|
| Online Virus Scanner ? Fra : Kim |
Dato : 31-01-09 20:50 |
|
Hvor effektive er de egentlig ?
F-Secure Online Virus Scanner (version 3.3)
fandt kun lidt mailware
Kaspersky Online Virus Scanner
Har kørt en scanning på 1 mappe, men er der ikke
mulighed for at slette/Fix det snavs man evt har fundet ?
Den fandt 2 stk
Infected: Packed.Win32.Black.a1
Infected: Backdoor.Win32.SdBot.jrr
Mvh Kim
| |
Root Kit (31-01-2009)
| Kommentar Fra : Root Kit |
Dato : 31-01-09 21:41 |
|
On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>Hvor effektive er de egentlig ?
Online virus scanning er pr. definition noget af det mest utroværdige
af slagsen.
| |
Kent Friis (31-01-2009)
| Kommentar Fra : Kent Friis |
Dato : 31-01-09 22:14 |
|
Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>
>>Hvor effektive er de egentlig ?
>
> Online virus scanning er pr. definition noget af det mest utroværdige
> af slagsen.
Med hvilken begrundelse?
En online virusscanner er stort set det eneste der på samme tid
opfylder to basale krav til en troværdig virusscanner.
- Altid opdateret
- Read-only medie, så en evt. virus ikke kan inficere den.
En alm. virusscanner vil enten være installeret på harddisken, hvor
virus'en kan deaktivere den, eller ændre den så den ikke opdager
virussen, eller ligge på en CD-ROM, hvor den ikke bliver opdateret.
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Root Kit (01-02-2009)
| Kommentar Fra : Root Kit |
Dato : 01-02-09 01:15 |
|
On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>
>>>Hvor effektive er de egentlig ?
>>
>> Online virus scanning er pr. definition noget af det mest utroværdige
>> af slagsen.
>
>Med hvilken begrundelse?
Simpelt.
Malware-fjernelse vha scanning er i forvejen som udgangspunkt
utroværdigt.
Malware-fjernelse vha online scanning som forudsætter et kørende
system hvor malwaren har alle muligheder for at skjule sig er om
muligt endnu mere utroværdigt.
>En online virusscanner er stort set det eneste der på samme tid
>opfylder to basale krav til en troværdig virusscanner.
>
>- Altid opdateret
At sammenligne med en ikke-opdateret scanner er ikke rimeligt.
>- Read-only medie, så en evt. virus ikke kan inficere den.
Malware behøver ikke inficere andet end den base anti-virusscanneren
baserer sig på.
| |
Kent Friis (01-02-2009)
| Kommentar Fra : Kent Friis |
Dato : 01-02-09 01:48 |
|
Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>
>>>>Hvor effektive er de egentlig ?
>>>
>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>> af slagsen.
>>
>>Med hvilken begrundelse?
>
> Simpelt.
>
> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
> utroværdigt.
Den eneste sikre måde at fjerne det på er en geninstallation. Det gør
ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
> Malware-fjernelse vha online scanning som forudsætter et kørende
> system hvor malwaren har alle muligheder for at skjule sig er om
> muligt endnu mere utroværdigt.
En installeret virusscanner kan være inficeret af virus'en, så den
ikke opdager noget. Det kan en online-scanner ikke.
>>En online virusscanner er stort set det eneste der på samme tid
>>opfylder to basale krav til en troværdig virusscanner.
>>
>>- Altid opdateret
>
> At sammenligne med en ikke-opdateret scanner er ikke rimeligt.
Man bør altid køre en virusscanner fra et read-only medie. Nutildags
er det typisk CD-ROM, som nødvendigvis vil være ikke-opdateret når
man får brug for den (man har jo naturligvis brændt den inden
computeren blev inficeret).
>>- Read-only medie, så en evt. virus ikke kan inficere den.
>
> Malware behøver ikke inficere andet end den base anti-virusscanneren
> baserer sig på.
Hvad mener du?
Når man booter fra et read-only medie, og kører virusscanneren,
hvilken base er det så den kan inficere?
Hvilken type virusscanner mener du er bedre end en online-scanner?
Kan du nævne andre der kan opfylde både "altid opdateret" og
"read-only medie" på en gang?
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Asbjorn Hojmark (01-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-02-09 10:28 |
|
On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
> En installeret virusscanner kan være inficeret af virus'en, så den
> ikke opdager noget. Det kan en online-scanner ikke.
