lighningcrow
Goto Top

Wieso reicht der Live Scan von A-Viren Software nicht aus?

Hallo Leute ich habe da ein Grundsätzliches Verständniss Problem welches mir noch keine vernünftig Erklären konnte.

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???

Selbst unser Hersteller (Kaspersky) konnte mir keine Zufriedenstellende Antwort geben.

Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird. (Hitzige Diskussionen darüber hatten wir schon in der Firma).

Warum sollte dann noch ein Voll - Scan drüberlaufen ???.

Meine Vermutung war das der Voll Scan genauer arbeitet.... -> Kollegen habe versuch mir das aus zureden weil ja dann die ganze Software was fürn A..... wäre.
2. Vermutung der Voll scan ist genauer und der LIVE Scan mehr heuristisch um systemleistung zu sparen....


Also warum ist das so??? Warum haben die Hersteller diese Vorgaben?

und PS: wie Scheduldet man das am besten....


MFG und LG
LC

Content-ID: 171741

Url: https://administrator.de/contentid/171741

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

filippg
filippg 18.08.2011 um 22:46:38 Uhr
Goto Top
Hallo,

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???
Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an etlichen anderen Stellen in deinem Beitrag.

Ansonsten geht es hier einfach um eine zusätzliche Sicherheitsmaßnahme. Es kann sein, dass ein Virus beim Schreiben noch nicht erkannt werden kann, weil er zu neu und deswegen noch nicht in den Signaturen enthalten ist. Dann hat man u.U. Ewigkeiten einen Virus auf der Platte, bis er eben das nächste mal gelesen wird. Aber vielleicht funktioniert ja beim nächsten Lesen der Virenscanner nicht richtig. Je nach Scanner gibt es z.B. Prozesse, die direkt zugreifen dürfen. Oder Dateitypen, die nicht gescannt werden. Oder ein anderer Client (ohne guten Virenschutz) greift über eine Dateifreigabe zu. Oder ein Virenscanner schafft es, einen OnAccess-Scanner zu umgehen, dann wäre es ja toll, ihn anhand der Spuren auf der Festplatte trotzdem zu erwischen.
Also ganz einfach "doppelt gemoppelt", oder auch "lieber einmal zu vorsichtig, als nachher das Nachsehen zu haben".

Gruß

Filipp
dog
dog 18.08.2011 um 22:55:35 Uhr
Goto Top
weil ja dann die ganze Software was fürn A..... wäre.

Vorsicht, morgen werden dich die Leute mit dem schwarzen Auto holen, weil du grade die ganze AV-Inudstrie durchschaut hast.

Bei einem Experiment hat sich gezeigt, dass schon das reine Neu-Kompilieren eines gut bekannten Virus bei den meisten AV-Programmen reicht, dass sie ihn nicht mehr erkennen können, weil sie nur mit simplen Pattern arbeiten (und ältere Viren ohnehin wieder aus den Definitionsdateien rausfliegen).
tikayevent
tikayevent 18.08.2011 um 22:56:31 Uhr
Goto Top
Ich hatte schon Viren, welche sich im MBR eingenistet haben, der letzte Fall ist wenige Wochen her, das betreffende System befindet sich immer noch beim Experten. Der betroffene Schädling war so pfiffig, dass er sich vor den Echtzeitprüfungen nicht hat entdecken lassen, aber der Fullscan hat zumindest einen kurzen Hinweis gegeben. Ebenso könnte etwas offline ins System gespeist werden. Es gibt genug Gründe für einen regelmäßigen Fullscan parallel zum Echtzeitschutz.

Und nein, es war nicht vom Virenscanner abhängig, das Problem hatte ich schon mit vier verschiedenen Lösungen.
LordGurke
LordGurke 18.08.2011 um 22:57:05 Uhr
Goto Top
Der beste Grund, der mir im Moment einfällt ist folgender:

Nehmen wir mal an, du fängst dir einen Virus ein, der zu dem Zeitpunkt noch nicht als solcher von den Herstellern entdeckt wurde und deshalb nicht in den Erkennungsdatenbanken der Virenscanner enthalten ist. Sobald dieser entdeckt wird, landet er in der Datenbank und dein Virenscanner würde ihn nun erkennen können - allerdings ist der Virus gerade nicht aktiv und die Datei in der er sich festgekrallt hat wird auch nicht geladen, so bleibt der Virenscanner ruhig.
Wenn du jetzt den manuellen Scan über alle Dateien startest, findet der Virenscanner den neuen Virus und kann ihn entfernen.
Außerdem solltest du dich nur so weit auf den Live-Schutz verlassen wie du ein Klavier werfen kannst. Der von Kaspersky ist zwar um Längen effektiver als Avira, kann aber auch nicht 100%ig alles abhalten.

Zudem kommt die von dir angesprochene Heuristik dazu. Würde der Virenscanner jetzt das ganze Erkennungsfeuerwerk abfeuern mit dem er aufwarten kann, würdest du ein profanes Word-Dokument nicht unter einer Minute geöffnet bekommen. Also werden die wichtigsten Prüfungen durchgeführt, aber mit dem Ziel dass der Benutzer jetzt nicht stundenlang warten muss. Z.B. werden beim Echtzeitschutz keine Archive über X MB Größe untersucht, bestimmte Dateitypen fallen von vornherein raus u.s.w.
Erschwerend kommt hinzu, dass Kaspersky bei der manuellen Suche ohne jede Rücksicht alle CPU-Kerne für sich haben will und ungeniert die Festplatte voll auslastet - an halbwegs zügiges arbeiten ist da nicht mehr zu denken.
lighningcrow
lighningcrow 19.08.2011 um 10:26:16 Uhr
Goto Top
Zitat von @filippg:

Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an
etlichen anderen Stellen in deinem Beitrag.

