Hi TB-Community

Ich bin wieder etwas Neues am Herumprobieren und wollte mir nun mal testweise einen Virenschutz installieren, um zu sehen, wie effektiv die (zumindest von den Herstellern) so hochgelobte Verhaltenserkennung/Heuristik tatsächlich ist.
Insbesondere möchte ich versuchen, einen normalen Betriebssystem-Aufruf mit mehreren Aufrufen zu ersetzen, die jeweils nur immer einen kleinen Teil der Arbeit verrichten.
Sprich, um in die Registrierung zu schreiben, kann man NtCreateKey/NtSetValueKey benutzen, ich will aber beispielsweise versuchen, NtCreateKey mit NtSaveKey & NtLoadKey zu ersetzen, schlicht und einfach um zu sehen, ob das immer noch als verdächtig erkannt wird.

So gibt es zig weitere Beispiele, wie man bestimmte schädliche Einzelaktionen ausführen kann, indem mehrere unverdächtige Aufrufe miteinander zu einem Ganzen kombiniert.
Und übrigens können auf 64-Bit-Betriebssystemen aufgrund von PatchGuard nur ein kleiner Teil der Aktionen erkannt werden: Physikalisch ist es z.B. unmöglich, NtWriteVirtualMemory (Schreiben in fremde Prozesse) zu erkennen, geschweige denn zu blockieren, weil Microsoft schlicht und einfach keine Filtermöglichkeit dafür vorgesehen hat.

Gesucht ist also konkret eine Schutzeinrichtung (Also offenbar Security-Suite, da ich den Hintergrundwächter brauche) mit Echtzeit-Verhaltenserkennung, die nicht nur dateibasiert (statisch) ist, sondern vorallem auch darauf reagiert, wie sich ein ausgeführtes Programm in Echtzeit verhält (dynamisch), ob es bis dato unbekannte Prozesse startet oder zu öffnen versucht, und dergleichen mehr.
Und da ja viele Tests die Ergebnisse passend zurecht biegen und eigentlich das Blaue vom Himmel lügen, frage ich lieber bei denen nach, die da am ehesten Ahnung und vorallem Erfahrung haben (und unabhängig sind).

Benutzbarkeit und Performance ist mir dabei völlig egal.

Wichtig sind einfach diese zwei Punkte:
- Fortschrittliche dynamische Laufzeit-Verhaltenserkennung
- Darf nur etwas kosten, wenn funktionsfähiger Hintergrundschutz für wenigstens ein paar Tage trotzdem GRATIS konfigurier- /verwendbar. (Bspw. Emsisoft 30 Tage-Test oder Kaspersky 30 Tage-Test...)

Namen von Security-Suiten, die mir in dem Sinn kommen:
- Kaspersky
- Malwarebytes Antimalware (die bluffen auch irgendwie recht, erscheint mir..)
- Emsisoft, (bei denen soll es glaub 100% geben, gut, in Sachen AntiVirus gibts schnell mal bei den meisten Herstellern >=100%)
- Avast, bei vielen installiert, Millionen Fliegen können nicht irren...
- Avira, das macht ne Menge Fehlalarme.. bei mir dann vielleicht berechtigte?

Welche Suite soll ich wählen - oder gibts noch weitere?

Bitte um (objektive) Aufklärung.


Grüsse

Microwave

jedes AV hat nen Echtzeitschutz. Und wenn man genau lesen würde verspricht Emsi keine 100%, das ist lediglich ein Artikel dass bei einem 4monatigen Dauertest 100% der verwendeten Samples, Urls und Co geblockt wurden.

UNd ich würde mal die Frage von M-K-D-B im andern Thema beantworten

Edit:

sehe das hast Du schon gemacht

Meiner Meinung nach sind die Suiten unnötig es genuegt ein AV-Scanner plus die Windows Firewall.

logo, aber das war hier nit die Frage.

Sorry Microwave, es sieht so aus als wenn Du die Eierlegende Wolfsmilchsau suchst.

zu Emsi:
Neu seit 2014 Emsi IS = Behavior Schutz
Alt Online Armor(wird aber noch verkauft und gepflegt) = HIPS läuft komplett anders wie Behavior Schutz könnte man mit Emsi Antimalware Kombinieren.
Aber ob Hips und Behavior Schutz zusammen gut laufen?

