mikrocontroller.net

Forum: PC Hard- und Software Virenscanner die in Javascript oder als Webassembly laufen?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Es kennt sicher jeder die Seite Virus Total wo man Dateien hochladen 
kann um dann zu prüfen, ob diese einen "bekannten" Virus oder sonstige 
"bekannte" Schadroutinen enthalten.

Allerdings muss man bei der die Dateien eben hochladen, man gibt die 
Kontrolle über diese Dateien also an einen fremden Server ab und die 
Größe des Downloads ist zu dem noch begrenzt.


Alternativ dazu, könnte man sich die Antivirensoftware auch einfach auf 
sein System installieren und den Virenscan lokal durchführen.
Aber das hat wiederum den Nachteil, dass manche Antivirensoftware stark 
ins System eingreift, weil sie mehr sein will, als nur ein bloßer 
Virenscanner.
Und das kann dann zu Problemen mit dem Betriebssystem führen.

Daher meine Frage, gibt es auch Virenscanner die als Javascript oder als 
Webassembly laufen?
Die also mitsamt ihrer Virendatenbank vom Hersteller geladen und dann 
via Javascript oder Webassembly lokal im Browser ausgeführt werden, so 
dass  keine Dateigrößenbeschränkung besteht und auch keine Dateien auf 
irgendwelche Server hochgeladen werden müssen und auf jedem OS mit 
aktuellen Browser funktionieren? Der Scan also ausschließlich auf dem 
eigenen Rechner durchgeführt wird, ohne das man aber eine 
Antivirensoftware auf sein System installieren muss?

So reine Scanner, die sich nicht ins System einnisten und nur scannen 
scheint es nämlich außer vielleicht ClamWin nicht mehr zu geben.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> So reine Scanner, die sich nicht ins System einnisten und nur scannen
> scheint es nämlich außer vielleicht ClamWin nicht mehr zu geben.

Wasch mich, aber mach den Pelz nicht nass? Ankommende Viren zu erkennen 
macht ein Guard WENN er sie kennt. Kluge Viren kommen leider versteckt 
oder haben Eigenschaften, die ein Virenscanner NOCH nicht kennt. :-) 
Besser ist das System so dicht zu machen, daß böse Geister gar keine 
Rechte haben. Leider kann man dann auch kaum noch arbeiten.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
oszi40 schrieb:
> Nano schrieb:
>> So reine Scanner, die sich nicht ins System einnisten und nur scannen
>> scheint es nämlich außer vielleicht ClamWin nicht mehr zu geben.
>
> Wasch mich, aber mach den Pelz nicht nass? Ankommende Viren zu erkennen
> macht ein Guard WENN er sie kennt. Kluge Viren kommen leider versteckt
> oder haben Eigenschaften, die ein Virenscanner NOCH nicht kennt. :-)
> Besser ist das System so dicht zu machen, daß böse Geister gar keine
> Rechte haben. Leider kann man dann auch kaum noch arbeiten.

Es geht nicht um ankommende Viren, sondern um Dateien die man zum 
überprüfen dem Virenscanner gibt. Z.B. ein privates Word oder PDF 
Dokument, das willst du nicht auf Virus Total uploaden.

Um einen im Hintergrund laufenden Onlinescanner geht es hier also gar 
nicht. Siehe oben.

Autor: Uhu U. (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Alternativ dazu, könnte man sich die Antivirensoftware auch einfach auf
> sein System installieren und den Virenscan lokal durchführen.

Virustotal macht ja ein bisschen mehr: es lässt einen ganzen Sack voll 
Virenscanner auf die Datei los. Das machen die nicht aus Jux und 
Dollerei, sondern weil ein wesentlicher Teil des Virenscans aus einer 
Signaturprüfung besteht und diese Signatur muss dem Virenscanner vom 
Hersteller mitgegeben worden sein.

Wenn du jetzt einen einzigen Virenscanner auf deinen Rechner 
installierst, oder lädtst, dann hast du eben nur das Wissen dieses einen 
Scanners und wenn dem was durch die Lappen geht, hast du Pech gehabt.

> Alternativ dazu, könnte man sich die Antivirensoftware auch einfach auf
> sein System installieren und den Virenscan lokal durchführen.

