Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wieso reicht der Live Scan von A-Viren Software nicht aus?

Frage Sicherheit Viren und Trojaner

Mitglied: lighningcrow

lighningcrow (Level 1) - Jetzt verbinden

18.08.2011 um 22:15 Uhr, 5102 Aufrufe, 8 Kommentare

Hallo Leute ich habe da ein Grundsätzliches Verständniss Problem welches mir noch keine vernünftig Erklären konnte.

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???

Selbst unser Hersteller (Kaspersky) konnte mir keine Zufriedenstellende Antwort geben.

Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird. (Hitzige Diskussionen darüber hatten wir schon in der Firma).

Warum sollte dann noch ein Voll - Scan drüberlaufen ???.

Meine Vermutung war das der Voll Scan genauer arbeitet.... -> Kollegen habe versuch mir das aus zureden weil ja dann die ganze Software was fürn A..... wäre.
2. Vermutung der Voll scan ist genauer und der LIVE Scan mehr heuristisch um systemleistung zu sparen....


Also warum ist das so??? Warum haben die Hersteller diese Vorgaben?

und PS: wie Scheduldet man das am besten....


Mit freundlichen Grüßen und LG
LC
Mitglied: filippg
18.08.2011 um 22:46 Uhr
Hallo,

Also wie ich im Titel schon Fragte: Wieso reicht bei einem Vierenscanner der Live scan nicht aus???
Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an etlichen anderen Stellen in deinem Beitrag.

Ansonsten geht es hier einfach um eine zusätzliche Sicherheitsmaßnahme. Es kann sein, dass ein Virus beim Schreiben noch nicht erkannt werden kann, weil er zu neu und deswegen noch nicht in den Signaturen enthalten ist. Dann hat man u.U. Ewigkeiten einen Virus auf der Platte, bis er eben das nächste mal gelesen wird. Aber vielleicht funktioniert ja beim nächsten Lesen der Virenscanner nicht richtig. Je nach Scanner gibt es z.B. Prozesse, die direkt zugreifen dürfen. Oder Dateitypen, die nicht gescannt werden. Oder ein anderer Client (ohne guten Virenschutz) greift über eine Dateifreigabe zu. Oder ein Virenscanner schafft es, einen OnAccess-Scanner zu umgehen, dann wäre es ja toll, ihn anhand der Spuren auf der Festplatte trotzdem zu erwischen.
Also ganz einfach "doppelt gemoppelt", oder auch "lieber einmal zu vorsichtig, als nachher das Nachsehen zu haben".

Gruß

Filipp
Bitte warten ..
Mitglied: dog
18.08.2011 um 22:55 Uhr
weil ja dann die ganze Software was fürn A..... wäre.

Vorsicht, morgen werden dich die Leute mit dem schwarzen Auto holen, weil du grade die ganze AV-Inudstrie durchschaut hast.

Bei einem Experiment hat sich gezeigt, dass schon das reine Neu-Kompilieren eines gut bekannten Virus bei den meisten AV-Programmen reicht, dass sie ihn nicht mehr erkennen können, weil sie nur mit simplen Pattern arbeiten (und ältere Viren ohnehin wieder aus den Definitionsdateien rausfliegen).
Bitte warten ..
Mitglied: tikayevent
18.08.2011 um 22:56 Uhr
Ich hatte schon Viren, welche sich im MBR eingenistet haben, der letzte Fall ist wenige Wochen her, das betreffende System befindet sich immer noch beim Experten. Der betroffene Schädling war so pfiffig, dass er sich vor den Echtzeitprüfungen nicht hat entdecken lassen, aber der Fullscan hat zumindest einen kurzen Hinweis gegeben. Ebenso könnte etwas offline ins System gespeist werden. Es gibt genug Gründe für einen regelmäßigen Fullscan parallel zum Echtzeitschutz.

Und nein, es war nicht vom Virenscanner abhängig, das Problem hatte ich schon mit vier verschiedenen Lösungen.
Bitte warten ..
Mitglied: LordGurke
18.08.2011 um 22:57 Uhr
Der beste Grund, der mir im Moment einfällt ist folgender:

Nehmen wir mal an, du fängst dir einen Virus ein, der zu dem Zeitpunkt noch nicht als solcher von den Herstellern entdeckt wurde und deshalb nicht in den Erkennungsdatenbanken der Virenscanner enthalten ist. Sobald dieser entdeckt wird, landet er in der Datenbank und dein Virenscanner würde ihn nun erkennen können - allerdings ist der Virus gerade nicht aktiv und die Datei in der er sich festgekrallt hat wird auch nicht geladen, so bleibt der Virenscanner ruhig.
Wenn du jetzt den manuellen Scan über alle Dateien startest, findet der Virenscanner den neuen Virus und kann ihn entfernen.
Außerdem solltest du dich nur so weit auf den Live-Schutz verlassen wie du ein Klavier werfen kannst. Der von Kaspersky ist zwar um Längen effektiver als Avira, kann aber auch nicht 100%ig alles abhalten.

Zudem kommt die von dir angesprochene Heuristik dazu. Würde der Virenscanner jetzt das ganze Erkennungsfeuerwerk abfeuern mit dem er aufwarten kann, würdest du ein profanes Word-Dokument nicht unter einer Minute geöffnet bekommen. Also werden die wichtigsten Prüfungen durchgeführt, aber mit dem Ziel dass der Benutzer jetzt nicht stundenlang warten muss. Z.B. werden beim Echtzeitschutz keine Archive über X MB Größe untersucht, bestimmte Dateitypen fallen von vornherein raus u.s.w.
Erschwerend kommt hinzu, dass Kaspersky bei der manuellen Suche ohne jede Rücksicht alle CPU-Kerne für sich haben will und ungeniert die Festplatte voll auslastet - an halbwegs zügiges arbeiten ist da nicht mehr zu denken.
Bitte warten ..
Mitglied: lighningcrow
19.08.2011 um 10:26 Uhr
Zitat von filippg:

Das ist doch ganz einfach: Der Vierenscanner heißt Vierenscanner weil er alles mindestens Vier mal scannen muss.
Alternativ dazu kann man natürlich auch einfach ein Rechtschreibprogramm nehmen, oder eine Schule besuchen, hilft auch an
etlichen anderen Stellen in deinem Beitrag.