Malwarebytes Antimalware:
Ist keine Security-Suiten, sondern ein Antimalware.

Avast:
Hat vieles, aber auch vieles was man nicht braucht.

Avira:
Avira hat in der Vergangenheit gerne Nebenprodukte installiert(z.b:Toolbar)

Dr.Web Security Space:
hat z.b Zusätze wie Dr. Web SelfPROtect den schränkt den Zugriff böswilliger Objekte und Registry ein.
Und ermöglicht ein Automatisches Wiederherstellen von Programm-Modulen.

Kaspersky:
Mein letzte Erfahrung damit ist 10 Jahre her, da kann ein anderer User sich besser zu äußern.

Hitman AlertPro3:
mit Exploit Schutz, zur zeit noch in Beta unterwegs.

Neuber Security Task Manager:
mit SpyProtector.

Und so weiter.....

Manche deiner Experimentierte die Du machen möchtest, wirst Du nur mit Programmen
wie Process Hacker sehen können.
Ob die Security-Suite mit den Verschiedenen Hintergrundwächtern(auch verschiedenen Techniken) erkennen und abwehren können?

Aber ich würde mich freuen wenn Du das Experiment gemacht hast, hier die Ergebnisse sehen zu können

Zitat:

zu Emsi:
Neu seit 2014 Emsi IS = Behavior Schutz
Alt Online Armor(wird aber noch verkauft und gepflegt) = HIPS läuft komplett anders wie Behavior Schutz könnte man mit Emsi Antimalware Kombinieren.
Aber ob Hips und Behavior Schutz zusammen gut laufen?

das ist so nicht korrekt

Was ist im Speziellen nicht Korrekt Tom?

Code: Alles auswählenAufklappen

ATTFilter

Bei (OnlineAmor) HIPS Firewall ist es  nicht notwendig ständig nachzubessern
Die letzten Entwicklungen (Anbinden an die Emsisoft Cloud, wo Dateien geprüft werden bevor das HIPS vllt. unnötigerweise rumnörgelt; Funktion um Ordner und Registrypfade manuell zu schützen in der Premium)
In der IS ist nur eine Firewall, die jedoch eine komplett neue Eigenentwicklung darstellt und nichts mit der FW in OA zu tun hat.
Anstelle der HIPS Komponenten ist der Verhaltensblockerunterbau der EAM enthalten, der um einiges eleganter und intelligenter ist als so einige HIPSe. Aus PCsicherheit
         

Zitat:

Neu seit 2014 Emsi IS = Behavior Schutz

Der Behaviour Blocker ist schon ewig bei EAM drin, also nicht neu und nicht extra für EIS gebaut.

Zitat:

Alt Online Armor(wird aber noch verkauft und gepflegt) = HIPS läuft komplett anders wie Behavior Schutz könnte man mit Emsi Antimalware Kombinieren.
Aber ob Hips und Behavior Schutz zusammen gut laufen?

Komplett unterschiedliche Dinge. OA wird immer noch verkauft und aktualisiert, weil es was ganz andres ist. Und die User, die EAM und OA nutzen, haben ja quasi den Behaviour Blocker und HIPS .

Okay, dann hatte ich falsche Informationen, oder die Informationen falsch verstanden

Nur bei OA plus EAM, wurde mein Rechner zur Schnecke....
mit EIS läuft er schön Rund....auch wenn man nicht ganz soviel einstellen kann, wie bei der OA.

Zitat:

Nur bei OA plus EAM, wurde mein Rechner zur Schnecke....

Da tippe ich auf OA, aber das Problem ist in Menge eigentlich nicht bekannt.

Zitat:

mit EIS läuft er schön Rund....auch wenn man nicht ganz soviel einstellen kann, wie bei der OA.

HIPS un die ganzen Meldungen von OA sind auch nur was für erfahrene Benutzer und Freaks (im positiven Sinne). Selbst mir ist das persönlich zuviel, und die Einstellungen braucht man als Normal-User auch nicht unbedingt.

