Allgemeine Frage zu Virenscannern
Fritz M�ller
wie schaffen es eigentlich heutige Virenscanner in derart affenartiger
Geschwindigkeit so viele Dateien in so minimaler Zeit zu scannen bzw.
zu untersuchen?
Ich erinnere mich an fr�here Programmiertezeiten, wo ich sehr viele
Datenkonvertierungsroutinen geschrieben habe. U.a. auch Programme zum
suchen nach Strings in Dateien.
Irgendwie kann es doch gar nicht gehen so viele verschiedene
Suchmuster auf jede Datei loszulassen. D.h. in Sekundenbruchteilen x
Dateien komplett damit abzusuchen.
Wie arbeiten denn solche Virenscanner vom Prinzip her?
--
Wahlergebnis: Ich bin unschuldig!
Robert Jasiek
<muelle...@gmx.com> wrote:
>Wie arbeiten denn solche Virenscanner vom Prinzip her?
Um mal bei der typischen Grundfunktion, dem Abgleich von Pr�fsummen,
zu bleiben: Eine (jede) Datei wird auf eine Pr�fsumme zusammengedampft
entsprechend der Definition des verwendeten Algorithmus zur Pr�fsumme.
Triviales Beispiel einer Pr�fsumme: Wenn die Datei bitweise mindestens
zu 50% aus Einsen besteht, dann ist die Pr�fsumme 1, sonst 0. So ein
Algorithmus hat eine Laufzeit proportional zu Dateigr��e N, da jedes
Bit h�chstens einmal gelesen wird. Das geht nun einmal schnell. Auch
bei l�ngeren Pr�fsummen kann es proportional zu N sein. Anschlie�end
wird die Pr�fsumme noch mit der gespeicherten Pr�fsumme aus einer
schon sortierten Liste mit L Eintr�gen verglichen. Das geht
proportional zu log_2 L, also vernachl�ssigbar schnell. F�rs Pr�fen
aller Dateien ist der Aufwand also beim Verwenden einer einfachen
Pr�fsumme etwas langsamer als proportional zur Gesamtgr��e aller
Dateien, die alle einmal gelesen werden wollen. (Ob es noch schneller
geht, weil ggf. der Virenscanner beim OS zuverl�ssig abfragen kann,
wann der letzte Zugriff zu einer Datei war, wei� ich nicht. Bei
komplexeren Pr�fsummenalgorithmen geht es sicherlich auch langsamer.)
Andere Scanfunktionen dauern ggf. (pro Datei) l�nger.
Fritz M�ller
Robert Jasiek schrieb:
> On Fri, 02 Oct 2009 18:30:38 +0200, Fritz M�ller
> <muelle...@gmx.com> wrote:
> >Wie arbeiten denn solche Virenscanner vom Prinzip her?
>
> Um mal bei der typischen Grundfunktion, dem Abgleich von Pr�fsummen,
^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^??
woher soll ein Virenscanner Pr�fsummen meiner Dateien haben?
> zu bleiben: Eine (jede) Datei wird auf eine Pr�fsumme zusammengedampft
> entsprechend der Definition des verwendeten Algorithmus zur Pr�fsumme.
Damit kann ich feststellen ob eine bekannte(!) Datei ge�ndert wurde
oder sie mit einer anderen bekannten Datei identisch ist. Z.B.
Duplikatefinder.
> Triviales Beispiel einer Pr�fsumme: Wenn die Datei bitweise mindestens
> zu 50% aus Einsen besteht, dann ist die Pr�fsumme 1, sonst 0. So ein
> Algorithmus hat eine Laufzeit proportional zu Dateigr��e N, da jedes
> Bit h�chstens einmal gelesen wird. Das geht nun einmal schnell. Auch
> bei l�ngeren Pr�fsummen kann es proportional zu N sein. Anschlie�end
> wird die Pr�fsumme noch mit der gespeicherten Pr�fsumme aus einer
> schon sortierten Liste mit L Eintr�gen verglichen. Das geht
> proportional zu log_2 L, also vernachl�ssigbar schnell. F�rs Pr�fen
> aller Dateien ist der Aufwand also beim Verwenden einer einfachen
> Pr�fsumme etwas langsamer als proportional zur Gesamtgr��e aller
> Dateien, die alle einmal gelesen werden wollen. (Ob es noch schneller
> geht, weil ggf. der Virenscanner beim OS zuverl�ssig abfragen kann,
> wann der letzte Zugriff zu einer Datei war, wei� ich nicht. Bei
> komplexeren Pr�fsummenalgorithmen geht es sicherlich auch langsamer.)
>
> Andere Scanfunktionen dauern ggf. (pro Datei) l�nger.
Danke - aber ich frage mich was das mit meiner Frage zu tun hat.
?????
Harald Hengel
> wie schaffen es eigentlich heutige Virenscanner in derart
> affenartiger Geschwindigkeit so viele Dateien in so minimaler Zeit
> zu scannen bzw. zu untersuchen?
Ich finde eher es dauert lange.
> Ich erinnere mich an fr�here Programmiertezeiten, wo ich sehr viele
> Datenkonvertierungsroutinen geschrieben habe. U.a. auch Programme
> zum suchen nach Strings in Dateien.
Du musstest die gesamte Datei durchsuchen.
Viren, Malware ist entweder an ein normales Programm angeh�ngt oder
ein eigenst�ndiges Programm.
Ist es angeh�ngt verweist die Einsprungadresse an das Ende des
Programms, ein Hinweis, dass ein Virus vorhanden sein kann, ist die
Einsprungadresse im normalen Bereich, kein Virus.
Ist es ein eigenst�ndiges Programm m�ssen evtl. nur wenige Merkmale am
Programmbeginn �berpr�ft werden um eine Schadware auszuschliessen oder
zu vermuten.
Es reicht unter Umst�nden nur einen kleinen Teil des Programms zu
betrachten.
Harald
Harald Hengel
> Um mal bei der typischen Grundfunktion, dem Abgleich von Pr�fsummen,
> zu bleiben: Eine (jede) Datei wird auf eine Pr�fsumme
> zusammengedampft
Dazu muss die komplette Datei gelesen werden, das kostet Zeit.
Harald
Robert Jasiek
<muelle...@gmx.com> wrote:
>woher soll ein Virenscanner Pr�fsummen meiner Dateien haben?
>ich frage mich was das mit meiner Frage zu tun hat.
Vor dem Scan: Er hat sie f�r deine Dateien im aktuellen Zustand noch
nicht, sondern findet sie ja gerade eben erst heraus, um sie mit
bekannten (weil z.B. heruntergeladenen Listen von) Pr�fsummen zu
vergleichen.
Juergen P. Meier
> wie schaffen es eigentlich heutige Virenscanner in derart affenartiger
> Geschwindigkeit so viele Dateien in so minimaler Zeit zu scannen bzw.
> zu untersuchen?
Das laesst sich einfach beantworten:
Sie schlampen.
> Ich erinnere mich an frï¿œhere Programmiertezeiten, wo ich sehr viele
> Datenkonvertierungsroutinen geschrieben habe. U.a. auch Programme zum
> suchen nach Strings in Dateien.
Die meisten Muster werden an feste Positionen in einer Datei
gematcht. Es wird also kein klassisches "grep" nach dem pattern
gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
Byteposition 354 in der Datei vorhanden ist.
Und das geht sehr schnell.
Du kannst das selbst verifizieren, z.B. mit dem EICAR Testpattern.
Pack das mal als Text in ein RTF-File (das Pattern steht dann mitten
in der Datei) und lass deinen Virenscanner diese Datei scannen.
Du wirst sehen: er wird keinen Virus finden, obwohl du da gerade einen
hineingepackt hast (das EICAR Testpattern ist ein 16-bit DOS/COM
Executable das ausschliesslich aus ASCII-Zeichen besteht, von jedem
AV-Scanner als Virus erkannt werden muss und bei Ausfuehrung (ohne
AV-"Schutz") lediglich in einer DOS-Box die Zeichenkette
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" ausgibt - es ist lauffaehig
unter allen Varaitionen von DOS (MS, DR, free, diverse embedded
versionen), allen 16-bit kompatiblen Mickeysoft Wintendo Systemen
(also alle bis auf die 64bit Versionen und Vista/2008/7), OS/2 und
sogar dosemu (und anderen DOS emulatoren). Das EICAR Pattern lautet:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Zeilenendezeichen sind optional und behindern die Funktion nicht, und
duerfen auch den AV scanner nicht irritieren.
AV Scanner muessten also z.B. bei diesem Posting anschlagen, wenn sie
ihre Suchmuster im gesammten Inhalt anwenden wuerden.
> Irgendwie kann es doch gar nicht gehen so viele verschiedene
> Suchmuster auf jede Datei loszulassen. D.h. in Sekundenbruchteilen x
> Dateien komplett damit abzusuchen.
> Wie arbeiten denn solche Virenscanner vom Prinzip her?
Unzuverlaessig.
Aber ich weis schon, das war nicht die Antwort die du lesen wolltest.
So ist das halt mit dem Usenet: hier bekommt man noch Antworten, die
korrekt und unbequem sind.
Juergen
Juergen Ilse
Robert Jasiek <jas...@snafu.de> wrote:
> On Fri, 02 Oct 2009 19:05:52 +0200, Fritz Müller
> <muelle...@gmx.com> wrote:
>>woher soll ein Virenscanner Prüfsummen meiner Dateien haben?