Sorry hab leider gestern im Dunkel getippt und meine Tastaur ist auch nicht mehr die Beste... (Und wohl ´n Blackout bzgl. der Rechtschreibung gehabt.)

Hoffe der Rest sieht es mir nach da ich ja eine relativ klar Formulierte Frage gestellt habe.

(Ansonsten wer Rechtschreibfehler findet darf sie behalten ;))

Danke @all für die Infos bestätigt alles meine Vermutungen und gibt mir wieder Stoff für Diskussionen mit dem Kunden und den Kollegen.

@dog

Laut Kaspersky fliegen dort die älteren Virenpattern wohl nicht raus.... (Frag mich jetzt aber nicht wie die es schaffen die Datenbanken so klein zu halten)

LGLC

PS.:@filippg

Habe leider noch keine funktionierende Rechtschreibkontrolle für FF6 gefunden.
Bitte warten ..
Mitglied: goscho
19.08.2011 um 11:44 Uhr
Morgen,
ich schmeiße mal folgendes in die Runde:

Zu Beginn der kommerziellen Virensuche gab es AFAIR keine Echzeitscanner.
Man wurde dazu genötigt, sein Windows so oft wie möglich mit einem Komplett-HDD-Scan zu prüfen.
Dies wurde dann automatisiert, so dass dieses Scans entweder wöchentlich oder gar täglich (vorwiegend mittags) durchgeführt wurden.

Mit der Einführung von Echzeit(Live)scannern konnte man dieses Fullscans zwar anpassen, doch waren/sind diese Livescanner nicht immer nur nützlich.
So habe ich es bspw. heute noch, dass ich diverse Applikationen (gesamte Ordner) vom Livescan ausschließen muss, damit diese überhaupt gestartet werden können.

Wenn sich jetzt dort ein Virus einnistet, würde dieser auch vom besten Echtzeitschutz nicht gefunden werden können.
Daher ist ein regelmäßiger Komplettscan schon sehr sinnvoll.
In den von mir betreuten Installationen werden diese Scans jetzt idR einmal pro Monat durchgeführt, bei besonders sensiblen Firmen einmal pro Woche.

PS: Ich nutze in FF6 als AddOn 'deutsches Wörterbuch 2.0.2 für die Rechtschreibkontrolle.
Bitte warten ..
Mitglied: lighningcrow
19.08.2011 um 20:27 Uhr
Thx,

für die Infos.

PS: Plugininstallation läuft. XD
Bitte warten ..
Mitglied: HIrlacher
29.08.2011 um 16:13 Uhr
Das vermutlich größte Verständnisproblem liegt wohl darin, dass die wenigsten wissen dass ein „Virenscanner“ alleine nicht reicht. Ein Scanner (ob Fullscan, Livescan etc) kann nur das erkennen was er auch an Pattern mitgeliefert hat. Quick Scans z.B Scanen nur Verzeichnisse/Dateien die am häufigsten betroffen sind.
Entscheidend für einen umfangreichen Schutz für Einzelplatzsysteme oder Netzwerkumgebungen sind andere Technologien die den AV Scanner erweitern und unterstützen. z.B Echtzeitverhaltensbasierter Scan (Malware), Intrusion Prevention, Reputationsbasierter Schutz, usw….
Effektiver Virenschutz fängt beim Nutzer an! Hier ist z.B eine Gerätekontrolle für USB Devices oder Downloadbeschränkungen im Bezug auf Herkunft/Alter/Verbreitung etc. sehr sinnvoll.
Zitat: Der Live Scan sollte doch in dem Moment eingreifen wenn Schadcode aktiv wird.
Wenn Schadcode aktiv wird beginnt er meist zu Mutieren (75% des Schadcodes ist mutierend) wie soll ein Scanner der nur erkennt was ihm sein Pattern mitgibt dies erkennen? Ist nunmal nicht möglich.
Fullscan:
Ist wöchentlich empfohlen. Und nein er ist nicht genauer. Wie ich schon sagte gibt es Scanmethoden die auf Performance ausgelegt sind und nur einen Teil des Systems Scannen. Wichtig für Dich dürfte allerdings sein den Fullscan zu beschleunigen. Auch hier gibt es mittlerweile Technologien die diesen erheblich beschleunigen. Wie Du am sinnvollsten einen Plan erstellst. Für Desktop Clients empfiehlt es sich den Fullscan in die Mittagszeit zu legen und Perfomancetuning zu betreiben (Hintergrundaktivität). Bei Servern (nicht virtualisiert) Ist es am sinnvollsten nachts ausserhalb des Backupfensters einen Fullscan zu fahren und diesen auf High Performance zu setzen um ihn zu kurz wie möglich zu halten.
Um dieses „Problem“ in VMs anzugehen gibt es ebenfalls Technologien.
Gegenwärtig gibt es übrigens ca 300Mio verschiedene Arten von Schadcode. (2007 waren es 250tsd). Das dürfte die Entwicklung erklären warum ein Virenscanner alleine nicht reicht.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (5)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...