Danke für die Antworten. Da das Grundkonzept steht, beliebigen Code von lsass.exe ausführen zu lassen (wenn auch nur als Admin), werde ich wohl mal schauen, was Emsisoft full-fledged dazu meint. Gemäss kürzlichen Nachforschungen sollen direkte Betriebssystemaufrufe (Intel "syscall"-Befehl) nämlich von vorneherein als verdächtig erkannt werden, auch wenn keinerlei API-Namen (Importe) im Programm vorkommen.

Auf Windows 8.1 (meinem Testsystem) sollen AV-Dienste ja geschützt gestartet werden können (protected process), möglicherweise lässt sich der Schutz mittels lsass irgendwie aushebeln so dass ich zumindest nach einem Neustart die Antivirensoftware abschiessen könnte, vorausgesetzt die Software hat keinen kernelbasierten Schutz. Mal schauen.


Grüsse - Microwave

Hi Leute, oder schrauber:

Habe nun endlich das neueste Emsisoft Antimalware installiert und angetestet. Leider habe ich übersehen, dass Emsisoft Online Armor wohl noch stärker wäre, allerdings geht das Neuinstallieren jetzt vermutlich nicht mehr, obwohl ich es nicht probiert habe.
Irgendwie muss ja auch gewährleistet sein, dass ich nach 28 Tagen nicht einfach ein anderes Produkt von Emsisoft gratis darüberinstalliere und so umsonst zu kostenpflichtigem Virenschutz komme, die werden sich wohl schon was dabei gedacht haben...

Jedenfalls ist auf meinem Rechner Windows 10 TP, Build 9926 in der amd64-Version installiert, mit Internet Explorer wird gesurft und der Windows Defender ist registrierungsmässig deaktiviert.
Zusätzlich habe ich durch einen Trick lokales Kerneldebugging installiert, was es mir (und anderen) erlaubt, unbemerkt von einem elevated ausgeführtem Usermode-Programm auf Kernel-Speicher zuzugreifen und dort beliebigen Code im Kernelmodus auszuführen.
Die Installation erfolgte natürlich so, dass weder im Regedit noch in einem FRST64-Scan inkl. Addition.txt auch nur die kleinste Auffälligkeit zu sehen wäre.

Der erste Eindruck von Emsisoft war eine saubere und aufgeräumte Programmerscheinung.
Habe sogleich alles an Schutz aktiviert, was man so aktivieren kann, der Paranoid-Modus wurde ebenfalls eingeschaltet, Scannen der Dateien bereits beim Lesen, usw.
Interessant wurde es dann gleich: Würde erkannt werden, dass auf dem Rechner etwas nicht stimmt?
Ein vollständiger Virenscan mit direktem Disk-Zugriff und Anti-Rootkit-Unterstützung förderte dann aber nichts zutage und selbst nach einem Neustart funktionierte die "Hintertüre" noch vollumfänglich.
Auch die Kontaktaufnahme zum Geräteobjekt des Kerneltreibers wurde nicht geblockt oder beanstandet.


Der nächste Test bestand darin, einfach mal unverblümt ein bändesprechendes "NtOpenProcess" als Administrator aufzurufen, um so Schreibrecht auf das Memory der lsass.exe zu erhalten. (Gelänge dies, hätte ich automatisch alle tollen Systemprivilegien wie "SeTcbPrivilege", "SeLockMemoryPrivilege" und weitere).
Meinen Versuch beanstandete Emsisoft dann jedoch in schönem Rot. Der Schutz war aber schnell ausgehebelt:
Bereits beim ersten Versuch, einen direkten Systemaufruf (Intel syscall instruction 0F 05) auszuführen, um die lsass.exe im Speicher zu öffnen, erlaubte sich Emsisoft Antimalware einen ganz groben Patzer und brachte keine einzige Warnung.
Der Beweis ist unten angehängt.

Ich weiss jetzt nicht, ob es am neuen Windows 10 liegt, dass Emsisoft den Versuch nicht meldet. Vielleicht gibt es auf älteren Betriebssystemen einen zusätzlichen Schutz mit den ObRegisterCallback-Routinen und PsSetCreateProcessNotifyRoutine / PsSetCreateThreadNotifyRoutine, der auf Windows 10 sicherheitshalber noch nicht funktioniert, weil es zu neu ist.
Dann bin ich persönlich aber der Meinung, dass man den Benutzer warnen soll, dass nicht der ganze Schutz aktiviert werden konnte.
Wenn ich mich jetzt dämlich stelle, suggeriert die Emsisoft-Übersicht, dass alles in Ordnung und der PC super geschützt sei, obwohl dem definitiv nicht so ist.