> [...]
>>ich frage mich was das mit meiner Frage zu tun hat.
> Vor dem Scan: Er hat sie für deine Dateien im aktuellen Zustand noch
> nicht, sondern findet sie ja gerade eben erst heraus, um sie mit
> bekannten (weil z.B. heruntergeladenen Listen von) Prüfsummen zu
> vergleichen.
Wenn Virensignaturen nur Pruefsummen, waere es voellig trivial, den
Scanner zu umgegen ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Robert Jasiek
<jue...@usenet-verwaltung.de> wrote:
>Wenn Virensignaturen nur Pruefsummen, waere es voellig trivial, den
>Scanner zu umgegen ...
Das wurde ja auch schon des �fteren von CCC-Fans angemerkt, dass viele
AVs sich so einfach haben reinlegen lassen.
Jan C. Faerber
> Die meisten Muster werden an feste Positionen in einer Datei
> gematcht. Es wird also kein klassisches "grep" nach dem pattern
> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
> Byteposition 354 in der Datei vorhanden ist. </snip>
Interessant! Dann könnte man doch einen Virus schreiben, der die
Byteposition immer ändert.
Juergen P. Meier
> On Oct 3, 9:10ï¿œam, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>
>> Die meisten Muster werden an feste Positionen in einer Datei
>> gematcht. Es wird also kein klassisches "grep" nach dem pattern
>> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
>> Byteposition 354 in der Datei vorhanden ist. </snip>
>
> Byteposition immer ï¿œndert.
Die AV-Labore werden in 3 von 5 Faellen wohl die Routine matchen,
die genau dieses umschreiben erledigt.
Zumindest bis es die ersten false-positives gibt mit massiven
Beschwerden und negativer Presse.
Oder so.
Jan C. Faerber
> Jan C. Faerber <faerber....@gmail.com>:
>
> > On Oct 3, 9:10 am, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>
> >> Die meisten Muster werden an feste Positionen in einer Datei
> >> gematcht. Es wird also kein klassisches "grep" nach dem pattern
> >> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
> >> Byteposition 354 in der Datei vorhanden ist. </snip>
>
> > Byteposition immer ändert.
>
> Die AV-Labore werden in 3 von 5 Faellen wohl die Routine matchen,
> die genau dieses umschreiben erledigt.
> Zumindest bis es die ersten false-positives gibt mit massiven
> Beschwerden und negativer Presse.
>
> Oder so.
Ja, aber wenn ich es richtig verstehe, dann müßte dieses 'matchen'
wohl dann durch die gesamte Datei gezogen werden. Wenn etwa am Beginn
der Datei einige Bytes hinzugefügt werden, sind ja alle Postionen um
genau diese Anzahl versetzt - und womöglich auch die Position der
Routine.
Dies würde dann wohl - wenn meine Annahme stimmt - einen wesentlich
größeren Zeitaufwand bedeuten, als nur schnell eine Position zu
überprüfen.
Harald Hengel
> Du kannst das selbst verifizieren, z.B. mit dem EICAR Testpattern.
> Pack das mal als Text in ein RTF-File (das Pattern steht dann mitten
> in der Datei) und lass deinen Virenscanner diese Datei scannen.
> Du wirst sehen: er wird keinen Virus finden, obwohl du da gerade
> einen hineingepackt hast
Und warum sollte ein Scanner den finden?
Es ist nich Aufgabe eines Scanners eine irgendwie unschï¿œdlich
Bytefolge in einem irgendeinem beliebigen Container zu finden.
> AV Scanner muessten also z.B. bei diesem Posting anschlagen, wenn
> sie ihre Suchmuster im gesammten Inhalt anwenden wuerden.
Nein, warum sollte er anschlagen.
Anschlagen mï¿œsste ein Virenscanner, wenn er den Eicar als ausfï¿œhrbaren
Code findet, das ist innerhalb einer Mail oder eines Postings nicht
gegeben.
> Aber ich weis schon, das war nicht die Antwort die du lesen
> wolltest. So ist das halt mit dem Usenet: hier bekommt man noch
> Antworten, die korrekt und unbequem sind.
Manchmal sind sie auch nur dumm.
In deinen genannten Beispielen gibt es keinen Grund fï¿œr einen
Virenscanner anzuschlagen.
Harald
Harald Hengel
>> Die meisten Muster werden an feste Positionen in einer Datei
>> gematcht. Es wird also kein klassisches "grep" nach dem pattern
>> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
>> Byteposition 354 in der Datei vorhanden ist. </snip>
>
> Interessant! Dann k�nnte man doch einen Virus schreiben, der die
> Byteposition immer �ndert.
Er braucht einen Einsprung und die Adresse ist ermittelbar, ein
halbwegs braucbarer Virenscanner sollte pr�fen ob an der
Einsprungsadresse ein Schadprogramm zu finden ist.
Praktisch ist J�rgens Beschreibung auch reichlich falsch.
Ein Virus, der sich an beliebiges Programm h�ngt ist immer an anderen
Positionen, f�r eine Virenscanner ist es es unm�glich die Postitionen
von zig Millionen Programmen zu kennen, an denen sich ein Virus
befinden kann und darauf zu pr�fen.
Harald
Juergen P. Meier
> Juergen P. Meier <nospa...@jors.net> schrieb:
> [...]
>> (das EICAR Testpattern ist ein 16-bit DOS/COM
>> Executable
>> AV Scanner muessten also z.B. bei diesem Posting anschlagen, wenn sie
>> ihre Suchmuster im gesammten Inhalt anwenden wuerden.
>
> nicht anzuschlagen. Eine Bytesequenz, die keine Schadwirkung entfalten
> kann, weil sie nicht an der richtigen Stelle steht, ist kein (wirksamer)
> Schadcode mehr.
Bisher haben alle AV-Produkte von sich behauptet, sie wuerden
Schadcode auch in Containern erkennen koennen.
Ist wohl doch nur gelogen.
Juergen Ilse
Harald Hengel <raldo-...@freenet.de> wrote:
> Jan C. Faerber schrieb:
>>> Die meisten Muster werden an feste Positionen in einer Datei
>>> gematcht. Es wird also kein klassisches "grep" nach dem pattern
>>> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
>>> Byteposition 354 in der Datei vorhanden ist. </snip>
>> Interessant! Dann könnte man doch einen Virus schreiben, der die
>> Byteposition immer ändert.
Ja.
> Er braucht einen Einsprung und die Adresse ist ermittelbar, ein
> halbwegs braucbarer Virenscanner sollte prüfen ob an der
> Einsprungsadresse ein Schadprogramm zu finden ist.
Der Punkt, an der der relevante (gegen die Virensignatur matchende)
Code zu finden ist, muss sich nicht unbedingt so leicht ermitteln
lassen. Wenn Windows-Schaedlinge heutzutage auch nur annaehernd so
einen Aufwand treiben wuerden, um unerkannt zu bleiben, wie es die
am weitesten ausgereiften Viren fuer DOS damals taten, haette von
den heutigen Scannern kaum einer eine Chance, bei akzetabler Laufzeit
diese Schaedlinge zu erkennen. Die Windows-Schaedlinge "in the wild"
sind aber im Vergleich zu dazu in dieser Hinsicht fast laecherlich
"unterentwickelt" (obwohl du mir vermutlich auch das wieder nicht
glauben wirst ...).
> Praktisch ist Jürgens Beschreibung auch reichlich falsch.
Einen wirklich gruendlichen Scan kann sich kein Scanner leisten, weil
das viel zu viel Leistung kosten wuerde. Sie "schummeln" also wirklich.
> Ein Virus, der sich an beliebiges Programm hängt ist immer an anderen
> Positionen, für eine Virenscanner ist es es unmöglich die Postitionen
> von zig Millionen Programmen zu kennen, an denen sich ein Virus
> befinden kann und darauf zu prüfen.
Schwaechen beim Wissen vom Aufbau von executable Files hast du anscheinend
auch noch ... Nein, ein Virus muss sich nicht zwangslaeufig hinten anhaengen.
Das war vielleicht mal bei .com Dateien unter DOS die einfachste Moeglich-
keit, aber schon bei .exe Dateien unter DOS traf das nicht mehr zu (bei
Windows-exe Dateien erst recht nicht).
Juergen P. Meier
> Jan C. Faerber schrieb:
>
>>> Die meisten Muster werden an feste Positionen in einer Datei
>>> gematcht. Es wird also kein klassisches "grep" nach dem pattern
>>> gemacht, sondern lediglich untersucht, ob die Bytefolge "XYZ" an
>>> Byteposition 354 in der Datei vorhanden ist. </snip>
>>
>> Byteposition immer ï¿œndert.
>
> Er braucht einen Einsprung und die Adresse ist ermittelbar, ein
> Einsprungsadresse ein Schadprogramm zu finden ist.
Schadprogramme haben sich schon im vorherigen Jahrtausend mitten im
Code versucht zu verstecken. AV-Labore haben die Methodik dieses
Versteckens fuer die einzelnen Varianten der Schadprogramme
nachvollzogen und ihre scanner/pattern entsprechend konstruiert, damit
diese dort nachschauen, wo genau sich der Schadcode gerade befindet,
etc.pp.