De online-scannere, jeg har set, har reelt været programmer, der blev
downloadet og derefter eksekveret. De kan være lige så inficerede som
de programmer, der ligger mere fast på pc'en.
-A
--
http://www.hojmark.org/
| |
Allan Olesen (01-02-2009)
| Kommentar Fra : Allan Olesen |
Dato : 01-02-09 10:38 |
|
Asbjorn Hojmark wrote:
> On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> En installeret virusscanner kan være inficeret af virus'en, så den
>> ikke opdager noget. Det kan en online-scanner ikke.
>
> De online-scannere, jeg har set, har reelt været programmer, der blev
> downloadet og derefter eksekveret. De kan være lige så inficerede som
> de programmer, der ligger mere fast på pc'en.
Jeg tror, Kent Friis mente:
"Kan være inficeret af virus, som befinder sig på det testede system."
Det er jo - uanset om man kører online scanning, downloader en installer
eller installerer fra CD - lidt sværere at gardere sig mod virus i
antivirus-leverandørens systemer.
--
Allan Olesen
| |
Asbjorn Hojmark (01-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-02-09 11:17 |
|
On Sun, 01 Feb 2009 10:38:27 +0100, Allan Olesen
<usenet.2007.allan@spamcheck.dk> wrote:
>> De online-scannere, jeg har set, har reelt været programmer, der blev
>> downloadet og derefter eksekveret. De kan være lige så inficerede som
>> de programmer, der ligger mere fast på pc'en.
> Jeg tror, Kent Friis mente:
> "Kan være inficeret af virus, som befinder sig på det testede system."
>
> Det er jo - uanset om man kører online scanning, downloader en installer
> eller installerer fra CD - lidt sværere at gardere sig mod virus i
> antivirus-leverandørens systemer.
De kan jo blive inficeret på pc'en, når de afvikles.
-A
--
http://www.hojmark.org/
| |
Allan Olesen (01-02-2009)
| Kommentar Fra : Allan Olesen |
Dato : 01-02-09 11:45 |
|
Asbjorn Hojmark wrote:
> De kan jo blive inficeret på pc'en, når de afvikles.
Forudsætningen var "rent boot-medie".
--
Allan Olesen
| |
Asbjorn Hojmark (01-02-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-02-09 13:08 |
|
On Sun, 01 Feb 2009 11:44:50 +0100, Allan Olesen
<usenet.2007.allan@spamcheck.dk> wrote:
> > De kan jo blive inficeret på pc'en, når de afvikles.
>
> Forudsætningen var "rent boot-medie".
Jeg kan ikke se den forudsætning i OPs spørgsmål.
Kent skrev, at en 'online' virus-scanner altid er opdateret (hvilket
som oftest vil være sandt), og at den *kommer* fra et read-only medie
(hvilket man kan diskutere, men den er i hvert fald ikke read-only,
når den først er downloadet). Kent skrev (i første omgang) ikke noget
om, at man skulle *boote* fra et read-only medie for derefter at
downloade og køre en 'online' scanner.
Og hvis man gjorde: Hvordan er det sikrere at boote på et medie med
Internet-adgang og downloade og eksekvere en 'online' virus-scanner
end det er at boote på et medie med en installeret virus-scanner?
Man kan i øvrigt heller ikke regne med, at man har adgang til at
scanne alt, hvis man booter på et andet medie, hvilket gør modellen
endnu dårligere.
-A
--
http://www.hojmark.org/
| |
Allan Olesen (01-02-2009)
| Kommentar Fra : Allan Olesen |
Dato : 01-02-09 13:29 |
|
Asbjorn Hojmark wrote:
> Jeg kan ikke se den forudsætning i OPs spørgsmål.
Nej, men du kan se forudsætningen i det indlæg af Kent Friis, som du
svarede på, hvorefter jeg svarede dig.
--
Allan Olesen
| |
Root Kit (01-02-2009)
| Kommentar Fra : Root Kit |
Dato : 01-02-09 12:26 |
|
On Sun, 01 Feb 2009 10:27:52 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:
>On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> En installeret virusscanner kan være inficeret af virus'en, så den
>> ikke opdager noget. Det kan en online-scanner ikke.
>
>De online-scannere, jeg har set, har reelt været programmer, der blev
>downloadet og derefter eksekveret. De kan være lige så inficerede som
>de programmer, der ligger mere fast på pc'en.