Dabei habe ich gerade die offensichtlichsten Methoden gewählt. Es geht erwiesenermassen noch so viel tausendmal subtiler, Vollzugriff auf lsass.exe (und damit den Computer) zu erhalten!!!

Ich weiss halt einfach, warum ich den Dingern nicht vertraue..nichts für ungut

Kann ich jetzt einfach Emsisoft via Systemsteuerung deinstallieren und Kaspersky installieren, oder muss ich etwas spezielles beachten dabei?


Grüsse - Microwave

ein AV programm auf einem "verseuchten" system zu installieren is schwachsinn .
schon versucht zu erst emsi zu installieren, dann deinen dropper? und zwar doppelklick auf den dropper, nicht noch per hand modifikationen machen die die malware nie elbst machen würde?

und win10 wird eh nicht supportet, aber egal

einfach deinstallieren reicht.

Hi schrauber, warum bietet mir das Programm denn im Zuge der vier Installationsschritte an, einen Scan durchzuführen?
Oder gilt dieser nur für PUPs? Dass die leicht zu erkennen sind, ist mir soweit bewusst...

Ich bin gerade daran, einen Dropper zu entwerfen, der den Kerneldebugger installiert, während Emsisoft am Laufen ist. Ich setze natürlich voraus, dass der "Dropper" mit Adminrechten ausgeführt wird - ich weiss, dass es zwar UAC-Exploits gibt und ich auch mit beschränkten Rechten Code ausführen könnte, aber das ist hier erstmal nicht das Ziel.

Was das Prozesse öffnen angeht - Ich gehe davon aus, dass Emsisoft danach nur noch wenig entgegensetzen kann, weil das Öffnen des Prozesses das auffälligste Merkmal darstellt, wie Emsisoft ja auch folgerichtig erkennt. Nur geschieht die Erkennung offenbar bloss über Hooks und nicht im Kernel, weshalb ich mit diesen "rohen" syscalls den Schutz einfach umzirkeln kann.
Ist dies einmal geschehen, kann ich ja auch lsass.exe bestimmte Aktionen für mich durchführen lassen - was dann ohnehin wieder als legitim erkannt werden würde.
Ich kann also auch lsass meinen Kerneldebugger installieren lassen..

Übrigens sind diese Modifikationen nicht wirklich solche, wenn du die syscalls meinst. Ich führe nämlich einfach vordefinierten Code in meinem eigenen Prozess (dem Dropper) aus:

Code: Alles auswählenAufklappen

ATTFilter

typedef NTSTATUS(*PNT_OPEN_PROCESS)(PHANDLE pProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);
ULONGLONG g_usershellcode[] = { 0x00000026b8d18b4c, 0x0000441f0fc3050f };

status = NtAllocateVirtualMemory(INVALID_HANDLE_VALUE, &ptr, 0, &bleh, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
NtRaiseHardError(status, 0, 0, NULL, 0, &response);
RtlCopyMemory(ptr, g_usershellcode, sizeof(g_usershellcode));
status = ((PNT_OPEN_PROCESS)ptr)(&hProc, PROCESS_ALL_ACCESS, &oa, &cid);
         

Nun habe ich Vollzugriff auf "lsass.exe".


Grüsse - Microwave

Zitat:

Hi schrauber, warum bietet mir das Programm denn im Zuge der vier Installationsschritte an, einen Scan durchzuführen?
Oder gilt dieser nur für PUPs? Dass die leicht zu erkennen sind, ist mir soweit bewusst...

Ich verstehe nicht ganz was du meinst.

ein av ist immer vor dem Befall auf dem Gerät. Ein AV zu testen, in dem ich es auf einem verseuchten System installiere und dann scanne, ist absoluter Schwachsinn.

Ich wiederhole mich gerne:
Ein AV Programm braucht keine Scan und Removalfunktion.