Das ist alles nichts neues. Das war nichtmal mehr Anfang der 90er Jahre
des letzten Jahrhunderts neu.
> Praktisch ist Jï¿œrgens Beschreibung auch reichlich falsch.
Computer sind deterministisch, auch wenn das fuer den Einzelnen nicht
immer nachvollziehbar ist.
> Ein Virus, der sich an beliebiges Programm hï¿œngt ist immer an anderen
> Positionen, fï¿œr eine Virenscanner ist es es unmï¿œglich die Postitionen
> von zig Millionen Programmen zu kennen, an denen sich ein Virus
> befinden kann und darauf zu prï¿œfen.
Natuerlich nicht. Der AV-Scanner schaut sich bei der Suche nach dieser
bestimmten Klasse von "Huckepack"-Schadprogammen einfach die Sprungaddressen
im Code an, und sucht dort nach dem Pattern.
Das ist nun wirklich eine der aeltesten und primitivsten Basisfunktionen
eines Virenscanners, das diese schon vor 20 Jahren konnten. Und schon
seit so langer Zeit haben AV Programme Probleme mit immer neuen
Variationen ansonsten gleicher Schadprogramme. Auch das ist nichts neues.
Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
prinzpiell den Schadprogrammierern hinterherhinken.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Helmut Hullen
Du meintest am 04.10.09:
> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
> prinzpiell den Schadprogrammierern hinterherhinken.
Ja und?
Das ist auch im medizinischen Bereich so, und da gilt das nicht als
anst�ssig oder gar als Grund, Antiviren-Medikamente weder zu entwickeln
noch anzuwenden.
Zudem: welchen Sinn sollte es (in beiden Bereichen) haben, einen Anti-
Virus zu entwickeln, der (noch) kein einziges m�gliches Opfer (in Form
eines sch�digenden Virus) hat?
Viele Gruesse!
Helmut
Juergen P. Meier
> Hallo, Juergen,
>
> Du meintest am 04.10.09:
>
>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>> prinzpiell den Schadprogrammierern hinterherhinken.
>
> Ja und?
> Das ist auch im medizinischen Bereich so, und da gilt das nicht als
> noch anzuwenden.
Was fuer ein sinnloser Vergleich.
Auch in der Medizin gilt: VORSORGE ist besser als Medikation.
(Was glaubst du denn, wazu das Impfen erfunden wurde? Die Analogie
hierzu in der IT ware das sichere konfigurieren und Anpassen des
Nutzerverhaltens - so wie z.b. auf ntsvcfg.de beschrieben)
Zudem gilt in der Mediizin: Medikation *NUR* als *REAKTION* auf eine
Infektion.
Desweiteren gibt es einen *GRAVIERENDEN* Unterschied:
Bei Computern kann man *JEDE* Infektion durch loeschen und neu
installieren beseitigen - das geht bei Menschen nicht.
Soviel zu dieser armen Analogie.
> Zudem: welchen Sinn sollte es (in beiden Bereichen) haben, einen Anti-
> Virus zu entwickeln, der (noch) kein einziges mï¿œgliches Opfer (in Form
> eines schï¿œdigenden Virus) hat?
Gar keinen. Welch erstaunlich Erkenntnis. Das macht AV-Programme aber
nicht weniger sinnfrei.
Helmut Hullen
Du meintest am 04.10.09:
>>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>>> prinzpiell den Schadprogrammierern hinterherhinken.
>>
>> Ja und?
>> Das ist auch im medizinischen Bereich so, und da gilt das nicht als
>> anst�ssig oder gar als Grund, Antiviren-Medikamente weder zu
>> entwickeln noch anzuwenden.
> Was fuer ein sinnloser Vergleich.
> Auch in der Medizin gilt: VORSORGE ist besser als Medikation.
> (Was glaubst du denn, wazu das Impfen erfunden wurde?
Impfen gegen unbekannte Viren?
> Zudem gilt in der Medizin: Medikation *NUR* als *REAKTION* auf eine
> Infektion.
Ja watt denn nu? Vorsorge oder Reaktion?
Viele Gruesse!
Helmut
Juergen P. Meier
> Hallo, Juergen,
>
> Du meintest am 04.10.09:
>
>>>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>>>> prinzpiell den Schadprogrammierern hinterherhinken.
>>>
>>> Ja und?
>>> Das ist auch im medizinischen Bereich so, und da gilt das nicht als
>>> entwickeln noch anzuwenden.
>
>> Was fuer ein sinnloser Vergleich.
>
>> Auch in der Medizin gilt: VORSORGE ist besser als Medikation.
>> (Was glaubst du denn, wazu das Impfen erfunden wurde?
>
> Impfen gegen unbekannte Viren?
Nein. Gegen bekannte Angriffsmuster. Zusaetzlich zum staerken des
generellen Gesundheitszustandes (=richtig konfigurieren und sicher
benutzen)
>> Zudem gilt in der Medizin: Medikation *NUR* als *REAKTION* auf eine
>> Infektion.
>
> Ja watt denn nu? Vorsorge oder Reaktion?
Ah, ich erkenne dein Verstaendnisproblem.
Helmut Hullen
Du meintest am 04.10.09:
>>>>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>>>>> prinzpiell den Schadprogrammierern hinterherhinken.
>>>> Ja und?
>>>> Das ist auch im medizinischen Bereich so, und da gilt das nicht
>>>> als anst�ssig oder gar als Grund, Antiviren-Medikamente weder zu
>>>> entwickeln noch anzuwenden.
>> Impfen gegen unbekannte Viren?
> Nein. Gegen bekannte Angriffsmuster. Zusaetzlich zum staerken des
> generellen Gesundheitszustandes (=richtig konfigurieren und sicher
> benutzen)
Also hinkt auch die Impferei den (medizinischen) Viren hinterher.
Viele Gruesse!
Helmut
Juergen Ilse
Helmut Hullen <hel...@hullen.de> wrote:
> Du meintest am 04.10.09:
>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>> prinzpiell den Schadprogrammierern hinterherhinken.
> Ja und?
> Das ist auch im medizinischen Bereich so, und da gilt das nicht als
> anstössig oder gar als Grund, Antiviren-Medikamente weder zu entwickeln
> noch anzuwenden.
Der menschliche Koerper kann den Viren aus eigener Kraft (trotz evt.
Anfaelligkeit fuer einen Virus) eine gewisse Zeit widerstehen. Ein
fuer ein bestimmtes Computervirus anfaelliger Computer koennte diesem
Schaedling eben *nicht* aus eigener Kraft widerstehen (auch nicht
fuer begrenzte Zeit). Das ist ein wichtiger Punkt, indem sich beide
Szenarien unterscheiden, und der es bei Computern wichtiger macht,
die Anfaelligkeit als die durch den Schaedling verursachten Schaeden
zu vermeiden (zumal letzteres i.d.R. eine beim Menschen nicht moegliche
"komplette Neuinstallation" nach sich zieht, wenn man denn wirklich
gruendlich sein will).
Juergen P. Meier
> Hallo, Juergen,
>
> Du meintest am 04.10.09:
>
>>>>>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>>>>>> prinzpiell den Schadprogrammierern hinterherhinken.
>
>>>>> Ja und?
>>>>> Das ist auch im medizinischen Bereich so, und da gilt das nicht
>>>>> entwickeln noch anzuwenden.
>
>>> Impfen gegen unbekannte Viren?
>
>> Nein. Gegen bekannte Angriffsmuster. Zusaetzlich zum staerken des
>> generellen Gesundheitszustandes (=richtig konfigurieren und sicher
>> benutzen)
>
> Also hinkt auch die Impferei den (medizinischen) Viren hinterher.
Nein. Wie du selbst herausfinden koenntest - wenn du wirklich Interesse
daran haettest etwas zu lernen und nicht nur herumfaseln wolltest -
gibt es bei Viren in der Medizin kaum Variationen, und ein und der
selbe Virus kann immer wieder neue Wirte angreifen - es findet
sozusagen kein Bug-fixing statt - neu hergestellte Menschen haben die
gleichen Schwachstellen wie die Generation davor. Mutationen bei Viren
sind sehr selten (erfolgreich).
Und damit endet jegliche Analogie zwischen der Biologie und der IT.
Jeden anderen wuerde ich jetzt fragen "Jetzt verstanden?", bei dir
habe ich mittlerweile keine Lust mehr dazu.
Hiermit stelle ich auch endlich die Trollfuetterung ein,
fup2p, score adjusted, EOT.
Helmut Hullen
Du meintest am 04.10.09:
>>>>>>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell
>>>>>>> wie prinzpiell den Schadprogrammierern hinterherhinken.
>>>>>> Ja und?
>>>>>> Das ist auch im medizinischen Bereich so, und da gilt das nicht
>>>>>> als anst�ssig oder gar als Grund, Antiviren-Medikamente weder zu
>>>>>> entwickeln noch anzuwenden.
[...]
> Nein. Wie du selbst herausfinden koenntest - wenn du wirklich
> Interesse daran haettest etwas zu lernen und nicht nur herumfaseln
> wolltest - gibt es bei Viren in der Medizin kaum Variationen, und ein
> und der selbe Virus kann immer wieder neue Wirte angreifen - es
> findet sozusagen kein Bug-fixing statt - neu hergestellte Menschen
> haben die gleichen Schwachstellen wie die Generation davor.