Du müsstest also knapp 60 Virenscanner auf deinem System installieren…

> Daher meine Frage, gibt es auch Virenscanner die als Javascript oder als
> Webassembly laufen?

Wieviele Tage darf denn so ein Scan laufen?

Js ist eine interpretierte Sprache. Damit erreicht man nicht die 
Performance, die ein dedizierter Suchalgorithmus in nativem 
Maschinencode erreicht.

Autor: Selbermachen (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
im Prinzip kein Problem, Teufel liegt im Detail...

mit https://emscripten.org/ kannst du direkt C und C++ und vmtl. auch 
andere Sprachen in Webassembly kompilieren (Compiler-Frontend von 
LLVM)...
Läuft dann auch relativ flott im Browser. Exer nix für den 
System-Komplettscan mit 10TB an Daten, aber für einzelne Files bestimmt 
OK.

Damit verschiebt sich dein Problem auf: Du brauchst einen Virenscanner 
im Source-Code, den du für den Browser fit machst.

Da fällt mir im Moment nur ClamAV ein.

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Eingriffe ins System brauche ich nur wenn schon ein Virus aktiv ist (um 
den zu stoppen) oder wenn ich unbekannten Code tatsächlich ausführen 
möchte um auszuchließen, daß dieser Schaden anrichtet falls er Schadcode 
enthält.

Solange ich eine Datei bekomme, die ich nicht ausführen will, brauche 
ich keine Eingriffe ins System. Die kann ich mit diversen Tools 
untersuchen, ganz wie ich will. Theoretisch könnte man auch einen 
Virenscanner in PHP schreiben, der untersucht was der Code macht 
(heuristische Analyse) und das Ergebnis zurückmelden. Wäre in PHP 
ineffizient, aber würde funktionieren. Da dieser Code nie auf dem System 
gestartet wird, geht von ihm auch keine Gefahr für das System aus.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Uhu U. schrieb:
> Nano schrieb:
>> Alternativ dazu, könnte man sich die Antivirensoftware auch einfach auf
>> sein System installieren und den Virenscan lokal durchführen.
>
> Virustotal macht ja ein bisschen mehr: es lässt einen ganzen Sack voll
> Virenscanner auf die Datei los. Das machen die nicht aus Jux und
> Dollerei, sondern weil ein wesentlicher Teil des Virenscans aus einer
> Signaturprüfung besteht und diese Signatur muss dem Virenscanner vom
> Hersteller mitgegeben worden sein.

Ja, ich habe nichts anderes behauptet.
Aber es ist halt nicht für private Dokumente geeignet.


>
> Wenn du jetzt einen einzigen Virenscanner auf deinen Rechner
> installierst, oder lädtst, dann hast du eben nur das Wissen dieses einen
> Scanners und wenn dem was durch die Lappen geht, hast du Pech gehabt.

Ja.
Es spricht ja nichts dagegen, dass jeder Virenhersteller ne JS seitige 
Implementierung seiner Scannersoftware macht. Außer vielleicht IP.


>
>> Alternativ dazu, könnte man sich die Antivirensoftware auch einfach auf
>> sein System installieren und den Virenscan lokal durchführen.
>
> Du müsstest also knapp 60 Virenscanner auf deinem System installieren…

Das ist eines der Probleme. Steht eigentlich schon oben.
Die Webseiten sind dagegen unabhängig und höchstens von der Integration 
umständlich. Aber auch das wäre lösbar, wenn man wollte.


>
>> Daher meine Frage, gibt es auch Virenscanner die als Javascript oder als
>> Webassembly laufen?
>
> Wieviele Tage darf denn so ein Scan laufen?
>
> Js ist eine interpretierte Sprache. Damit erreicht man nicht die
> Performance, die ein dedizierter Suchalgorithmus in nativem
> Maschinencode erreicht.

Klar, aber mit Jit und Webassembly ist das noch in vertretbarem Rahmen.
Und das es schneller sei, als binärer nativer Code, habe ich ja nirgends 
behauptet.

