Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wieso reicht der Live Scan von A-Viren Software nicht aus?

Frage Sicherheit Viren und Trojaner

Mitglied: lighningcrow

lighningcrow (Level 1) - Jetzt verbinden

18.08.2011 um 22:15 Uhr, 5211 Aufrufe, 8 Kommentare

Hallo Leute ich habe da ein Grundsätzliches Verständniss Problem welches mir noch keine vernünftig Erklären konnte.

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???

Selbst unser Hersteller (Kaspersky) konnte mir keine Zufriedenstellende Antwort geben.

Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird. (Hitzige Diskussionen darüber hatten wir schon in der Firma).

Warum sollte dann noch ein Voll - Scan drüberlaufen ???.

Meine Vermutung war das der Voll Scan genauer arbeitet.... -> Kollegen habe versuch mir das aus zureden weil ja dann die ganze Software was fürn A..... wäre.
2. Vermutung der Voll scan ist genauer und der LIVE Scan mehr heuristisch um systemleistung zu sparen....


Also warum ist das so??? Warum haben die Hersteller diese Vorgaben?

und PS: wie Scheduldet man das am besten....


MFG und LG
LC
Mitglied: filippg
18.08.2011 um 22:46 Uhr
Hallo,

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???
Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an etlichen anderen Stellen in deinem Beitrag.

Ansonsten geht es hier einfach um eine zusätzliche Sicherheitsmaßnahme. Es kann sein, dass ein Virus beim Schreiben noch nicht erkannt werden kann, weil er zu neu und deswegen noch nicht in den Signaturen enthalten ist. Dann hat man u.U. Ewigkeiten einen Virus auf der Platte, bis er eben das nächste mal gelesen wird. Aber vielleicht funktioniert ja beim nächsten Lesen der Virenscanner nicht richtig. Je nach Scanner gibt es z.B. Prozesse, die direkt zugreifen dürfen. Oder Dateitypen, die nicht gescannt werden. Oder ein anderer Client (ohne guten Virenschutz) greift über eine Dateifreigabe zu. Oder ein Virenscanner schafft es, einen OnAccess-Scanner zu umgehen, dann wäre es ja toll, ihn anhand der Spuren auf der Festplatte trotzdem zu erwischen.
Also ganz einfach "doppelt gemoppelt", oder auch "lieber einmal zu vorsichtig, als nachher das Nachsehen zu haben".

Gruß

Filipp
Bitte warten ..
Mitglied: dog
18.08.2011 um 22:55 Uhr
weil ja dann die ganze Software was fürn A..... wäre.

Vorsicht, morgen werden dich die Leute mit dem schwarzen Auto holen, weil du grade die ganze AV-Inudstrie durchschaut hast.

Bei einem Experiment hat sich gezeigt, dass schon das reine Neu-Kompilieren eines gut bekannten Virus bei den meisten AV-Programmen reicht, dass sie ihn nicht mehr erkennen können, weil sie nur mit simplen Pattern arbeiten (und ältere Viren ohnehin wieder aus den Definitionsdateien rausfliegen).
Bitte warten ..
Mitglied: tikayevent
18.08.2011 um 22:56 Uhr
Ich hatte schon Viren, welche sich im MBR eingenistet haben, der letzte Fall ist wenige Wochen her, das betreffende System befindet sich immer noch beim Experten. Der betroffene Schädling war so pfiffig, dass er sich vor den Echtzeitprüfungen nicht hat entdecken lassen, aber der Fullscan hat zumindest einen kurzen Hinweis gegeben. Ebenso könnte etwas offline ins System gespeist werden. Es gibt genug Gründe für einen regelmäßigen Fullscan parallel zum Echtzeitschutz.