> Mutationen bei Viren sind sehr selten (erfolgreich).
Und trotzdem werden (auch) in diesem Bereich keine Impfstoffe gegen noch
unbekannte Viren hergestellt.
�hnlich wie in der IT.
Viele Gruesse!
Helmut
Jan C. Faerber
> Und trotzdem werden (auch) in diesem Bereich keine Impfstoffe gegen noch
> unbekannte Viren hergestellt.
> Ähnlich wie in der IT.
In der Unterstufe im Biologieunterricht habe ich einmal die Frage
gestellt an den Lehrer, was Bakterien für einen Sinn hätten. Ich habe
damals ziemlich interessiert mit einem 6000.- ATS Leitz Lichtmikroskop
mit vier Vergrößerungslinsen bis 1000-facher Vergrößerung selbst oft
Heuaufgüsse und ähnliche Dinge betrachtet - mit manchmal fast
leidenschaftlicher Faszination - Rädertierchen etwa haben diese
winzigen Strudelpaare oder die Teilung von Pantoffeltierchen ist immer
eine aufregende Entdeckung gewesen.
Der Biologielehrer hat darauf für mich die sehr enttäuschende Antwort
gegeben, dass man das so nicht sehen darf. Die Frage nach dem Sinn
führt zu nichts. Bakterien sind einfach da.
Ich hatte noch vor dem stolzen Besitz des teuren Mikroskops ein ganz
billiges und saß oft im Garten ohne dem Ding mit einer Lupe und
verbrannte Ameisen oder fütterte sie oder versuchte zu erkennen, wie
die Wahrscheinlichkeit sich darstellt, dass Ameisen über ein
bestimmtes Wegmuster laufen. Heute ist dies tatsächlich im Fernsehen
als Beitrag des öfteren zu sehen gewesen im Zusammenhang, wie man am
besten Schaltungen von Verkehrsampeln steuern könnte - da die Ameisen
Duftstoffe hinterlassen und so kürzere Wege beispielsweise bevorzugt
"befahren" werden, da die Duftstoffe sich auf längeren Strecken
einfach durch die längere Wegzeit leichter unerkannt verflüchtigen
können, was auf kürzeren Wegen weniger geschieht.
Etwa könnten Bakterien theoretisch im Weltall existieren bei sehr
niedrigen Temparaturen und ohne Sauerstoff. Sie sind nicht eindeutig
dem Tierreich immer zuordenbar. Sie sind wie kleine Maschinen - wie
etwa die Grundbausteine von Einzellern (Mitochondrien etwa) wie kleine
Kraftwerke funktionieren aufgrund der DNS und dem Molekülaufbau
vermute ich jetzt einmal.
Der Mensch fürchtet Bakterien teilweise, wenn sie in offene Wunden
eintreten - andererseits sind sie für die Verdauung ev. von großer
Bedeutung. Man könnte auch in der Evolution den Bakterien eine
auslesende Funktion zumessen, wenn sozusagen Sicherheitslücken in der
Organisation einer DNS einer Spezies vorhanden sind oder auch von
Individuen und interaktiv kann natürlich die Intelligenz der Natur auf
solche Gefahren reagieren und sich dementsprechend weiterentwickeln.
So gibt es Wechselspiele zwischen Todesgefahr und Symbiose.
Antibiotikum - ich weiß jetzt garnicht, ob das nicht auch ein
Bakterienstamm ist.
Jedenfalls ist die Lebensspanne von Organismen immer begrenzt und
Bakterien sind an der Zersetzung von Leblosen maßgeblich beteiligt.
Auch Pilze haben oft eine fast ästhetische Erscheinung und all diese
Dinge, die oft an Ekel, Krankheit und Brechreiz erinnern, können
woanders sehr blumig in Erscheinung treten.
Wahrlich eine tödliche Schönheit.
Bei Computerviren spielt oft eine große Rolle, dass sich jemand
profilieren will und einen Rang in einer Virenliste erreichen will.
Damit ist es oft getan.
Manchmal sind damit auch Absichten verbunden.
Doch wird wohl ein gewisser Idealismus, für eine "Sache zu kämpfen"
wohl irgendwo dann weit zurücktreten, wenn Geld anfängt die primäre
Rolle zu spielen.
Angeblich sollen Hash-Codes heutzutage eine enorme Sicherheit bieten,
da die Wahrscheinlichkeit sie zu knacken 1:1.000.000 ist.
Doch mit der Entwicklung des Quantencomputers wird man wohl wie bei
der Erfindung der Atombombe wieder die Frage der Verantwortung stellen
müssen - oder scheißt drauf und läßt die Lucke öffnen.
Jan C. Faerber
> Juergen P. Meier schrieb:
>
> > Du kannst das selbst verifizieren, z.B. mit dem EICAR Testpattern.
> > Pack das mal als Text in ein RTF-File (das Pattern steht dann mitten
> > in der Datei) und lass deinen Virenscanner diese Datei scannen.
> > Du wirst sehen: er wird keinen Virus finden, obwohl du da gerade
> > einen hineingepackt hast
>
> Und warum sollte ein Scanner den finden?
>
> Bytefolge in einem irgendeinem beliebigen Container zu finden.
Er meinte wohl, dass dieses Muster so wie der eine Knopf auf einem FI
Schalter funktionieren müßte, um die Funktionstüchtigkeit des
Programms zu testen.
Was mich interessieren würde: Verwendet man einen HEX-Editor um diese
Dinge zu betrachten, von denen hier dauernd die Rede ist???
Stefan Kanthak
Verpack den EICAR.COM so, dass der beim Auspacken auch wieder "aktiv"
werden kann. Dann schlagen die Scanner auch an. Fuer Deinen "Lieblings"-
NUA genuegt das hier:
Oder MIME-kompatibel:
--- *.EML ---
MIME-Version: 1.0
Content-Type: multipart/mixed; Boundary="EICAR_antivirus_testfile"
Content-Transfer-Encoding: 7bit
This message is in MIME format!
--EICAR_antivirus_testfile
Content-Type: text/plain; CharSet="US-ASCII"
Content-Transfer-Encoding: 7bit
This message has the EICAR antivirus testfile attached in three
different encodings. Every virus scanner should detect the EICAR
antivirus testfile in all three representations, preferably when
reading this message, but at least when extracting one of the
attachments.
--EICAR_antivirus_testfile
Content-Disposition: inline; Filename="EICAR.COM"
Content-Type: text/plain; Charset="US-ASCII"; Name="EICAR.COM"
Content-Transfer-Encoding: 7bit
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
--EICAR_antivirus_testfile
Content-Disposition: inline; Filename="EICAR-UU.COM"
Content-Type: text/plain; Charset="US-ASCII"; Name="EICAR-UU.COM"
Content-Transfer-Encoding: uuencode
--EICAR_antivirus_testfile
Content-Disposition: inline; Filename="EICAR-64.COM"
Content-Type: text/plain; Charset="US-ASCII"; Name="EICAR-64.COM"
Content-Transfer-Encoding: base64
WDVPIVAlQEFQWzRcUFpYNTQoUF4pN0NDKTd9JEVJQ0FSLVNUQU5EQVJELUFOVElWSVJVUy1U
RVNULUZJTEUhJEgrSCo=
--EICAR_antivirus_testfile--
--- EOF ---
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen ᅵ823
Abs. 1 sowie ᅵ1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Harald Hengel
> Schadprogramme haben sich schon im vorherigen Jahrtausend mitten im
> Code versucht zu verstecken. AV-Labore haben die Methodik dieses
> Versteckens fuer die einzelnen Varianten der Schadprogramme
> nachvollzogen und ihre scanner/pattern entsprechend konstruiert,
> damit diese dort nachschauen, wo genau sich der Schadcode gerade
> befindet, etc.pp.
> Das ist alles nichts neues. Das war nichtmal mehr Anfang der 90er
> Jahre
> des letzten Jahrhunderts neu.
Soso, der Schadcode konnte sich also, egal in welche EXE er springt,
immer an z.B. Stelle 1000 setzen ohne die EXE unbrauchbar zu machen?
Ich bin da nicht 100% fit, dass muss ich zugeben, denke aber, dass das
nicht mï¿œglich ist.
Das geht wenn ein Schadcode sich auf eine einzige bestimmte EXE
spezialisiert, dort kann man sich dann einen geeigneten Punkt
aussuchen.
>> Ein Virus, der sich an beliebiges Programm hï¿œngt ist immer an
>> anderen Positionen, fï¿œr eine Virenscanner ist es es unmï¿œglich die
>> Postitionen von zig Millionen Programmen zu kennen, an denen sich
>> ein Virus befinden kann und darauf zu prï¿œfen.
>
> Natuerlich nicht. Der AV-Scanner schaut sich bei der Suche nach
> dieser bestimmten Klasse von "Huckepack"-Schadprogammen einfach die
> Sprungaddressen im Code an, und sucht dort nach dem Pattern.
Logisch.
> Das ist nun wirklich eine der aeltesten und primitivsten
> Basisfunktionen eines Virenscanners, das diese schon vor 20 Jahren
> konnten. Und schon
> seit so langer Zeit haben AV Programme Probleme mit immer neuen
> Variationen ansonsten gleicher Schadprogramme. Auch das ist nichts
> neues.