Autor: vn n. (wefwef_s)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ben B. schrieb:
> Eingriffe ins System brauche ich nur wenn schon ein Virus aktiv ist (um
> den zu stoppen) oder wenn ich unbekannten Code tatsächlich ausführen
> möchte um auszuchließen, daß dieser Schaden anrichtet falls er Schadcode
> enthält.

Ach, und du glaubst also, dein Virenscanner kann dich da auf wundersame 
Art und Weise beschützen?

Nano schrieb:
> Es spricht ja nichts dagegen, dass jeder Virenhersteller ne JS seitige
> Implementierung seiner Scannersoftware macht. Außer vielleicht IP.

Und Kosten/Nutzen. Am Server von Virustotal läuft im Prinzip eine ganz 
normale Standard-Installation der Scanner, ist also nicht schwierig 
aufzusetzen, und für den Hersteller machts sowieso keinen Unterschied.
Eine eigene JS/WebAssembly-Version zu pflegen, würde für den Hersteller 
durchaus Aufwand bedeuten, den er sich nur machen wird, wenn er sich 
Einnahmen daraus verspricht.

Autor: vn n. (wefwef_s)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Aber nachdem ClamAV ja Open Source ist, kann sich ja mal jemand mit 
viel, viel Zeit die Arbeit machen und den Kern per Emscripten von C/C++ 
nach Javascript kompilieren.

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
> Ach, und du glaubst also, dein Virenscanner kann dich da
> auf wundersame Art und Weise beschützen?
Ach, und Du glaubst also, Dein ins System eingreifender Virenscanner 
kann Dich schützen, wenn er den Virus oder sein Einfallstor nicht 
erkennt?

Autor: 4ologiker (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Wie wäre es denn, für private Dateien NICHT-Virenanfällige Systeme und 
Dateiformate zu verwenden?
(ReST, s5, u.v.a.)

Ich meine: solche Dateien sind ja privat, also zeigt man sie 
neimandem...

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Verdammt, dann kann man sich damit ja nur die eigenen Rechner 
zerschießen!
;)

Nicht virenanfällige Dateiformate sind übrigens gar nicht so einfach, 
siehe z.B. OpenOffice mit "Bad Bunny".

Autor: vn n. (wefwef_s)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ben B. schrieb:
>> Ach, und du glaubst also, dein Virenscanner kann dich da
>> auf wundersame Art und Weise beschützen?
> Ach, und Du glaubst also, Dein ins System eingreifender Virenscanner
> kann Dich schützen, wenn er den Virus oder sein Einfallstor nicht
> erkennt?

Nein, ich glaube nicht, dass mich eine Antiviren-Schlangenöl-Suite vor 
irgendwas schützen kann, schon gar nicht, nachdem ich den Schädling 
bereits ausgeführt habe.
Ich glaube allerdings auch nicht an Wunder oder Religionen.

4ologiker schrieb:
> Wie wäre es denn, für private Dateien NICHT-Virenanfällige Systeme und
> Dateiformate zu verwenden?
> (ReST, s5, u.v.a.)
>
> Ich meine: solche Dateien sind ja privat, also zeigt man sie
> neimandem...

Nö, sowas ist doch irgendwie unsexy. Sachen, die nicht gut aussehen, 
will heute keiner mehr. Design hat Priorität.

Ben B. schrieb:
> Nicht virenanfällige Dateiformate sind übrigens gar nicht so einfach,
> siehe z.B. OpenOffice mit "Bad Bunny".

Komplexität ist halt der Sicherheit Feind.

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Nein, ich glaube nicht, dass mich eine Antiviren-Schlangenöl-Suite
> vor irgendwas schützen kann, schon gar nicht, nachdem ich den
> Schädling bereits ausgeführt habe.
> Ich glaube allerdings auch nicht an Wunder oder Religionen.
Ach sieh an, wir haben doch was gemein! :)

Autor: hehe (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
javascript kann nicht auf das dateisystem zugreifen...

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Javascript kann Dir aber die Browserkonfiguration sehr nachhaltig 
zerschießen, womit viele Endanwender in der Wiederherstellung leider 
bereits überfordert sind. Aber Du hast insofern Recht, Plugins können 
mehr Schaden anrichten wenn der Angreifer es schafft, daß der Benutzer 
der Installation zustimmt.

Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
hehe schrieb:
> javascript kann nicht auf das dateisystem zugreifen...

Das wollte ich auch gerade schreiben. Javascript läuft nicht ohne Grund 
in einer Sandbox, an deren Dichtigkeit intensiv gearbeitet wird. Es hat 
bzw. sollte keinen Systemzugriff haben.

Einzig beim Up- oder Download zu/von einem Webserver kann man da evtl. 
irgendwie zwischengrätschen.

An der Performance sollte es nicht liegen, gibt es doch inzwischen sogar 
SIP-Phones, komplette Text- und Bildverarbeitungen u.v.a in JS 
geschrieben ...

Autor: vn n. (wefwef_s)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Frank E. schrieb:
> hehe schrieb:
>> javascript kann nicht auf das dateisystem zugreifen...
>
> Das wollte ich auch gerade schreiben. Javascript läuft nicht ohne Grund
> in einer Sandbox, an deren Dichtigkeit intensiv gearbeitet wird. Es hat
> bzw. sollte keinen Systemzugriff haben.

Aha.
https://www.html5rocks.com/de/tutorials/file/dndfiles/

Ben B. schrieb:
> Javascript kann Dir aber die Browserkonfiguration sehr nachhaltig
> zerschießen

Wie?

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Z.B. Vollbildmodus, Mausklick-Fanglayer über die komplette Seite und 
alle Tastenanschläge umbiegen. Dazu noch ein schriller Alarmsound und 
eine "Windows-Alarmmeldung", daß unbedingt sofort "dieses 
Computer-Rettungs-Modul hier" eingeschaltet/aktiviert (=installiert) 
werden muß, "damit der Computer nicht durchbrennt und alle Daten 
unwiederbringlich verloren sind" und ich will nicht wissen wieviele 
Leute in ihrer ersten Ratlosigkeit darauf hereinfallen.

Autor: vn n. (wefwef_s)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Aä, inwiefern hat in deinem Szenario nun Javascript die 
Browserkonfiguration zerschossen?

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Browser kann sich den Vollbildmodus merken, ggf. kann man auch die 
Startseite verbiegen und wenn der Benutzer besagtes Plugin startet, ist 
sowieso alles vorbei (was dann aber nichts mehr mit JS zu tun hat).

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
hehe schrieb:
> javascript kann nicht auf das dateisystem zugreifen...

Das muss es auch nicht.
Da man den Upload mit dem Browser macht.

Natürlich taugt so ein Verfahren nur für einzelne Dateien und nicht für 
tausende von Dateien auf der Festplatte, aber das ist ja auch nicht das 
Ziel, sondern es geht nur um einzelne Dateien. So wie man das auch bei 
Virus Total handhaben würde, nur eben auch mit privaten Dateien.

Wenn man ein paar mehr Dateien hat, könnte man die auch in ein Zip 
Archiv packen, das geht dann etwas bequemer. Die JS Virenscan 
Infrastruktur müsste dafür dann natürlich auch ausgelegt sein.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Selbermachen schrieb:
> im Prinzip kein Problem, Teufel liegt im Detail...
>
> mit https://emscripten.org/ kannst du direkt C und C++ und vmtl. auch
> andere Sprachen in Webassembly kompilieren (Compiler-Frontend von
> LLVM)...
> Läuft dann auch relativ flott im Browser. Exer nix für den
> System-Komplettscan mit 10TB an Daten, aber für einzelne Files bestimmt
> OK.
>
> Damit verschiebt sich dein Problem auf: Du brauchst einen Virenscanner
> im Source-Code, den du für den Browser fit machst.
>
> Da fällt mir im Moment nur ClamAV ein.

Ja, das könnte man machen und würde technisch sicherlich gehen.
Macht bei ClamAV allerdings keinen Sinn, da man den auch als nicht 
invasives Programm installieren bzw. nutzen kann. Insofern kann man sich 
da den Umweg über Javascript sparen.

Was mich jetzt hier eher interessiert hätte, wenn kommerzielle 
Antivirenhersteller so etwas zur Verfügung stellen würden.
So dass man private Dateien im Browser lokal untersuchen kann, aber 
trotzdem
von dem Virenknowhow der Antivirenhersteller profitieren könnte.