Und nein, es war nicht vom Virenscanner abhängig, das Problem hatte ich schon mit vier verschiedenen Lösungen.
Bitte warten ..
Mitglied: LordGurke
18.08.2011 um 22:57 Uhr
Der beste Grund, der mir im Moment einfällt ist folgender:

Nehmen wir mal an, du fängst dir einen Virus ein, der zu dem Zeitpunkt noch nicht als solcher von den Herstellern entdeckt wurde und deshalb nicht in den Erkennungsdatenbanken der Virenscanner enthalten ist. Sobald dieser entdeckt wird, landet er in der Datenbank und dein Virenscanner würde ihn nun erkennen können - allerdings ist der Virus gerade nicht aktiv und die Datei in der er sich festgekrallt hat wird auch nicht geladen, so bleibt der Virenscanner ruhig.
Wenn du jetzt den manuellen Scan über alle Dateien startest, findet der Virenscanner den neuen Virus und kann ihn entfernen.
Außerdem solltest du dich nur so weit auf den Live-Schutz verlassen wie du ein Klavier werfen kannst. Der von Kaspersky ist zwar um Längen effektiver als Avira, kann aber auch nicht 100%ig alles abhalten.

Zudem kommt die von dir angesprochene Heuristik dazu. Würde der Virenscanner jetzt das ganze Erkennungsfeuerwerk abfeuern mit dem er aufwarten kann, würdest du ein profanes Word-Dokument nicht unter einer Minute geöffnet bekommen. Also werden die wichtigsten Prüfungen durchgeführt, aber mit dem Ziel dass der Benutzer jetzt nicht stundenlang warten muss. Z.B. werden beim Echtzeitschutz keine Archive über X MB Größe untersucht, bestimmte Dateitypen fallen von vornherein raus u.s.w.
Erschwerend kommt hinzu, dass Kaspersky bei der manuellen Suche ohne jede Rücksicht alle CPU-Kerne für sich haben will und ungeniert die Festplatte voll auslastet - an halbwegs zügiges arbeiten ist da nicht mehr zu denken.
Bitte warten ..
Mitglied: lighningcrow
19.08.2011 um 10:26 Uhr
Zitat von filippg:

Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an
etlichen anderen Stellen in deinem Beitrag.

Sorry hab leider gestern im Dunkel getippt und meine Tastaur ist auch nicht mehr die Beste... (Und wohl ´n Blackout bzgl. der Rechtschreibung gehabt.)

Hoffe der Rest sieht es mir nach da ich ja eine relativ klar Formulierte Frage gestellt habe.

(Ansonsten wer Rechtschreibfehler findet darf sie behalten ;))

Danke @all für die Infos bestätigt alles meine Vermutungen und gibt mir wieder Stoff für Diskussionen mit dem Kunden und den Kollegen.

@dog

Laut Kaspersky fliegen dort die älteren Virenpattern wohl nicht raus.... (Frag mich jetzt aber nicht wie die es schaffen die Datenbanken so klein zu halten)

LGLC

PS.:@filippg

Habe leider noch keine funktionierende Rechtschreibkontrolle für FF6 gefunden.
Bitte warten ..
Mitglied: goscho
19.08.2011 um 11:44 Uhr
Morgen,
ich schmeiße mal folgendes in die Runde:

Zu Beginn der kommerziellen Virensuche gab es AFAIR keine Echzeitscanner.
Man wurde dazu genötigt, sein Windows so oft wie möglich mit einem Komplett-HDD-Scan zu prüfen.
Dies wurde dann automatisiert, so dass dieses Scans entweder wöchentlich oder gar täglich (vorwiegend mittags) durchgeführt wurden.

Mit der Einführung von Echzeit(Live)scannern konnte man dieses Fullscans zwar anpassen, doch waren/sind diese Livescanner nicht immer nur nützlich.
So habe ich es bspw. heute noch, dass ich diverse Applikationen (gesamte Ordner) vom Livescan ausschließen muss, damit diese überhaupt gestartet werden können.

Wenn sich jetzt dort ein Virus einnistet, würde dieser auch vom besten Echtzeitschutz nicht gefunden werden können.
Daher ist ein regelmäßiger Komplettscan schon sehr sinnvoll.
In den von mir betreuten Installationen werden diese Scans jetzt idR einmal pro Monat durchgeführt, bei besonders sensiblen Firmen einmal pro Woche.