Richtig.
> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
> prinzpiell den Schadprogrammierern hinterherhinken.
Das sollte jedem klar sein und liegt nun einmal in der Natur der
Sache.
Harald
Harald Hengel
>> Impfen gegen unbekannte Viren?
>
> Nein. Gegen bekannte Angriffsmuster. Zusaetzlich zum staerken des
> generellen Gesundheitszustandes (=richtig konfigurieren und sicher
> benutzen)
Also ist Impfen sinnfrei?
>> Ja watt denn nu? Vorsorge oder Reaktion?
>
> Ah, ich erkenne dein Verstaendnisproblem.
Ich glaube eher du hast eines.
Harald
Harald Hengel
>> Also hinkt auch die Impferei den (medizinischen) Viren hinterher.
>
> Nein.
Oh, die Masernimpfung hilft gegen Aids und Schweinegrippe?
Gegen Schweinegrippe konnte man Impfen bevor man die Krankheit kannte?
> Wie du selbst herausfinden koenntest - wenn du wirklich
> Interesse daran haettest etwas zu lernen und nicht nur herumfaseln
> wolltest - gibt es bei Viren in der Medizin kaum Variationen,
ROTFL
Gerade die Mutationen sind ein groï¿œes Problem in der Medizin.
Gegen viele Krankheiten kannst du nicht impfen und wie in der EDV ist
es nur theoretisch mï¿œglich sich vor Infektionen zu schï¿œtzen.
> und
> ein und der selbe Virus kann immer wieder neue Wirte angreifen - es
> findet sozusagen kein Bug-fixing statt - neu hergestellte Menschen
> haben die gleichen Schwachstellen wie die Generation davor.
Auch das ist falsch.
> Mutationen bei Viren sind sehr selten (erfolgreich).
Noch einmal falsch.
> Hiermit stelle ich auch endlich die Trollfuetterung ein,
Du bist reichlich ahnungslos und ï¿œberheblich dazu.
Harald
Harald Hengel
>> Ja und?
>> Das ist auch im medizinischen Bereich so, und da gilt das nicht als
>> anstï¿œssig oder gar als Grund, Antiviren-Medikamente weder zu
>> entwickeln noch anzuwenden.
>
> Was fuer ein sinnloser Vergleich.
>
> Auch in der Medizin gilt: VORSORGE ist besser als Medikation.
Aha, Medikation ist also vï¿œllig unsinnig und sollte deshalb
unterlassen werden?
> (Was glaubst du denn, wazu das Impfen erfunden wurde?
ROTFL
Ein nettes Eigentor hast du geschossen, Impfen hilft gegen bisher
unbekannte Krankheiten?
Das ist das gleiche Problem wie mit dem Virenscanner, es hilft gegen
bisher bekannte Kranheiten.
Weil es nur gegen Bekannte hilft und nicht gegen neue oder Mutationen
alter sollte man Impfen also unterlassen.
> Die Analogie
> hierzu in der IT ware das sichere konfigurieren und Anpassen des
> Nutzerverhaltens - so wie z.b. auf ntsvcfg.de beschrieben)
Man kï¿œnnte die Regeln auch aufs normale Leben ansetzen, wir imfpen
nicht gegen Masern, es reicht vï¿œllig sich gegen eine mï¿œgliche
Infektion zu schï¿œtzen, nicht mit Unbekannten in Kontakt usw.
> Zudem gilt in der Mediizin: Medikation *NUR* als *REAKTION* auf eine
> Infektion.
Impfen ist eine Reaktion auf eine Infektion?
> Desweiteren gibt es einen *GRAVIERENDEN* Unterschied:
>
> Bei Computern kann man *JEDE* Infektion durch loeschen und neu
> installieren beseitigen - das geht bei Menschen nicht.
Auch das ist im falsch!
Du kannst nicht beseitigen, dass dein Passwï¿œrter in falsche Hï¿œnde
geraten sind, du kannst nicht beseitigen, dass deine Daten gelï¿œscht
wurden...................
> Soviel zu dieser armen Analogie.
Ja, du zeigst deutlich deinen extrem beschrï¿œnkten Blickwinkel.
>> Zudem: welchen Sinn sollte es (in beiden Bereichen) haben, einen
>> Anti- Virus zu entwickeln, der (noch) kein einziges mï¿œgliches
>> Opfer (in Form eines schï¿œdigenden Virus) hat?
>
> Gar keinen. Welch erstaunlich Erkenntnis. Das macht AV-Programme
> aber nicht weniger sinnfrei.
Wie beim Impfen, es hilft nur gegen bekannte Viren.
Harald
Harald Hengel
> Bisher haben alle AV-Produkte von sich behauptet, sie wuerden
> Schadcode auch in Containern erkennen koennen.
Eine zufï¿œllige oder auch bewusst erzeugte Bytesequenz an beliebiger
Stelle ist kein Schadcode.
Harald
Jan C. Faerber
> >> Also hinkt auch die Impferei den (medizinischen) Viren hinterher
> > Nein.
> Oh, die Masernimpfung hilft gegen Aids und Schweinegrippe?
> Gegen Schweinegrippe konnte man Impfen bevor man die Krankheit kannte?
Die Impferei hinkt teilweise den medizinisch gezüchteten Antiviren
(Impfstoffen) hinterher, die aus der Natur gewonnen werden (etwa aus
Hühnerembryonen). Manchmal muß man suchen, wo in der Natur ein
Gegengift bereits existiert, welches man dann verwenden kann. Nichts
ist neu unter der Sonne.
> > Wie du selbst herausfinden koenntest - wenn du wirklich
> > Interesse daran haettest etwas zu lernen und nicht nur herumfaseln
> > wolltest - gibt es bei Viren in der Medizin kaum Variationen,
>
> ROTFL
> Gerade die Mutationen sind ein großes Problem in der Medizin.
> Gegen viele Krankheiten kannst du nicht impfen und wie in der EDV ist
> es nur theoretisch möglich sich vor Infektionen zu schützen.
Es ist sogar so, dass man bei zu zahlreichen Präventivimpfungen in der
Bevölkerung z.B. bei Malaria dann erst recht eine neue Variante der
Krankheit entsteht, was die Sache um einiges schwieriger macht.
> > und
> > ein und der selbe Virus kann immer wieder neue Wirte angreifen - es
> > findet sozusagen kein Bug-fixing statt - neu hergestellte Menschen
> > haben die gleichen Schwachstellen wie die Generation davor.
>
> Auch das ist falsch.
Schön wärs.
Juergen Ilse
Harald Hengel <raldo-...@freenet.de> wrote:
> Juergen P. Meier schrieb:
>> Bisher haben alle AV-Produkte von sich behauptet, sie wuerden
>> Schadcode auch in Containern erkennen koennen.
> Eine zufällige oder auch bewusst erzeugte Bytesequenz an beliebiger
> Stelle ist kein Schadcode.
Ohne das komplette Word-Dokument zu scannen koennte der Scanner gar nicht
beurteilen, ob der so enthaltene Code nicht evt duch irgend ein Makro als
Maschinencode aufgerufen werden koennte ... Beim Eicar waere das zwar
noch harmlos, aber es widerlegt deine These, dass der Virus-Code als
Bytefolge mitten in Word-Dateien nicht erkannt werden muesse.
Man koennte ja auch mal den Test machen und den Eicar durch 200 vorange-
stellte "NOP" Befehler modifizieren. Ich bin sehr sicher, dass er dadurch
auch nicht mehr erkannt wird (obwohl sich an seiner Wirkung dadurch nicht
das geringste geaendert haette).
Jan C. Faerber
> Wie beim Impfen, es hilft nur gegen bekannte Viren.
Ich bin sicher, dass der Begriff "Virus" nur einen Teilbereich dessen
beschreibt, was im Körper in dieser Hinsicht vorsich geht.
Der Körper kann ja gegen viele Dinge Abwehrstoffe selber entwickeln.
Er entwickelt Antiviren und wir werden niemals krank
und niemals wird ein Virus oder Impfstoff beschrieben oder erkannt,
weil der Körper sich das mit der Chemie selbst ausmacht.
Das Hirn ist übrigens in der Lage reines Heroin zu produzieren.
Chemisch genau das gleiche, wie man es auf der Straße zu kaufen
bekommt. In der Medizin sind viele hochgiftige Stoffe in kleinen Dosen
oder in Kombination mit anderen Stoffen wertvolle Heilmittel, die ein
gesunder und abwehrfähiger Organismus teilweise selbst produzieren
kann.
Ich find den Vergleich zur Medizin hier wirklich unangebracht.
Die IT beschäftigt sich mit Maschinen - mit Schaltkreisen - Bytes und
Prozessen. Es geht bei dem Hick-Hack doch nur um die zwei
Dinge "im Vorhinein" und "im Nachhinein".
Man müßte einfach die totale Kontrolle über den permanenten
Ablauf ja über alle Abläufe die permanent im Computer stattfinden,
erlangen. Das ist ja beim Menschen nicht mit Impfen getan, sondern
ev. mit perfekter Gesundheit.
Beim Computer müßte hier alles viel dichter geprüft werden.
Zahlreiche Viren werden ja garnicht erkannt.
