einige Begründungen bzw. Quellen für diese These angeben?Ich würde für den angesprochenen Einsatzzweck ein Linux System bevorzugen da:
- mehrere Virenscanner nacheinander die Daten scannen können (die Installation von mehren Virenscannern unter Windows ist meist problematisch)
- für dieses OS es bisher die wenigsten Viren gibt, sprich die Gefahr eines infizierten Prüfsystems recht gering ist
- unpatchte Windows Sicherheitslücken die beim Anstecken der Wechseldatenträger einen evtl. vorhanden Virus aktivieren fallen durch Linux weg
- "Versteck" Strategien aktiver Viren (siehe http://www.heise.de/ct/inhalt/2013/20/190/) funktionieren nicht
grüße vom it-frosch
1Zitat von @c.r.s.:
> Zitat von @Cthluhu:
> ----
> Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
Eben deshalb. Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel,
eine Schadsoftware unerkannt zum Zielsystem zu befördern.
> Zitat von @Cthluhu:
> ----
> Warum auf Windows? Warum zum Scannen nach Viren genau jenes OS nehmen für das die meisten Viren geschrieben wurden?
Eben deshalb. Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel,
eine Schadsoftware unerkannt zum Zielsystem zu befördern.
Das ist so nicht richtig. Wir reden hier von offline-Virenscanner. D.h. die Viren sind nicht aktiv, sondern nur auf der Festplatte/USB-Stick als Datei oder sonstwas (z.B. alternative data stream) vorhanden. Von welchen OS aus der offline Virenscanner gestartet ist, sollt hier in erster Linie keinen Einfluss haben. Ganz im Gegenteil, viele Viren auf USB-Stick können gleich mal automatisch beim Einstecken aktiv werden, (sofern der Stick unter Windows eingesteckt wird) und sich gleich mal vor dem Scanner verstecken.
Zitat von @it-frosch:
Hallo Richard,
> Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel, eine
Schadsoftware unerkannt zum Zielsystem zu befördern.
Könntest du, nur mal Interesse halber, einige Begründungen bzw. Quellen für diese These angeben?
Hallo Richard,
> Je stärker sich die Prüfumgebung von der Zielumgebung unterscheidet, desto einfacher ist es in der Regel, eine
Schadsoftware unerkannt zum Zielsystem zu befördern.
Könntest du, nur mal Interesse halber, einige Begründungen bzw. Quellen für diese These angeben?
Moin,
diese These ist imho unbegründet. Man müßte das erst eruieren, bevor man solche eine Aussage als Fakt behaupten kann udn mir ist beisher keien Studie/kein test bekannt, in dem das gemacht worden wäre.
Ich würde für den angesprochenen Einsatzzweck ein Linux System bevorzugen da:
Das würde ich auch, aber:
- mehrere Virenscanner nacheinander die Daten scannen können (die Installation von mehren Virenscannern unter Windows ist
meist problematisch)
meist problematisch)
das geht auch unetr Windows. Da gibt es auch die komandozeilenscanner. mand darf sich halt nur ncht per Setup einfach durchklicken, weil dann automatisch auch der Dienst installiert wird. und bei mehreren Diensten Prügeln sich die Malware-scanner um die Ressourcen.
- für dieses OS es bisher die wenigsten Viren gibt, sprich die Gefahr eines infizierten Prüfsystems recht gering ist
aber dennoch vorhanden ist. Was auschlaggebender ist, ist daß die wahrscheinlichkeit eines Infizierten Testsystems bei linux i.d.R. geringer ist, als bei einem Windowssystem, was aber sehr stark von der Sorgfalt des Admins abhängig ist.
- unpatchte Windows Sicherheitslücken die beim Anstecken der Wechseldatenträger einen evtl. vorhanden Virus aktivieren
fallen durch Linux weg
fallen durch Linux weg
Falsch. Duchrt diverse automounter, die auch ihre macken haben, hat man sich die ganze problematik auch bei Linux eingehandelt. das evrmeidet man nur dann, wenn man konsequent die automatsichen Funtkionen deaktiviert udn dafür sorgt, daß die daten z.B. nur bei manueller Anforderung geprüft oder gemountet werden. Es reicht auch unter einem klickibunti-Linux, einen präparierten Stick anzustecken, um das System zu infizieren.
- "Versteck" Strategien aktiver Viren (siehe http://www.heise.de/ct/inhalt/2013/20/190/) funktionieren nicht
Doch. wenn nämlich das System infiziert ist. was glaubst du, was die ganzen rootkits unetr Linux machen.
Fazit:
Auch unter linux (und BSD udn Solaris und ....) drohen ähnliche Gefahren wie unter Windows. unetr linux ist das System aber i.d.R. einfacher sauberzuhalten, als unetr Windows, wenn da dauernd User was dran- udn wieder ansöpseln.
grüße vom it-frosch
grüße,
lks
Hallo Lochkartenstanzer,
danke erst einmal für das Feedback.
grüße vom it-frosch
danke erst einmal für das Feedback.
> - mehrere Virenscanner nacheinander die Daten scannen können (die Installation von mehren Virenscannern unter Windows ist
> meist problematisch)
das geht auch unetr Windows. Da gibt es auch die komandozeilenscanner. mand darf sich halt nur ncht per Setup einfach durchklicken, weil dann automatisch auch der
Dienst installiert wird. und bei mehreren Diensten Prügeln sich die Malwarescanner um die Ressourcen.