Nemlig. Selv om de måtte være nok så rene ved download er der ingen
garanti for hvad der sker med dem ved afviklingen i det
kompromitterede system.
| |
Root Kit (01-02-2009)
| Kommentar Fra : Root Kit |
Dato : 01-02-09 12:23 |
|
On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
>> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>>
>>>>>Hvor effektive er de egentlig ?
>>>>
>>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>>> af slagsen.
>>>
>>>Med hvilken begrundelse?
>>
>> Simpelt.
>>
>> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
>> utroværdigt.
>
>Den eneste sikre måde at fjerne det på er en geninstallation.
Ja.
>Det gør ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
I den normale forståelse af online-scanning hvor en online-applikation
anvendes til at scanne selvsamme inficerede system, jo.
>> Malware-fjernelse vha online scanning som forudsætter et kørende
>> system hvor malwaren har alle muligheder for at skjule sig er om
>> muligt endnu mere utroværdigt.
>
>En installeret virusscanner kan være inficeret af virus'en, så den
>ikke opdager noget. Det kan en online-scanner ikke.
Selv en online-scanner er afhængig af det system hvori den afvikles.
Et system som altså som udgangspunkt ikke er pålideligt.
>>>En online virusscanner er stort set det eneste der på samme tid
>>>opfylder to basale krav til en troværdig virusscanner.
>>>
>>>- Altid opdateret
>>
>> At sammenligne med en ikke-opdateret scanner er ikke rimeligt.
>
>Man bør altid køre en virusscanner fra et read-only medie. Nutildags
>er det typisk CD-ROM, som nødvendigvis vil være ikke-opdateret når
>man får brug for den (man har jo naturligvis brændt den inden
>computeren blev inficeret).
>
>>>- Read-only medie, så en evt. virus ikke kan inficere den.
>>
>> Malware behøver ikke inficere andet end den base anti-virusscanneren
>> baserer sig på.
>
>Hvad mener du?
Det jeg siger: Selv en online-scanner er afhængig af det system hvori
den afvikles. Et system som altså som udgangspunkt ikke er pålideligt.
>Når man booter fra et read-only medie, og kører virusscanneren,
>hvilken base er det så den kan inficere?
Det er vist først nu du bringer "booter fra" ind i det, hvilket
selvfølgelig ændrer forudsætningerne. Det argument hænger dog ikke
helt sammen med at du samtidig betragter en online-scanner som et
read-only medie.
>Hvilken type virusscanner mener du er bedre end en online-scanner?
Nu mener jeg slet ikke virusscannere generelt er af særlig stor værdi.
Men en scanning fra et ukompromitteret system (som ikke nødvendigvis
behøver at være read-only) er altid en tand bedre.
>Kan du nævne andre der kan opfylde både "altid opdateret" og
>"read-only medie" på en gang?
Efter din seneste forudsætning om at der skal bootes fra read-only
mediet er dine kriterier ikke længere valide.
| |
Kent Friis (01-02-2009)
| Kommentar Fra : Kent Friis |
Dato : 01-02-09 14:55 |
|
Den Sun, 01 Feb 2009 11:22:56 GMT skrev Root Kit:
> On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
>>> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>>
>>>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>>>
>>>>>>Hvor effektive er de egentlig ?
>>>>>
>>>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>>>> af slagsen.
>>>>
>>>>Med hvilken begrundelse?
>>>
>>> Simpelt.
>>>
>>> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
>>> utroværdigt.
>>
>>Den eneste sikre måde at fjerne det på er en geninstallation.
>
> Ja.
>
>>Det gør ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
>
> I den normale forståelse af online-scanning hvor en online-applikation
> anvendes til at scanne selvsamme inficerede system, jo.
[Citation needed]
>>> Malware-fjernelse vha online scanning som forudsætter et kørende
>>> system hvor malwaren har alle muligheder for at skjule sig er om
>>> muligt endnu mere utroværdigt.
>>
>>En installeret virusscanner kan være inficeret af virus'en, så den
>>ikke opdager noget. Det kan en online-scanner ikke.
>
> Selv en online-scanner er afhængig af det system hvori den afvikles.
> Et system som altså som udgangspunkt ikke er pålideligt.