Momentan nutze ich unter Windows nämlich nur den MS Defender und ClamWin 
und bin damit auf deren Erkennungsrate beschränkt.

Wenn ich keine privaten Daten habe, dann nutze ich für einzelne 
Downloads noch Virustotal um einen breiteren Test an den Dateien 
durchführen zu können, ein Upload des Hashs reicht übrigens schon um zu 
sehen, ob das schon einer vor einem getan hat.
Denn nicht jede Antivirenschutzsoftware hat die gleiche Erkennungsrate 
bei einem bestimmten Virus. Beim einen Virus kann die AV Software des 
einen Herstellers besser sein, als die des anderen und beim anderen 
Virus sieht's schon wieder ganz anders aus.

Das Gesamtbild der Vielzahl von AV Software, wie man sie bei Virus Total 
erhält, lässt dann aussagekräftigere Rückschlüsse zu, ob die Datei einen 
Virus enthalten könnte oder eher ein false positiv ist.

Aber genau diesen Vorteil hat man bei privaten Dateien nicht, weil man 
dazu die Privatsphäre der Dateien aufgeben müsste, wenn man die Datei 
auf virus total hochlädt.
Der andere Nachteil ist die Größbeschränkung.

Autor: Frank E. (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
vn n. schrieb:

> Aha.
> https://www.html5rocks.com/de/tutorials/file/dndfiles/

Ja gut, aber nur lesen.

Halte ich zwar bezüglich Vertraulichkeit für problematisch, aber so kann 
trotzdem kein Zeugs AUF den Rechner gelangen.

: Bearbeitet durch User
Autor: bofh (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Allerdings muss man bei der die Dateien eben hochladen, man gibt die
> Kontrolle über diese Dateien also an einen fremden Server ab und die
> Größe des Downloads ist zu dem noch begrenzt.

Jein. Du kannst bei VT auch suchen. Also von der Datei eine SHA256 
erstellen und die suchen. Wenn die Datei schon mal hochgeladen wurde, 
bekommst Du ein Ergebnis.

Ben B. schrieb:
> Eingriffe ins System brauche ich nur wenn schon ein Virus aktiv ist (um
> den zu stoppen) oder wenn ich unbekannten Code tatsächlich ausführen
> möchte um auszuchließen, daß dieser Schaden anrichtet falls er Schadcode
> enthält.

Wenn man den begründeten Verdacht hat, oder gar die Bestätigung, daß 
Malware aktiv ist, dann ist die einzige richtige Lösung das Plattmachen 
des Systems. Einem infiziertem System kann man in keinster Weise mehr 
trauen. Punkt.

Unbekannten Code führt man in einer isolierten Umgebung aus (VM (und ja, 
es sind Breakouts bekannt)). Die sollte dann auch so eingestellt sein, 
daß Änderungen mit dem Beenden verworfen werden. Eine lokale VM bootet 
in <1min; es gibt keine Entschuldigung, sowas nicht zu benutzen und 
stattdessen irgendwelchen Müll auf seinem Hauptsystem zu testen.


Wie immer gilt: Backups, Backups, Backups. Und zwar genau so: mindestens 
drei. Aber nicht nur die letzten drei Tage oder Wochen, sondern 
idealerweise mindestens ein Jahr zurück.

Autor: vn nn (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Nano schrieb:
> Was mich jetzt hier eher interessiert hätte, wenn kommerzielle
> Antivirenhersteller so etwas zur Verfügung stellen würden.
> So dass man private Dateien im Browser lokal untersuchen kann, aber
> trotzdem
> von dem Virenknowhow der Antivirenhersteller profitieren könnte.

> Eine eigene JS/WebAssembly-Version zu pflegen, würde für den Hersteller
> durchaus Aufwand bedeuten, den er sich nur machen wird, wenn er sich
> Einnahmen daraus verspricht.

Frank E. schrieb:
>> Aha.
>> https://www.html5rocks.com/de/tutorials/file/dndfiles/
>
> Ja gut, aber nur lesen.
>
> Halte ich zwar bezüglich Vertraulichkeit für problematisch, aber so kann
> trotzdem kein Zeugs AUF den Rechner gelangen.