Da hätte ich auch dran denken können. > meist problematisch)
das geht auch unetr Windows. Da gibt es auch die komandozeilenscanner. mand darf sich halt nur ncht per Setup einfach durchklicken, weil dann automatisch auch der
Dienst installiert wird. und bei mehreren Diensten Prügeln sich die Malwarescanner um die Ressourcen.
> - "Versteck" Strategien aktiver Viren (siehe http://www.heise.de/ct/inhalt/2013/20/190/) funktionieren nicht
Doch. wenn nämlich das System infiziert ist. was glaubst du, was die ganzen rootkits unetr Linux machen.
Da hatte ich mich falsch ausgedrückt. Rootkits sind mir natürlich ein Begriff, auch wenn ich bisher noch keinen kennenlernen durfte.Doch. wenn nämlich das System infiziert ist. was glaubst du, was die ganzen rootkits unetr Linux machen.
grüße vom it-frosch
ich habe ms security essentials. das programm ist kostenlos bei ms. für unternehmen mit mehr als 10pcs musst du ms endpoint protection installlieren. kaspersky ist schrott. er schreibt auf den pc gigabyteweise dateinen(bei mir waren es 50gb.)
mrc
mrc
Hallo,
ich möchte das nicht als Fakt behaupten, sondern äußere lediglich eine Meinung, von der ich allerdings glaube, dass sie von den meisten, die praktische Angriffe auf Systeme planen und durchführen, geteilt wird.
An dem Argument hinsichtlich der Funktion des Offline-Scanners ist schon was dran. Es ist aber gleichzeitig die allgemeine Schwäche der Idee, egal auf welcher Plattform realisiert: Denn im Zweifel wird ein Offline-Scanner gar nichts finden, weil Angreifer natürlich wissen, wie einzelne Offline-Scanner konkret funktionieren, und es ihnen erschweren, das Geprüfte bis zur Schadfunktion aufzulösen. Der Scanner wird in diesem Fall mit einem intakten Dropper konfrontiert, der beliebig auf das Durchbrechen von Prüfschleusen angepasst werden kann, und nicht mit einer nachträglich offline genommenen Infektion, wo sich Linux-Offline-Scanner durchaus bewährt haben.
Ich halte das Instrument "Scan-PC" daher generell für nur begrenzt wirksam, und würde jedenfalls den Fokus bei ihm nicht auf die Vermeidung von Infektionen legen, sondern auf ihre offline und online Erkennung und schnelles, zuverlässiges Recovery. Nicht für einen reinen Offline-Scanner, aber für ein beliebiges Selbstschutz-Produkt ist die Erkennung am einfachsten, wenn sich die Schadsoftware so verhalten kann, wie auf einem potenziellen Ziel (sofern sie nicht das Ziel derart spezifisch erkennt, dass sie dieses Verhalten gerade vermeidet).
Gerade die angesprochene Wechseldatenträger-Problematik unter Windows führt die Sache ad absurdum. Denn die naheliegenste Möglichkeit, sich vor dem Linux-Scanner zu verstecken, wäre, den Umstand auszunutzen, dass ihm die geprüften Dateisystemobjekte von einer vollkommen anderen, unvollständigen NTFS-Implementierung präsentiert werden.
Grüße
Richard
ich möchte das nicht als Fakt behaupten, sondern äußere lediglich eine Meinung, von der ich allerdings glaube, dass sie von den meisten, die praktische Angriffe auf Systeme planen und durchführen, geteilt wird.
An dem Argument hinsichtlich der Funktion des Offline-Scanners ist schon was dran. Es ist aber gleichzeitig die allgemeine Schwäche der Idee, egal auf welcher Plattform realisiert: Denn im Zweifel wird ein Offline-Scanner gar nichts finden, weil Angreifer natürlich wissen, wie einzelne Offline-Scanner konkret funktionieren, und es ihnen erschweren, das Geprüfte bis zur Schadfunktion aufzulösen. Der Scanner wird in diesem Fall mit einem intakten Dropper konfrontiert, der beliebig auf das Durchbrechen von Prüfschleusen angepasst werden kann, und nicht mit einer nachträglich offline genommenen Infektion, wo sich Linux-Offline-Scanner durchaus bewährt haben.
Ich halte das Instrument "Scan-PC" daher generell für nur begrenzt wirksam, und würde jedenfalls den Fokus bei ihm nicht auf die Vermeidung von Infektionen legen, sondern auf ihre offline und online Erkennung und schnelles, zuverlässiges Recovery. Nicht für einen reinen Offline-Scanner, aber für ein beliebiges Selbstschutz-Produkt ist die Erkennung am einfachsten, wenn sich die Schadsoftware so verhalten kann, wie auf einem potenziellen Ziel (sofern sie nicht das Ziel derart spezifisch erkennt, dass sie dieses Verhalten gerade vermeidet).
Gerade die angesprochene Wechseldatenträger-Problematik unter Windows führt die Sache ad absurdum. Denn die naheliegenste Möglichkeit, sich vor dem Linux-Scanner zu verstecken, wäre, den Umstand auszunutzen, dass ihm die geprüften Dateisystemobjekte von einer vollkommen anderen, unvollständigen NTFS-Implementierung präsentiert werden.
Grüße
Richard