Ein matchen der Prozesse wäre nötig. Ich phantasiere doch nur blöde.
Alles nur Geschmuse. Fühl Dich frei und geh nackt auf der Straße
spazieren!
Haha!
Jan C. Faerber
> Also ist Impfen sinnfrei?
Im Idealfall hat man den Impfstoff sofort parat,
wenn die Krankheit ausbricht. Der Körper produziert
dann in dem Fall leider zu oft zu spät die Antikörper.
Diese Tatsache kann man ausnutzen und
die Krankheitserreger in ganz kleinen Mengen dem
Gesunden einimpfen, sodaß er nicht krank wird,
jedoch genügend Antistoffe entwickelt, um bei
einer tatsächlichen Infektion gewappnet zu sein.
Der Körper kann denken und reagieren.
Der Computer wird im Gegensatz dazu immer
ein Blechtrottel bleiben - entschuldigen Sie die Formulierung.
Er kann nur das tun, was man ihm befiehlt.
Auch wenn er mit künstlicher Intelligenz sehr weit "handeln"
kann, in einem völlig unbewußten begrifflichen Sinn.
Der Computer ist völlig emotionslos - weder glücklich noch
unglücklich.
Und er hat auch keinen Willen zum handeln.
Der Computer ist ein Werkzeug für den Menschen.
Harald Hengel
> Ohne das komplette Word-Dokument zu scannen koennte der Scanner gar
> nicht beurteilen, ob der so enthaltene Code nicht evt duch irgend
> ein Makro als Maschinencode aufgerufen werden koennte
Woher weisst du, dass der Scanner das Word Dokument nicht nach
Einsprungadressen für ausführbaren Code durchsucht?
Hast du es versucht und den Eicar so in ein Dokument eingebunden, dass
er aktiv werden kann?
> Beim
> Eicar waere das zwar noch harmlos, aber es widerlegt deine These,
> dass der Virus-Code als Bytefolge mitten in Word-Dateien nicht
> erkannt werden muesse.
Er mss nur erkannt werden, wenn er ausführbar ist!
Da das bei dem Beispiel nicht der Fall ist, gibt es keinen Grund ihn
zu erkennen.
> Man koennte ja auch mal den Test machen und den Eicar durch 200
> vorange- stellte "NOP" Befehler modifizieren. Ich bin sehr sicher,
> dass er dadurch auch nicht mehr erkannt wird (obwohl sich an seiner
> Wirkung dadurch nicht das geringste geaendert haette).
Ich zweifle, dass das ein brauchbarer beweis für deine These ist.
Eicar ist meines Wissens ein COM, du hättest verschiebungen in den
Adressen und damit einen anderen "Virus" erzeugt und damit gibt es
wieder keinen Grund dieses als Virus zu erkennen, weil anderer Code.
Bei einem echten Schadprogramm könnte eine Heuristik evtl. einen
Verdacht auslösen.
Ansonsten müsste deine Modifikation den Scannerherstellern erst
bekannt sein.
Es gibt keinen Grund ein Programm, von welchem nicht bekannt ist, dass
es mutiert auf dieses zu prüfen.
Harald
Harald Hengel
> Man koennte ja auch mal den Test machen und den Eicar durch 200
> vorange- stellte "NOP" Befehler modifizieren. Ich bin sehr sicher,
> dass er dadurch auch nicht mehr erkannt wird (obwohl sich an seiner
> Wirkung dadurch nicht das geringste geaendert haette).
Ach ja, noch eines.
Virenscanner können nur bekanntes ermitteln, das liegt in der Natur
der Sache.
Da ein Eicar als Virus aus einem Word Dokument nicht zu den Bekannten
gehört, ist auch eine entsprechende Behandlung völlig unnötig.
Harald
Juergen P. Meier
> "Juergen P. Meier" <nospa...@jors.net> schrieb:
>
>> Ralf Dï¿œblitz <doeb...@doeblitz.net>:
>>> Juergen P. Meier <nospa...@jors.net> schrieb:
>>> [...]
>>>> (das EICAR Testpattern ist ein 16-bit DOS/COM
>>>> Executable
>>> [...]
>>>> AV Scanner muessten also z.B. bei diesem Posting anschlagen, wenn sie
>>>> ihre Suchmuster im gesammten Inhalt anwenden wuerden.
>>>
>>> Das das Executable so aber nicht ausgefï¿œhrt werden kann, brauchen sie
>>> nicht anzuschlagen. Eine Bytesequenz, die keine Schadwirkung entfalten
>>> kann, weil sie nicht an der richtigen Stelle steht, ist kein (wirksamer)
>>> Schadcode mehr.
>>
>> Bisher haben alle AV-Produkte von sich behauptet, sie wuerden
>> Schadcode auch in Containern erkennen koennen.
>>
>> Ist wohl doch nur gelogen.
>
> Verpack den EICAR.COM so, dass der beim Auspacken auch wieder "aktiv"
> werden kann. Dann schlagen die Scanner auch an. Fuer Deinen "Lieblings"-
> NUA genuegt das hier:
OLE: Open eicar.doc, Save-As(Text) eicar.com.txt, ren eicar.com.txt
eicar.com
Ein Wintendo-Scripter scriptet dir das bestimmt schnell hin.
Helmut Hullen
Du meintest am 04.10.09:
> Ich find den Vergleich zur Medizin hier wirklich unangebracht.
Ich habe den Vergleich einzig dazu eingebracht, um zu zeigen, dass auch
in der Medizin kein Antivirus entwickelt wird, solange der zugeh�rige
Virus nicht bekannt ist.
Mehr nicht.
Ach ja: im medizinischen Bereich muss nicht jeder Virus unbedingt
medikament�s vernichtet werden, da hilft gelegentlich auch Abwarten.
Soviel zur Reichweite von Vergleichen.
Viele Gruesse!
Helmut
Juergen P. Meier
> Juergen P. Meier schrieb:
>
>>> Also hinkt auch die Impferei den (medizinischen) Viren hinterher.
>>
>> Nein.
>
> Oh, die Masernimpfung hilft gegen Aids und Schweinegrippe?
Nein.
[restlicher Schwachsinn entsorgt]
Juergen P. Meier
> Juergen P. Meier schrieb:
>
>> Schadprogramme haben sich schon im vorherigen Jahrtausend mitten im
>> Code versucht zu verstecken. AV-Labore haben die Methodik dieses
>> Versteckens fuer die einzelnen Varianten der Schadprogramme
>> nachvollzogen und ihre scanner/pattern entsprechend konstruiert,
>> damit diese dort nachschauen, wo genau sich der Schadcode gerade
>> befindet, etc.pp.
>> Das ist alles nichts neues. Das war nichtmal mehr Anfang der 90er
>> Jahre
>> des letzten Jahrhunderts neu.
>
> Soso, der Schadcode konnte sich also, egal in welche EXE er springt,
> immer an z.B. Stelle 1000 setzen ohne die EXE unbrauchbar zu machen?
Ja. Man muss nur vorher ein relatives Sprungkommando einbauen und
danach alle absoluten Sprungaddressen korrigieren.
> Ich bin da nicht 100% fit, dass muss ich zugeben, denke aber, dass das
> nicht mï¿œglich ist.
Natuerlich ist das moeglich. So haben Computerviren schon Anfang
der 90er gearbeitet.
> Das geht wenn ein Schadcode sich auf eine einzige bestimmte EXE
> spezialisiert, dort kann man sich dann einen geeigneten Punkt
> aussuchen.
Nein. Alle Binaerprogramme (egal ob PeX, COM, ELF, EXE, COFF o.ae.)
sind gleichartig strukturiert, sie bestehen alle aus diskreten
Maschinencodebefehlen. Gerade bei infantilen Architekturen wie Intel
x86 mit festen Wortgrenzen fuer Maschinencodebefehle ist es trivial
Code an *belieibger* Stelle (sie muss nur Wortbuendig sein) in
beliebigen Code einzufuegen. Die wenigen Programme, die danach nicht
mehr funktionieren (z.b. weil sie selbt amorphen Code enthalten oder
bereits durch einen anderen polymophen Virus infiziert wurden),
spielten in der Praxis keine Rolle (ausser als Kuriositaet).
>> Natuerlich nicht. Der AV-Scanner schaut sich bei der Suche nach
>> dieser bestimmten Klasse von "Huckepack"-Schadprogammen einfach die
>> Sprungaddressen im Code an, und sucht dort nach dem Pattern.
>
> Logisch.
Was genau dann auf die Schnautze faellt, wenn die Variante des
Schadprogramms statt dem offset 815 lieber 4711 verwendet. Dann muss
der arme User, der sich blind auf sein AV-Programm verlaesst hoffen,
dass das Patternupdate kommt bevor er ein Expemplar ausfuehrt.
Die Geschichte der Windows-IT der letzten 20 Jahre hat eines gezeigt:
Genau Dieses Kofferhoffen Funktioniert Nicht.
>> Es ist also keine neue Weisheit, das AV Scanner konzeptionell wie
>> prinzpiell den Schadprogrammierern hinterherhinken.
>
> Das sollte jedem klar sein und liegt nun einmal in der Natur der
> Sache.