Nej, hvis en virusscanner skal være brugbar, skal den køres fra
(og bootes på) et ikke-inficeret medie. Den sikre måde at sørge for
at mediet ikke er inficeret, er at bruge et read-only medie.
>>>>- Read-only medie, så en evt. virus ikke kan inficere den.
>>>
>>> Malware behøver ikke inficere andet end den base anti-virusscanneren
>>> baserer sig på.
>>
>>Hvad mener du?
>
> Det jeg siger: Selv en online-scanner er afhængig af det system hvori
> den afvikles. Et system som altså som udgangspunkt ikke er pålideligt.
Det er derfor man bruger et read-only medie, som virussen altså
ikke kan inficere.
>>Når man booter fra et read-only medie, og kører virusscanneren,
>>hvilken base er det så den kan inficere?
>
> Det er vist først nu du bringer "booter fra" ind i det, hvilket
> selvfølgelig ændrer forudsætningerne.
Det var muligvis ikke helt klart, men det har været almen viden
siden første gang jeg havde med PC at gøre (virus var jo ikke noget
man bekymrede sig om hverken på C64 eller folkeskolens Butler-maskiner).
> Det argument hænger dog ikke
> helt sammen med at du samtidig betragter en online-scanner som et
> read-only medie.
Virussen kan ikke skrive til serveren. Altså er det read-only.
>>Kan du nævne andre der kan opfylde både "altid opdateret" og
>>"read-only medie" på en gang?
>
> Efter din seneste forudsætning om at der skal bootes fra read-only
> mediet er dine kriterier ikke længere valide.
Hvad er der nu i vejen med en boot-CD med internet adgang?
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Root Kit (01-02-2009)
| Kommentar Fra : Root Kit |
Dato : 01-02-09 16:54 |
|
On 01 Feb 2009 13:55:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Den Sun, 01 Feb 2009 11:22:56 GMT skrev Root Kit:
>> On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
>>>> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>>>
>>>>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>>>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>>>>
>>>>>>>Hvor effektive er de egentlig ?
>>>>>>
>>>>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>>>>> af slagsen.
>>>>>
>>>>>Med hvilken begrundelse?
>>>>
>>>> Simpelt.
>>>>
>>>> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
>>>> utroværdigt.
>>>
>>>Den eneste sikre måde at fjerne det på er en geninstallation.
>>
>> Ja.
>>
>>>Det gør ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
>>
>> I den normale forståelse af online-scanning hvor en online-applikation
>> anvendes til at scanne selvsamme inficerede system, jo.
>
>[Citation needed]
Det er næppe nødvendigt.
>>>> Malware-fjernelse vha online scanning som forudsætter et kørende
>>>> system hvor malwaren har alle muligheder for at skjule sig er om
>>>> muligt endnu mere utroværdigt.
>>>
>>>En installeret virusscanner kan være inficeret af virus'en, så den
>>>ikke opdager noget. Det kan en online-scanner ikke.
>>
>> Selv en online-scanner er afhængig af det system hvori den afvikles.
>> Et system som altså som udgangspunkt ikke er pålideligt.
>
>Nej, hvis en virusscanner skal være brugbar, skal den køres fra
>(og bootes på) et ikke-inficeret medie. Den sikre måde at sørge for
>at mediet ikke er inficeret, er at bruge et read-only medie.
Det tror jeg egentlig ikke vi på noget tidspunkt har været voldsomt
uenige om. Men det var ikke det diskussionen gik på (efter min
opfattelse).
>>>>>- Read-only medie, så en evt. virus ikke kan inficere den.
>>>>
>>>> Malware behøver ikke inficere andet end den base anti-virusscanneren
>>>> baserer sig på.
>>>
>>>Hvad mener du?
>>
>> Det jeg siger: Selv en online-scanner er afhængig af det system hvori
>> den afvikles. Et system som altså som udgangspunkt ikke er pålideligt.
>
>Det er derfor man bruger et read-only medie, som virussen altså
>ikke kan inficere.
Hvilket ikke har noget med online-scanning at gøre.
>>>Når man booter fra et read-only medie, og kører virusscanneren,
>>>hvilken base er det så den kan inficere?
>>
>> Det er vist først nu du bringer "booter fra" ind i det, hvilket
>> selvfølgelig ændrer forudsætningerne.