Sorry hab leider gestern im Dunkel getippt und meine Tastaur ist auch nicht mehr die Beste... (Und wohl ´n Blackout bzgl. der Rechtschreibung gehabt.)

Hoffe der Rest sieht es mir nach da ich ja eine relativ klar Formulierte Frage gestellt habe.

(Ansonsten wer Rechtschreibfehler findet darf sie behalten ;))

Danke @all für die Infos bestätigt alles meine Vermutungen und gibt mir wieder Stoff für Diskussionen mit dem Kunden und den Kollegen.

@dog

Laut Kaspersky fliegen dort die älteren Virenpattern wohl nicht raus.... (Frag mich jetzt aber nicht wie die es schaffen die Datenbanken so klein zu halten)

LGLC

PS.:@filippg

Habe leider noch keine funktionierende Rechtschreibkontrolle für FF6 gefunden.
goscho
goscho 19.08.2011 um 11:44:21 Uhr
Goto Top
Morgen,
ich schmeiße mal folgendes in die Runde:

Zu Beginn der kommerziellen Virensuche gab es AFAIR keine Echzeitscanner.
Man wurde dazu genötigt, sein Windows so oft wie möglich mit einem Komplett-HDD-Scan zu prüfen.
Dies wurde dann automatisiert, so dass dieses Scans entweder wöchentlich oder gar täglich (vorwiegend mittags) durchgeführt wurden.

Mit der Einführung von Echzeit(Live)scannern konnte man dieses Fullscans zwar anpassen, doch waren/sind diese Livescanner nicht immer nur nützlich.
So habe ich es bspw. heute noch, dass ich diverse Applikationen (gesamte Ordner) vom Livescan ausschließen muss, damit diese überhaupt gestartet werden können.

Wenn sich jetzt dort ein Virus einnistet, würde dieser auch vom besten Echtzeitschutz nicht gefunden werden können.
Daher ist ein regelmäßiger Komplettscan schon sehr sinnvoll.
In den von mir betreuten Installationen werden diese Scans jetzt idR einmal pro Monat durchgeführt, bei besonders sensiblen Firmen einmal pro Woche.

PS: Ich nutze in FF6 als AddOn 'deutsches Wörterbuch 2.0.2 für die Rechtschreibkontrolle.
lighningcrow
lighningcrow 19.08.2011 um 20:27:44 Uhr
Goto Top
Thx,

für die Infos.

PS: Plugininstallation läuft. XD
HIrlacher
HIrlacher 29.08.2011 um 16:13:00 Uhr
Goto Top
Das vermutlich größte Verständnisproblem liegt wohl darin, dass die wenigsten wissen dass ein „Virenscanner“ alleine nicht reicht. Ein Scanner (ob Fullscan, Livescan etc) kann nur das erkennen was er auch an Pattern mitgeliefert hat. Quick Scans z.B Scanen nur Verzeichnisse/Dateien die am häufigsten betroffen sind.
Entscheidend für einen umfangreichen Schutz für Einzelplatzsysteme oder Netzwerkumgebungen sind andere Technologien die den AV Scanner erweitern und unterstützen. z.B Echtzeitverhaltensbasierter Scan (Malware), Intrusion Prevention, Reputationsbasierter Schutz, usw….
Effektiver Virenschutz fängt beim Nutzer an! Hier ist z.B eine Gerätekontrolle für USB Devices oder Downloadbeschränkungen im Bezug auf Herkunft/Alter/Verbreitung etc. sehr sinnvoll.
Zitat: Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird.
Wenn Schadcode aktiv wird beginnt er meist zu Mutieren (75% des Schadcodes ist mutierend) wie soll ein Scanner der nur erkennt was ihm sein Pattern mitgibt dies erkennen? Ist nunmal nicht möglich.
Fullscan:
Ist wöchentlich empfohlen. Und nein er ist nicht genauer. Wie ich schon sagte gibt es Scanmethoden die auf Performance ausgelegt sind und nur einen Teil des Systems Scannen. Wichtig für Dich dürfte allerdings sein den Fullscan zu beschleunigen. Auch hier gibt es mittlerweile Technologien die diesen erheblich beschleunigen. Wie Du am sinnvollsten einen Plan erstellst. Für Desktop Clients empfiehlt es sich den Fullscan in die Mittagszeit zu legen und Perfomancetuning zu betreiben (Hintergrundaktivität). Bei Servern (nicht virtualisiert) Ist es am sinnvollsten nachts ausserhalb des Backupfensters einen Fullscan zu fahren und diesen auf High Performance zu setzen um ihn zu kurz wie möglich zu halten.
Um dieses „Problem“ in VMs anzugehen gibt es ebenfalls Technologien.
Gegenwärtig gibt es übrigens ca 300Mio verschiedene Arten von Schadcode. (2007 waren es 250tsd). Das dürfte die Entwicklung erklären warum ein Virenscanner alleine nicht reicht.