Juergen
Juergen P. Meier
> Juergen Ilse schrieb:
>
>> Ohne das komplette Word-Dokument zu scannen koennte der Scanner gar
>> nicht beurteilen, ob der so enthaltene Code nicht evt duch irgend
>> ein Makro als Maschinencode aufgerufen werden koennte
>
> Woher weisst du, dass der Scanner das Word Dokument nicht nach
Weil er darin nur Makroviren vermutet und keine Zeit damit
verschwenden will, Millionen andere Patterns zu pruefen?
> Hast du es versucht und den Eicar so in ein Dokument eingebunden, dass
> er aktiv werden kann?
Die meisten AV Scanner versagen schon jaemmerlich, wenn man EICAR
ohne MIME in Mailtext "versteckt".
> Er mss nur erkannt werden, wenn er ausfï¿œhrbar ist!
Nein. Es muss auch erkannt werden, wenn es in einem geeigneten
Transportformat vorliegt, z.B. als Binaerdaten in einem .doc Container
(die sich nicht nur bei EICAR trivial z.B. per OLE oder VBE wieder in
ausfuehrbare Binaerdateien automatisiert auspacken lassen).
Wieviele Virenscanner scannen denn mittlerweile NTFS alt. Datastreams?
Wieviele DAUs stellen die *voreinstellungen* der meisten
AV-Muellprodukte von "scanne nur [laecherlich kleine Idioten-Auswahl
von bekannten executable-Extensions]-Dateien" ab?
> Da das bei dem Beispiel nicht der Fall ist, gibt es keinen Grund ihn
> zu erkennen.
Doch: Es waere trivial in das word-file ein makro zu implementieren,
dass nichts weiter macht als "Save As... Text" mit Dateinamen
eicar.com
> Ich zweifle, dass das ein brauchbarer beweis fï¿œr deine These ist.
> Eicar ist meines Wissens ein COM, du hï¿œttest verschiebungen in den
> Adressen und damit einen anderen "Virus" erzeugt und damit gibt es
> wieder keinen Grund dieses als Virus zu erkennen, weil anderer Code.
Ah, du hast eines der Hauptprobleme von AV-Programmen erkannt.
Jetzt musst du nur noch wissen, dass Schadcodeprogrammierer genau das
machen, eben weil AV-Programme mit dem Erkennen solch einfach
modifizierter Varianten grundsaetzlich Probleme haben.
> Bei einem echten Schadprogramm kï¿œnnte eine Heuristik evtl. einen
> Verdacht auslï¿œsen.
Es gibt bereits eine beachtliche Anzahl von Schadprogrammen, die
vermutlich oder offensichtlich so programmiert wurden, um durch
Heuristiken nicht als Schadcode erkannt zu werden. Erfolgreich.
> Ansonsten mï¿œsste deine Modifikation den Scannerherstellern erst
> bekannt sein.
Ach.
> Es gibt keinen Grund ein Programm, von welchem nicht bekannt ist, dass
> es mutiert auf dieses zu prï¿œfen.
Doch, den gibt es: Die AV Hersteller behaupten, dass sie genau das koennten.
Ha ha.
Juergen Ilse
Juergen P. Meier <nospa...@jors.net> wrote:
> Nein. Alle Binaerprogramme (egal ob PeX, COM, ELF, EXE, COFF o.ae.)
> sind gleichartig strukturiert, sie bestehen alle aus diskreten
> Maschinencodebefehlen.
"Sind gleichartig strukturiert" trifft auf .com nicht zu: das ist wirklich
"Maschinencode pur", der immer an eine feste Adresse (besser gesagt an einen
festen Offset innerhalb eines Segments) geladen und direkt angesprungen wird
(wobei alle Segmentregister auf den Beginn des Segments gesetzt werden, in
das die Datei geladen wurde). Die anderen Programme enthalten noch "Reloka-
tionsinformationen": die in den Speicher geladenen Inhalte werden noch an
die Position angepasst, an die sie im Speicher geladen werden (automatisch
vom Betriebssystem waehrend des ladens) und der "Einsprungpunkt" ist auch
nicht immer gleich (dieser steht auch mit in der Datei: bei .com wird dagegen
immer das erste Byte der in den Speicher geladenen Datei angesprungen).
> Gerade bei infantilen Architekturen wie Intel x86 mit festen Wortgrenzen
> fuer Maschinencodebefehle ist es trivial Code an *belieibger* Stelle
> (sie muss nur Wortbuendig sein) in beliebigen Code einzufuegen.
Die Intel-X86 Architekturen haben keine "festen Wortgrenzen fuer Maschinen-
befehle" (waere auch schwer moeglich, wenn einige Befehle nur ein Byte lang
sind, und nicht zwingend "padding" im Maschinencode stattfindet).
Ansonsten ist deine Argumentation allerdings richtig.
Jan C. Faerber
> Hallo, Jan,
>
> Du meintest am 04.10.09:
>
> > Ich find den Vergleich zur Medizin hier wirklich unangebracht.
>
> Ich habe den Vergleich einzig dazu eingebracht, um zu zeigen, dass auch
> Virus nicht bekannt ist.
>
> Mehr nicht.
>
> Ach ja: im medizinischen Bereich muss nicht jeder Virus unbedingt
> Soviel zur Reichweite von Vergleichen.
Ich muß zugeben, dass ich mich auch ein wenig verhaschpelt habe mit
"Virus", "Krankheit", "Infektion", "Impfen", "Bakterien" usw.
Ich hab jetzt den PC-Virus nicht 1:1 mit einem Virus im Menschen
verglichen. Man kann Grippe durch eine Erkältung oder durch einen
Virus bekommen. Der Begriff "Impfen" bezieht sich ja auch nicht nur
auf virale Krankheiten. Tollwut ist kein Virus etwa. Und bei Viren
wird wohl auch der Impfstoff nicht
aus kleinen Dosen des Virusstammes bestehen, da das eben der
Unterschied ist zu sonstigen Krankheitserregern oder Infektionen, wo
der Körper selbst den Antivirus bildet. Beim einer Impfung gegen einen
Virus wird man wohl nur einen Impfstoff eines Antivirenstoffes geben
können. Hingegen bei Infektionskrankheiten kriegt man ein bißchen von
der echten Krankheit selber. Vielleicht ist hier der Übergang anders
gelegt - ich bin kein Mediziner.
Beim Computer find ich den Vergleich schlecht, weil es mir ein wenig
nach fauler Ausrede klingt. Wenn die Leistung schneller wird und
permanent irgendwelche Multitask-Prozesse im Vorder- und Hintergrund
laufen, so ist es wohl einfach eine Sache der Umsetzung und der
Bereitschaft hohe Anstrengungen aufzuwenden, dass genau kontrolliert
wird, welches Bit sich wo und wann ändert.
Was so schön funktioniert beim TCP/IP Protokoll mit Prüfsumme und so
weiter - einfach weil es notwendig ist, um die Verwendbarkeit der
Internets zu erhalten ganz ohne irgendwelche Viren - solche
Mechianismen könnte man doch im PC selber rein aus Sicherheitsgründen
einbauen! Dass da ein unbefugtes Byte sofort Alarm auslöst und
rausfliegt. Ganz unabhängig davon, ob nun ein Virusmuster dazu bereits
vorhanden ist oder nicht.
Aber das wird wohl das Fernmeldegesetz verbieten, weil damit auch jede
Möglichkeit unterbunden würde einen PC abzuhören *ggg*.
Jan C. Faerber
> auf virale Krankheiten. Tollwut ist kein Virus etwa. Und bei Viren
Ich bin ein Hugo - Tollwut ist ein Virus.
Stefan Kanthak
> Stefan Kanthak <dont.delete-this.don...@expires-2009-09-30.arcornews.de>:
>> "Juergen P. Meier" <nospa...@jors.net> schrieb:
>>> Bisher haben alle AV-Produkte von sich behauptet, sie wuerden
>>> Schadcode auch in Containern erkennen koennen.
>>>
>>> Ist wohl doch nur gelogen.
>>
>> Verpack den EICAR.COM so, dass der beim Auspacken auch wieder "aktiv"
>> werden kann. Dann schlagen die Scanner auch an. Fuer Deinen "Lieblings"-
>> NUA genuegt das hier:
>
> OLE: Open eicar.doc, Save-As(Text) eicar.com.txt, ren eicar.com.txt
> eicar.com
>
> Ein Wintendo-Scripter scriptet dir das bestimmt schnell hin.
Nur weil Du "OLE:" davor schreibst hat Dein obiges Beispiel nichts mit
OLE zu tun, und es ist kein Container, sondern erzeugt den Schaedling
selbst.
Probier doch mal folgenden Nicht-"Container" aus; der ermoeglicht Dir
nach Import in die Registry das Generieren des Schaedlings per
Rechtsklick->Neu:Anwendung fuer MS-DOS
im Windows Explorer und ist genauso harmlos wie Dein obiges Beispiel:
--- EICAR.REG ---
REGEDIT4
[HKEY_CLASSES_ROOT\.com\ShellNew]
;"Data"="X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"
"Data"=hex:58,35,4f,21,50,25,40,41,50,5b,34,5c,50,5a,58,35,34,28,50,5e,29,37,43,\
43,29,37,7d,24,45,49,43,41,52,2d,53,54,41,4e,44,41,52,44,2d,41,4e,54,\
49,56,49,52,55,53,2d,54,45,53,54,2d,46,49,4c,45,21,24,48,2b,48,2a
--- EOF ---
Alternativ
--- EICAR.CMD ---
Echo X5O!P^%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*>EICAR.COM
--- EOF ---
(wenn "delayed expansion" an ist, dann muessen die ! noch maskiert werden)
Dummerweise sind weder *.REG noch *.CMD Container.