>
>Det var muligvis ikke helt klart, men det har været almen viden
>siden første gang jeg havde med PC at gøre (virus var jo ikke noget
>man bekymrede sig om hverken på C64 eller folkeskolens Butler-maskiner).
Næh, det er ikke helt klart, når det ovenikøbet ikke hænger sammen med
begrebet online-scanning.
>> Det argument hænger dog ikke
>> helt sammen med at du samtidig betragter en online-scanner som et
>> read-only medie.
>
>Virussen kan ikke skrive til serveren. Altså er det read-only.
Men systemet er ikke bootet fra et rent medie. Og så snart koden
overføres til klienten er der ikke længere tale om read-only.
>>>Kan du nævne andre der kan opfylde både "altid opdateret" og
>>>"read-only medie" på en gang?
>>
>> Efter din seneste forudsætning om at der skal bootes fra read-only
>> mediet er dine kriterier ikke længere valide.
>
>Hvad er der nu i vejen med en boot-CD med internet adgang?
Tror vi må tilbage og be' OP uddybe hvad han gerne vil have svar på.
| |
Kent Friis (01-02-2009)
| Kommentar Fra : Kent Friis |
Dato : 01-02-09 18:03 |
|
Den Sun, 01 Feb 2009 15:54:26 GMT skrev Root Kit:
> On 01 Feb 2009 13:55:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Den Sun, 01 Feb 2009 11:22:56 GMT skrev Root Kit:
>>> On 01 Feb 2009 00:47:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>>
>>>>Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
>>>>> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>>>>
>>>>>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>>>>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>>>>>
>>>>>>>>Hvor effektive er de egentlig ?
>>>>>>>
>>>>>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>>>>>> af slagsen.
>>>>>>
>>>>>>Med hvilken begrundelse?
>>>>>
>>>>> Simpelt.
>>>>>
>>>>> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
>>>>> utroværdigt.
>>>>
>>>>Den eneste sikre måde at fjerne det på er en geninstallation.
>>>
>>> Ja.
>>>
>>>>Det gør ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
>>>
>>> I den normale forståelse af online-scanning hvor en online-applikation
>>> anvendes til at scanne selvsamme inficerede system, jo.
>>
>>[Citation needed]
>
> Det er næppe nødvendigt.
Du kom med en påstand, uden nogen form for argumenter.
Hvis du vil køre en virusscanner på det inficerede system (OS), så
har du tabt på forhånd, uanset hvilken virusscanner du vælger. En
online virusscanner er ikke dårligere end en ikke-online.
>>>>>>- Read-only medie, så en evt. virus ikke kan inficere den.
>>>>>
>>>>> Malware behøver ikke inficere andet end den base anti-virusscanneren
>>>>> baserer sig på.
>>>>
>>>>Hvad mener du?
>>>
>>> Det jeg siger: Selv en online-scanner er afhængig af det system hvori
>>> den afvikles. Et system som altså som udgangspunkt ikke er pålideligt.
>>
>>Det er derfor man bruger et read-only medie, som virussen altså
>>ikke kan inficere.
>
> Hvilket ikke har noget med online-scanning at gøre.
Serveren som online-scanneren kommer fra er netop et read-only
medie set fra den inficerede PC. Virus'en kan ikke inficere
serveren.
>>>>Når man booter fra et read-only medie, og kører virusscanneren,
>>>>hvilken base er det så den kan inficere?
>>>
>>> Det er vist først nu du bringer "booter fra" ind i det, hvilket
>>> selvfølgelig ændrer forudsætningerne.
>>
>>Det var muligvis ikke helt klart, men det har været almen viden
>>siden første gang jeg havde med PC at gøre (virus var jo ikke noget
>>man bekymrede sig om hverken på C64 eller folkeskolens Butler-maskiner).
>
> Næh, det er ikke helt klart, når det ovenikøbet ikke hænger sammen med
> begrebet online-scanning.
>>> Det argument hænger dog ikke
>>> helt sammen med at du samtidig betragter en online-scanner som et
>>> read-only medie.
>>
>>Virussen kan ikke skrive til serveren. Altså er det read-only.
>
> Men systemet er ikke bootet fra et rent medie.
Det er ALTID en forudsætning.
> Og så snart koden
> overføres til klienten er der ikke længere tale om read-only.
Det samme argument kan du bruge om en CD-ROM eller en skrivebeskyttet
diskette. Virusscanneren derfra indlæses også i RAM.
