seit Windows 8 ersetzt Windows Defender die MSE

Zitat:

Zitat von burningice

seit Windows 8 ersetzt Windows Defender die MSE

Danke

Windows 10 mit Protected Process, Device Guard, Credential Guard, Virtualization Based Code Integrity und wie der ganze Spass noch heisst.
Dazu natürlich Brain.exe V1.0.

Sorry, aber meiner bescheidenen Meinung nach helfen Antivirenprogramme nur gegen schrottige Skiddy-Malware, die wirklichen Dinger gehen einfach durch.
Wie oft war es jetzt schon so, dass man dann wieder von Duqu 3.0 und Uroburos liest, die schon 4 Jahre aktiv sind??
Wollt oder könnt ihr nicht gegen so Kram schützen?
Sogar ich war kurz davor, eine paranoidest eingestelle Kaspersky Internet Security Suite 2015 einfach zu deaktivieren (ohne Adminrechte!),
weil nicht beachtet wurde, dass audiodg.exe, das ein "Trusted Process" ist, gewhitelisted ist, und aber sogenanntes "Process Hollowing" dazu führt,
dass mein Angreifer-Code in audiodg.exe ausgeführt wird, und das vertraute audiodg.exe so trotzdem Vollzugriff auf den GUI-Prozess erhielt.
Nur, weil ich unbedingt noch Adminrechte erschleichen wollte und die Suite darob aber doch anschlug, gibt's noch kein PoC davon.
Von Emsisoft will ich mal gar nicht reden, das mit Usermode-Hooks probiert, Schadsoftware-Installationen zu verhindern:
Ich (und andere) bekommen es hin, OHNE Miteinbezug von der ntdll.dll-Bibliothek zu machen, was ich will, faktisch sind die Hooks nutzlos.
Was hilft, sind einzig die Neuerungen von Windows 8.1 und vor Allem Windows 10.
Doch wer 32 Bit einsetzt, hat ohnehin verloren -.-

Auch beim Signaturenscan (im Besonderen dem heuristischen Scan) besteht meiner Meinung nach Nachholbedarf.
Ich kann einfach ein Programm hochladen, dass ausschliesslich Importe von ntdll.dll benutzt und das wird einfach FUD 0/56 durchgelassen bei virustotal, obwohl kein einziger Crypter eingesetzt wurde, der Binärcode liegt einfach offen zutage!
Auch hier muss man sich fragen: Das ist doch komisch, wenn ein Programm Exporte von ntdll.dll benutzt und nicht von Microsoft kommt?
Da kann man doch mindestens ein "Heur.Suspicious" bringen? Aber nein, kein Antivirenprogramm kommt auf so eine hochstehende Idee.
Ein zweites Mal sorry, aber wenn ich ein Programm in die Finger bekomme, und das ntdll.dll referenziert, dann weiss ich mit Sicherheit, dass einfach etwas faul ist.
Weshalb reicht die Win32-API nicht für dieses spezielle Programm aus? Weil CreateRemoteThread erkannt und geblacklisted wird? Weil man CreateRemoteThread nicht für sitzungsweite DLL-Injektionen brauchen kann seit Vista? Alarmstufe Rot!!!
Nur autochk, smss, csrss und wenige weitere sollten direkten Zugriff auf die Native API benötigen, wenn das ein anderes Programm tut, müsste man das meiner bescheidenen Meinung nach einfach anzeigen.

Freundliche Grüsse - Microwave

P.S. Bzgl. HIPS: Das war die Situation vor 4 Monaten, vielleicht wurde ja inzwischen nachgebessert.