Bettest Du dagegen die "Binaer"-Datei EICAR.COM per Drag&Drop in ein
*.DOC, *.DOT, *.XLS, *.XLT, *.PPS, *.PPT, *.SHS, *.SHB, *.MSG oder ...
ein (das kann bereits das mit Windows installierte WORDPAD.EXE), dann
erzeugst Du einen OLE-Container, dessen schaedlicher Inhalt erkannt
werden muesste.
Dummerweise ist das Datei"format" dieser OLE-Container^WDokumente
ziemlich wirr (polymorph) und eignet sich herrlich zum Verschleiern.
Harald Hengel
>> Er mss nur erkannt werden, wenn er ausfï¿œhrbar ist!
>
> Nein. Es muss auch erkannt werden, wenn es in einem geeigneten
> Transportformat vorliegt, z.B. als Binaerdaten in einem .doc
> Container (die sich nicht nur bei EICAR trivial z.B. per OLE oder
> VBE wieder in ausfuehrbare Binaerdateien automatisiert auspacken
> lassen).
Klar, du lï¿œufst sicher immer mit Helm und Mundschutz rum. ;-)
> Doch: Es waere trivial in das word-file ein makro zu implementieren,
> dass nichts weiter macht als "Save As... Text" mit Dateinamen
> eicar.com
Und?
Damit wird es nicht ausgefï¿œhrt und ausserdem wird ein Virenscanner bei
Abspeichern zuschlagen.
>> Ich zweifle, dass das ein brauchbarer beweis fï¿œr deine These ist.
>> Eicar ist meines Wissens ein COM, du hï¿œttest verschiebungen in den
>> Adressen und damit einen anderen "Virus" erzeugt und damit gibt es
>> wieder keinen Grund dieses als Virus zu erkennen, weil anderer
>> Code.
>
> Ah, du hast eines der Hauptprobleme von AV-Programmen erkannt.
Du lï¿œufst mit Helm und Mundschutz rum?
> Jetzt musst du nur noch wissen, dass Schadcodeprogrammierer genau
> das machen, eben weil AV-Programme mit dem Erkennen solch einfach
> modifizierter Varianten grundsaetzlich Probleme haben.
Und?
Gegen was willst du alles vorbeugen.
Mundschutz, Helm, Knieschoner, wenn du in die Oper gehst, es kï¿œnnte ja
die Decke auf den Kopf fallen.
>> Bei einem echten Schadprogramm kï¿œnnte eine Heuristik evtl. einen
>> Verdacht auslï¿œsen.
>
> Es gibt bereits eine beachtliche Anzahl von Schadprogrammen, die
> vermutlich oder offensichtlich so programmiert wurden, um durch
> Heuristiken nicht als Schadcode erkannt zu werden. Erfolgreich.
Ja und?
>> Es gibt keinen Grund ein Programm, von welchem nicht bekannt ist,
>> dass es mutiert auf dieses zu prï¿œfen.
>
> Doch, den gibt es: Die AV Hersteller behaupten, dass sie genau das
> koennten.
Du behauptest, dass sie es behaupten, sie behaupten es aber nicht.
> Ha ha.
ROTFL.
Es ist schon komisch, dass du fï¿œr deine fragwï¿œrdigen Thesen auf
Anforderungen ausweichst, die fragwï¿œrdig und unnï¿œtig sind.
Dein Beispiel mit dem Extrahieren aus Word spricht auch nicht fï¿œr
dich.
Denn beim Schreiben wird der Eicar erkannt, damit taugt dein Beispiel
nicht.
Ausserdem fehlt der fï¿œr eine Infektion notwendige Start.
Harald
Harald Hengel
> Ich find den Vergleich zur Medizin hier wirklich unangebracht.
> Die IT besch�ftigt sich mit Maschinen - mit Schaltkreisen - Bytes
> und Prozessen. Es geht bei dem Hick-Hack doch nur um die zwei
> Dinge "im Vorhinein" und "im Nachhinein".
Ich finde den Vergleich v�llig ok, dass im Menschen andere Funktionen
wirken als im PC hat mit der Grunds�tzlichkeit nichts zu tun, dass
Gegenmittel immer erst erzeugt werden wenn ein Virus bekannt ist.
> Beim Computer m��te hier alles viel dichter gepr�ft werden.
> Zahlreiche Viren werden ja garnicht erkannt.
Ja, das ist nichts neues.
Ist das ein Grund die anderen auch gew�hren zu lassen?
Wie im wahren Leben, einen Vollschutz gibt es nicht.
Aber auch wie im wahren Leben, trotz gr��ter Vorsicht kannst du dir
was einfangen.
Harald
Harald Hengel
> bei .com wird dagegen immer das erste Byte der in den
> Speicher geladenen Datei angesprungen).
Seit wann denn das?
Aber praktisch spielt es keine Rolle, dass es nicht das erste Byte
ist.
Harald
Harald Hengel
> Was genau dann auf die Schnautze faellt, wenn die Variante des
> Schadprogramms statt dem offset 815 lieber 4711 verwendet. Dann muss
> der arme User, der sich blind auf sein AV-Programm verlaesst hoffen,
> dass das Patternupdate kommt bevor er ein Expemplar ausfuehrt.
Und?
Ha, es ist also besser einen eingefangenen Virus solange werkeln zu
lassen, bis er irgendwie auffï¿œllt.
> Genau Dieses Kofferhoffen Funktioniert Nicht.
> Die Geschichte der Windows-IT der letzten 20 Jahre hat eines
gezeigt:
> Genau Dieses Kofferhoffen Funktioniert Nicht.
Die Geschichte hat vor allem gezeigt, dass die von dir bevorzugten
Methoden beim Privatanwender nicht ankommen.
Sie hat ausserdem gezeigt, dass deine Methoden keineswegs unfehlbar
sind.
Niemand behauptet, dass ein Virenscanner das allheilbringende Mittel
ist, auch wenn du es gern jedem unterstellst, der sich fï¿œr eine
Virenscanner ausspricht.
Harald
Juergen Ilse
Harald Hengel <raldo-...@freenet.de> wrote:
> Juergen Ilse schrieb:
>> bei .com wird dagegen immer das erste Byte der in den
>> Speicher geladenen Datei angesprungen).
> Seit wann denn das?
Sofern wir hier vom ".com" Format der DOS-Executables reden: schon immer:
Die Datei wird in ein Speichersegment an Offset 256 geladen, davor wird
der "program segement prefix" aufgebaut. Anschliessend werden alle Segement-
Register auf das Speichersegment initialiaiert, in das das Executable hinein-
geladen wurde und das es wird in dieses Segment an Offset 256 gesprungen
(wo ja das erste Byte der in den Speicher geladenen .com Datei steht, siehe
oben). Das war genau die Methode, wie DOS .com Dateien geladen hat (und
Windows macht das genauso, wobei vorher eine "DOS-kompatible Umgebung"
dafuer bereitgestellt wird).
> Aber praktisch spielt es keine Rolle, dass es nicht das erste Byte ist.
Schon wieder ein Beispiel deiner Unwissenheit?
Ich hatte zu DOS-.Zeiten schon Programme mit "debug.com" geschrieben (ich
weiss also, wie das Format aussah). Da faellt mir ein: ich hatte sogar mal
ein Programm mittels "copy con test.com" geschrieben (wobei ich die Maschi-
nenbefehle mittels <ALT>+<ASCII-CODE> eingegeben hatte). Das war allerdings
ein Notbehelf, weil auf dem betreffenden System noch nicht einmal ein
debug.com existierte ...
Harald Hengel
> Sofern wir hier vom ".com" Format der DOS-Executables reden: schon
> immer: Die Datei wird in ein Speichersegment an Offset 256 geladen,
Stimmt, das hatte ich gemeint.
Harald
Wolfgang Ewert
> Robert Jasiek schrieb:
>>> Wie arbeiten denn solche Virenscanner vom Prinzip her?
>> Um mal bei der typischen Grundfunktion, dem Abgleich von Pr�fsummen,
> ^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^??
>
> woher soll ein Virenscanner Pr�fsummen meiner Dateien haben?
Ein Virenscanner nicht aber ein Integrity Checker.
>> zu bleiben: Eine (jede) Datei wird auf eine Pr�fsumme zusammengedampft
>> entsprechend der Definition des verwendeten Algorithmus zur Pr�fsumme.
>
> Damit kann ich feststellen ob eine bekannte(!) Datei ge�ndert wurde
> oder sie mit einer anderen bekannten Datei identisch ist. Z.B.
> Duplikatefinder.
Oder s.o. Wenn man damit die Kontrolle �ber den Daten*bestand* hat,
braucht man maximal noch an bestimmten �bergabestellen
(E-Mail-Eingang...) nach verd�chtigen Signaturen zu scannen.
> Danke - aber ich frage mich was das mit meiner Frage zu tun hat.
Man kann so auf den Arbeitsstationen auf einen Virenscanner verzichten
und nur die �bergabestellen kontrollieren.
Wolfgang