Äh ja, natürlich nur lesen. Was andres war ja auch nicht Thema des 
Threads.

Ben B. schrieb:
> Der Browser kann sich den Vollbildmodus merken, ggf. kann man auch die
> Startseite verbiegen und wenn der Benutzer besagtes Plugin startet, ist
> sowieso alles vorbei (was dann aber nichts mehr mit JS zu tun hat).

Da wird die Suppe aber schön dünn...

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
bofh schrieb:
> Nano schrieb:
>> Allerdings muss man bei der die Dateien eben hochladen, man gibt die
>> Kontrolle über diese Dateien also an einen fremden Server ab und die
>> Größe des Downloads ist zu dem noch begrenzt.
>
> Jein. Du kannst bei VT auch suchen. Also von der Datei eine SHA256
> erstellen und die suchen. Wenn die Datei schon mal hochgeladen wurde,
> bekommst Du ein Ergebnis.

Das habe ich doch oben schon geschrieben.

Im Kontext geht es hier aber darum, wenn man wirklich private Daten 
überprüfen will, von denen wirst du keinen Hash finden und wenn doch, 
dann  könntest du noch ein ganz anderes Problem haben.
Der Hash nützt dir hier also nichts.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Der Hash nützt dir hier also nichts.

Ein Hash nützt Dir überhaupt wenig, sobald sich der Virus ändert.
Metamorphe Malware ändert sich bei jeder neuen Generation so stark, dass 
sich jede folgende Version von den vorherigen komplett unterscheidet. 
Die Änderungen am Code sorgen dafür, dass Signatur-basierte 
Antivirenprogramme große Schwierigkeiten dabei haben, die verschiedenen 
Versionen als ein und dasselbe Schadprogramm zu erkennen.

Autor: Dirk K. (merciless)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Es geht nicht um ankommende Viren, sondern um Dateien die man zum
> überprüfen dem Virenscanner gibt. Z.B. ein privates Word oder PDF
> Dokument, das willst du nicht auf Virus Total uploaden.

Rechner booten mit https://www.heise.de/download/product/desinfect-71642
privaten Schweinkram auf USB-Stick oder lokaler
Platte untersuchen, Reboot mit Standard-BS
-> Problem solved.

merciless

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dirk K. schrieb:
> Platte untersuchen, Reboot mit Standard-BS

Die Suche mit Hilfe eines anderen, sauberen Betriebssystems ist schon 
mal gut, aber, die Erfahrung hat gezeigt, daß leider nicht jedes 
Antivirenprogramm ALLE Viren kennt.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
oszi40 schrieb:
> Ein Hash nützt Dir überhaupt wenig, sobald sich der Virus ändert.
> Metamorphe Malware ändert sich bei jeder neuen Generation so stark,

Die Aufmerksamkeit lässt hier wohl echt zu wünschen übrig.
Erst muss ich bofh erklären, dass er auf der ganz falschen Baustelle ist 
und jetzt muss ich das bei dir auch machen.

Beim Hashupload auf Virus Toal geht es um den Hash einer Datei und nicht 
um den Hash einer Virusbytefolge.

Wenn bspw. eine gängige Datei, wie z.B. die neueste Version irgendeiner 
FOSS Software, auf Virus Total zwecks Überprüfung, bereits von Dritten 
upgeloaden wurde und für virenfrei befunden wurde und Virus Total die 
Datei speichert und sich einen Hash merkt, dann ist dieser Hash, ich geb 
dem mal den Namen Gustav, zu dieser Datei bei einem guten Hashverfahren 
wie bspw. sha512 so gut wie eindeutig.

So, und wenn du nun die neuste Version von so einer Software von 
irgendeinem Server downlädst und die Datei aber mit einer Metamorphen 
Malware befallen wurde, weil der Server selbst komprimiert ist und du 
nun deren Hash auf Virus Total überprüfst,
dann wirst du einen ganz anderen Hash haben, als den obigen Hash Gustav, 
weil eine Metamorphe Malware durch den Befall der Datei die Datei 
verändert und das dann automatisch einen neuen Hash ergibt.
D.h. die Malware ist nicht in der Lage, die Datei so zu befallen, dass 
der Hash bei einem noch starken Hashverfahren wieder der gleiche ist.
Und wenn es ihr gelänge, dann passt der Hash eines anderen Hashverfahren 
nicht mehr für diese Datei.