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
J. E. (05-02-2009)
| Kommentar Fra : J. E. |
Dato : 05-02-09 01:06 |
|
"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:4984f13d$0$90266$14726298@news.sunsite.dk...
> Den Sun, 01 Feb 2009 00:15:10 GMT skrev Root Kit:
>> On 31 Jan 2009 21:13:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>Den Sat, 31 Jan 2009 20:40:39 GMT skrev Root Kit:
>>>> On Sat, 31 Jan 2009 20:49:56 +0100, "Kim" <yea@invalid .dk> wrote:
>>>>
>>>>>Hvor effektive er de egentlig ?
>>>>
>>>> Online virus scanning er pr. definition noget af det mest utroværdige
>>>> af slagsen.
>>>
>>>Med hvilken begrundelse?
>>
>> Simpelt.
>>
>> Malware-fjernelse vha scanning er i forvejen som udgangspunkt
>> utroværdigt.
>
> Den eneste sikre måde at fjerne det på er en geninstallation. Det gør
> ikke en online-scanner mindre brugbar end en ikke-online virusscanner.
>
>> Malware-fjernelse vha online scanning som forudsætter et kørende
>> system hvor malwaren har alle muligheder for at skjule sig er om
>> muligt endnu mere utroværdigt.
>
> En installeret virusscanner kan være inficeret af virus'en, så den
> ikke opdager noget. Det kan en online-scanner ikke.
>
>>>En online virusscanner er stort set det eneste der på samme tid
>>>opfylder to basale krav til en troværdig virusscanner.
>>>
>>>- Altid opdateret
>>
>> At sammenligne med en ikke-opdateret scanner er ikke rimeligt.
>
> Man bør altid køre en virusscanner fra et read-only medie. Nutildags
> er det typisk CD-ROM, som nødvendigvis vil være ikke-opdateret når
> man får brug for den (man har jo naturligvis brændt den inden
> computeren blev inficeret).
>
Jeg har læst og hørt om mange der har forskellige måde at forholde sig
de risiko der kan være til at få et eller andet "snask" på sin PC og
bedste måde at komme af med det på igen, men din er da grænsende
til en sjælden svær grad af paranoia.
| |
Allan Olesen (05-02-2009)
| Kommentar Fra : Allan Olesen |
Dato : 05-02-09 18:05 |
|
J. E. wrote:
> Jeg har læst og hørt om mange der har forskellige måde at forholde sig
> de risiko der kan være til at få et eller andet "snask" på sin PC og
> bedste måde at komme af med det på igen, men din er da grænsende
> til en sjælden svær grad af paranoia.
Jeg vil nu kalde det almen viden, at en virusscanning kun har begrænset
værdi, hvis den køres i det system, som man vil kontrollere.
--
Allan Olesen
| |
Kent Friis (05-02-2009)
| Kommentar Fra : Kent Friis |
Dato : 05-02-09 20:09 |
|
Den Thu, 5 Feb 2009 01:05:56 +0100 skrev J. E.:
>
> "Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
>>
>> Man bør altid køre en virusscanner fra et read-only medie. Nutildags
>> er det typisk CD-ROM, som nødvendigvis vil være ikke-opdateret når
>> man får brug for den (man har jo naturligvis brændt den inden
>> computeren blev inficeret).
>
> Jeg har læst og hørt om mange der har forskellige måde at forholde sig
> de risiko der kan være til at få et eller andet "snask" på sin PC og
> bedste måde at komme af med det på igen, men din er da grænsende
> til en sjælden svær grad af paranoia.
Nej, men som programmør ved jeg hvilke muligheder en virus har.
En virus der har kontrol over computeren kan:
- Forhinde antivirus-programmet i at køre.
- Skjule sine filer for antivirus-programmet.
- Fjerne sig selv fra antivirus-programmets liste over virusser.
- Afinstallere antivirus-programmet.
Der er stort set ingen begrænsninger for hvad virus'en kan gøre for
ikke at blive opdaget.
Og som sagt, i gamle dage (dengang vi havde "EDB-kursus" i ungdoms-
skolen på 286-maskiner), var det almen viden at man bootede på en
(ikke-inficeret) skrivebeskyttet diskette, og kørte virusscanneren
ligeledes fra en skrivebeskyttet diskette (normalt den samme, så
meget fyldte en virusscanner jo heller ikke).
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
|
|