PS: Ich nutze in FF6 als AddOn 'deutsches Wörterbuch 2.0.2 für die Rechtschreibkontrolle.
Bitte warten ..
Mitglied: lighningcrow
19.08.2011 um 20:27 Uhr
Thx,

für die Infos.

PS: Plugininstallation läuft. XD
Bitte warten ..
Mitglied: HIrlacher
29.08.2011 um 16:13 Uhr
Das vermutlich größte Verständnisproblem liegt wohl darin, dass die wenigsten wissen dass ein „Virenscanner“ alleine nicht reicht. Ein Scanner (ob Fullscan, Livescan etc) kann nur das erkennen was er auch an Pattern mitgeliefert hat. Quick Scans z.B Scanen nur Verzeichnisse/Dateien die am häufigsten betroffen sind.
Entscheidend für einen umfangreichen Schutz für Einzelplatzsysteme oder Netzwerkumgebungen sind andere Technologien die den AV Scanner erweitern und unterstützen. z.B Echtzeitverhaltensbasierter Scan (Malware), Intrusion Prevention, Reputationsbasierter Schutz, usw….
Effektiver Virenschutz fängt beim Nutzer an! Hier ist z.B eine Gerätekontrolle für USB Devices oder Downloadbeschränkungen im Bezug auf Herkunft/Alter/Verbreitung etc. sehr sinnvoll.
Zitat: Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird.
Wenn Schadcode aktiv wird beginnt er meist zu Mutieren (75% des Schadcodes ist mutierend) wie soll ein Scanner der nur erkennt was ihm sein Pattern mitgibt dies erkennen? Ist nunmal nicht möglich.
Fullscan:
Ist wöchentlich empfohlen. Und nein er ist nicht genauer. Wie ich schon sagte gibt es Scanmethoden die auf Performance ausgelegt sind und nur einen Teil des Systems Scannen. Wichtig für Dich dürfte allerdings sein den Fullscan zu beschleunigen. Auch hier gibt es mittlerweile Technologien die diesen erheblich beschleunigen. Wie Du am sinnvollsten einen Plan erstellst. Für Desktop Clients empfiehlt es sich den Fullscan in die Mittagszeit zu legen und Perfomancetuning zu betreiben (Hintergrundaktivität). Bei Servern (nicht virtualisiert) Ist es am sinnvollsten nachts ausserhalb des Backupfensters einen Fullscan zu fahren und diesen auf High Performance zu setzen um ihn zu kurz wie möglich zu halten.
Um dieses „Problem“ in VMs anzugehen gibt es ebenfalls Technologien.
Gegenwärtig gibt es übrigens ca 300Mio verschiedene Arten von Schadcode. (2007 waren es 250tsd). Das dürfte die Entwicklung erklären warum ein Virenscanner alleine nicht reicht.
Bitte warten ..
Ähnliche Inhalte
Windows 7
Dualer Faxempfang mit Windows Fax- und Scan Software
Frage von steini86Windows 715 Kommentare

Guten Tag Zusammen, ich beschäftige mich gerade mit einer Fax Thematik die mir aktuell den letzten Nerv raubt. Folgende ...

Grafik
Scan mit Markierung
gelöst Frage von jojo0411Grafik5 Kommentare

Hallo Leute, Hat jemand von euch eine Idee ob es einen Scanner gibt der nach dem Scan das Dokument ...

Windows Server
Evaluationsserver, Aufteilung der VMs und reicht die Rechenpower
Frage von SierraSixWindows Server2 Kommentare

Hallo meine Frage welchen Server ich kaufen sollte wurde in dieser Frage ) beantwortet. Hat mir wirklich sehr geholfen. ...

Viren und Trojaner
Isolierte Umgebung für Viren-Analyse
gelöst Frage von dng-altViren und Trojaner11 Kommentare

Hallo zusammen, ich hoffe mal, alle sind gut in die erste Adventswoche gekommen? :-) Ich suche schon einige Zeit ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 12 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 14 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...