Bei deiner Baustelle, die du hier aufmachst, geht es um die 
Virussignatur.
Und ja, da besteht die Möglichkeit, dass die Antivirensoftware diesen 
Virus nicht entdeckt, weil er sich von A zu A' verändert hat. Aber genau 
deswegen benutzt man Virus Total, weil du da noch weitere 
Antivirensoftware hast und die ein oder andere könnte dann A' entdecken 
und wenn nicht, dann hast du eben verloren.

> Die Änderungen am Code sorgen dafür, dass Signatur-basierte
> Antivirenprogramme große Schwierigkeiten dabei haben, die verschiedenen
> Versionen als ein und dasselbe Schadprogramm zu erkennen.

Das ist alles bekannt, das ist schon seit > 25 Jahren bekannt und 
deswegen versuchen es Antivirenhersteller auch mit Heuristiken und 
Nutzer eben dem Breitspektrumantivrenscan, den man auf Virus Total 
bekommt.

Aber all das, die Virensignatur und metmorphe Malware hat eben nichts 
mit dem Hash einer sauberen Datei zu tun.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Dirk K. schrieb:
> Nano schrieb:
>> Es geht nicht um ankommende Viren, sondern um Dateien die man zum
>> überprüfen dem Virenscanner gibt. Z.B. ein privates Word oder PDF
>> Dokument, das willst du nicht auf Virus Total uploaden.
>
> Rechner booten mit https://www.heise.de/download/product/desinfect-71642
> privaten Schweinkram auf USB-Stick oder lokaler
> Platte untersuchen, Reboot mit Standard-BS
> -> Problem solved.
>
> merciless


Auch du hast das Thema gänzlich verfehlt.
Man sieht, es wird so langsam Herbst und dunkel.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Aber all das, die Virensignatur und metmorphe Malware hat eben nichts
> mit dem Hash einer sauberen Datei zu tun.

Das hast Du schön erklärt. Es sind trotzdem 2 Baustellen. Der Brief an 
Deine Oma ist einmalig im Netz. Dafür wird Virustotal noch keine 
Signatur haben und der Makrovirus, der drin ist, könnte so speziellll 
sein, daß er nur 1x vorhanden ist. Dann wird er kaum gefunden werden 
(höchstens wenn er typische Dummheiten macht).

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
oszi40 schrieb:
> Nano schrieb:
>> Aber all das, die Virensignatur und metmorphe Malware hat eben nichts
>> mit dem Hash einer sauberen Datei zu tun.
>
> Das hast Du schön erklärt. Es sind trotzdem 2 Baustellen.

Richtig, es sind 2 Baustellen, aber warum sagst du jetzt trotzdem? Du 
hast es nicht gewusst, sondern dich falsch auf den Hash einer Datei 
bezogen, der hier nicht relevant war.
Ich wiederhole noch einmal deinen Satz:
"Ein Hash nützt Dir überhaupt wenig, sobald sich der Virus ändert."
und zitierst hast du meinen Bezug auf den Hash einer Datei.
Warum sagst du nicht einfach: "Ja sorry, habe was ganz anderes gemeint, 
nicht aufgepasst, usw.?"


> Der Brief an
> Deine Oma ist einmalig im Netz.

Wenn er auf Virustotal ist, dann ist das, wie ich bereits sagte, noch 
ein ganz anderes Problem.


> Dafür wird Virustotal noch keine
> Signatur haben und der Makrovirus, der drin ist, könnte so speziellll
> sein, daß er nur 1x vorhanden ist.

Die Datei wird auf Virustotal aus Gründen des Threadthemas von mir gar 
nicht erst auf Virustotal hochgeladen und meine Oma macht das auch 
nicht, die lebt nicht mehr und könnte es auch gar nicht.
Nochmal, Virus Total ist nur für öffentliche nicht private Dateien.
Für private Dateien bräuchte es eine Antiviren Infrastruktur, die auf 
Javascript oder Webassembly aufbaut.


> Dann wird er kaum gefunden werden

Für nicht private Daten, also öffentliche, sagte ich dazu schon etwas in 
meinem letzten Posting. Virustotal ist im Prinzip ein 
Breitdpektrumvirenscanner, also so etwas wie eine 
Breitspektrumantibiotika
und was passiert, wenn keiner greift, das sagte ich bereits, "dann hast 
du eben verloren."

Du wiederholst mich also nur und hast allein mit diesem Kommentar nichts 
neues beigetragen.

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Da wird die Suppe aber schön dünn...
Was willst Du damit sagen?

Meine, ist ja schön wenn Du damit kein Problem hast und das alleine 
reparieren kannst - aber Du glaubst bestimmt gar nicht wieviele Leute 
bei sowas externe Hilfe benötigen, weil ihnen meistens nicht mal die 
Abläufe klar sind.

Autor: Dirk K. (merciless)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Nano schrieb:
> Auch du hast das Thema gänzlich verfehlt.
> Man sieht, es wird so langsam Herbst und dunkel.

Also ICH muss private Dokumente nicht scannen,
die sind in Formaten, die keine Viren unterstützen.
Bei PDFs wird auch alles verboten, was Scripte
und eingebettete Objekte angeht. Aber du willst
mit JS nach Viren scannen? Wer hier wohl das Thema
verfehlt hat...

merciless

Autor: vn n. (wefwef_s)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ben B. schrieb:
>> Da wird die Suppe aber schön dünn...
> Was willst Du damit sagen?

Mir fält weder ein Browser ein, der sich einfach so Fullscreen merkt, 
noch einer, wo man  "die Startseite verbiegen" kann. Und dass ein 
heruntergeladenes Plugin mit JS nix zu tun hat, hast du ja selbst 
gemerkt.
Genauso könnte man sagen, ohne HTML wäre Phishing auch nicht möglich...

Dirk K. schrieb:
> Also ICH muss private Dokumente nicht scannen,
> die sind in Formaten, die keine Viren unterstützen.
> Bei PDFs wird auch alles verboten, was Scripte
> und eingebettete Objekte angeht.

Gerade PDF und MS Office sind immer wieder Einfallstore, auch mit Macros 
bzw. embedded Javascript abgedreht...

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Genauso könnte man sagen, ohne HTML wäre Phishing auch nicht möglich...
Sorry aber das ist doch mal wieder ein typischer Bullshit-Vergleich. 
Egal welches System man für Onlinebanking verwendet (ob nun mit HTML 
oder ohne), es wird immer für Phishing anfällig sein. Außer man schafft 
es, daß Angreifer definitiv keine eigenen Seiten erzeugen können und 
auch den Datenverkehr nicht mitlesen können. Viel Glück!

Autor: Dirk K. (merciless)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
vn n. schrieb:
> MS Office
Was ist das?

merciless

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Daten bekommt man von überall. Sollte man sich bei dieser Diskussion um 
die Sorte eines Schlangenöls streiten, sondern eine bessere Lösung 
finden?

Autor: vn n. (wefwef_s)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ben B. schrieb:
>> Genauso könnte man sagen, ohne HTML wäre Phishing auch nicht möglich...
> Sorry aber das ist doch mal wieder ein typischer Bullshit-Vergleich.
> Egal welches System man für Onlinebanking verwendet (ob nun mit HTML
> oder ohne), es wird immer für Phishing anfällig sein. Außer man schafft
> es, daß Angreifer definitiv keine eigenen Seiten erzeugen können und
> auch den Datenverkehr nicht mitlesen können. Viel Glück!

Ohne HTML kann ein Angreifer das Corporate Design meiner Hausbank nicht 
nachbauen!!11!1

Autor: Ben B. (Firma: Funkenflug Industries) (stromkraft)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ohne das Internet auch nicht!!!!!!!111einseinself

: Bearbeitet durch User
Autor: Bernd K. (prof7bit)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ben B. schrieb:
> Javascript kann Dir aber die Browserkonfiguration sehr nachhaltig
> zerschießen

Nein das kann es nicht. Weder nachhaltig noch sonst irgendwie.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.