MaverickM schrieb:
Also, Nein, es braucht kein Schlangenöl.
Sagen wir mal so: Dieser Scan-Ansatz ist halt aus unterschiedlichen Gründen fragwürdig.
Erst mal hast Du das Problem, das man ständig hinten an ist. Weil Antivir kann ja im Wesentlichen nur auf das reagieren, was es bereits kennt.
Auch das Scannen selbst ist eine recht komplexe Angelegenheit. Die häufigsten Bugs in Programmen treten bei der Verarbeitung von Input auf. Was dabei noch oben drauf kommt: Sowas wie MS Office muss das halt nur mit Office-Dateien können. Denen reicht es Profi im parsen von Office-Dateien zu sein (und schon das bereitet Microsoft Probleme).
Antivir muss mit allen Dateitypen umgehen können.
Klar kann man das abmildern, in dem man bei einigen Typen nur grob drüber schaut oder die skippt, aber das senkt die Erkennungsleistung.
Parsen ist auch durchaus Zeitaufwendig. Damit hast Du ein Geschwindigkeitsproblem. Auch das kannst Du abmildern, wenn Du Abkürzungen nimmst, senkt aber die Erkennungsleistung und/oder macht Dich anfälliger.
Antivir ist vielfach auch Symptombekämpfung für schlechte Prozesse. Unter Windows ist es halt üblich sich irgendwo her ne
setup.exe zu laden. Benutzt man gepflegte Repository (was Microsoft ja auch mit seinem Store anbietet), ist das Infektionsrisiko schon deutlich geringer.
Auch der Trend zu contained-Apps ist im Grunde ein Richtiger. Mein Audio-Player muss nicht auf meine Office-Dateien zugreifen können (könnte er eh nix mit anfangen). Das führt nur dazu, das die auch gefährdet sind, wenn der mal exploited wird. Insofern machts natürlich Sinn zu isolieren (auf Process-Ebene haben wir das ja schon seit Jahrzehnten, das ein laufender Process nicht auf den RAM eines anderen Process zugreifen darf).
Gerade Browser haben das ja in den Desktop/Mainstream-Bereich gepusht. Da läuft inzwischen der ganze Parsing/Rendering-Teil in einem locked down Process der so ziemlich nichts darf (also auch nicht aufs Dateisystem zugreifen), was zu einem spürbaren Rückgang der (wirksamen) Exploits geführt hat.
Unglücklicherweise hat man diese Trennung im Zuge von WebApps etc. wieder aufgeweicht.
Es zeigt aber, das viel Potential darin liegt, über sichere Programmierung die Systeme sicherer zu bekommen.
Lange Rede, kurzer Sinn:
Umso mehr Du auf solche pro-aktive Sicherheit setzt, umso weniger gut sieht natürlich die Vorteils-/Nachteils-Betrachtung für Antivirenprogramme aus.
Wenn Du natürlich einen User hat, der da nicht so drauf achten und auf alles klickt was zappelt und auch sämtliche Warnungen ungelesen "wegklickt", der profitiert natürlich deutlich von Antivir.
EIn anderer Ansatz wäre da, dem User Freiheiten zu entziehen. Ein Weg den Apple geht und zum gewissen Grade auch Android.
Im Grunde könnte man auch die Nachteile der Antivirenprogramme abmildern.
Also gerade so, was das exploiten angeht. Da könnte man ja (wie beim Browser) sagen: Dateien einlesen macht ein Prozess. Das parsen/analysieren macht ein anderer und unprivilegierter Prozess, der keinerlei Rechte hat (also weder Disk noch Net noch GUI). Keine Ahnung, inwieweit das die gängigen Antivirenprogramme machen. Ich befürchte aber, das das eher nicht so verbreitet ist. Denn es kostet Geschwindigkeit. Außerdem hat man natürlich Probleme bei Behandlung großer Dateien, die man im Zweifel nicht komplett laden kann (der RAM-Bedarf darf ja auch nicht zu hoch werden). Das müsste man also sinnvoll verteilen und den Parsing-State mitziehen etc.
Außerdem funktionieren dann andere "Features" die man gern dazu tun (deren Nutzen mehr als zweifelhaft ist, aber man will halt ne lange Featureliste weil "länger ist besser").
Was die Schlangenöl-Branche zur
Schlangenöl-Branche macht, ist ja nicht allein der Scan-Ansatz. Der ist streitbar. Da kann man aber im Zweifel noch gut begründen, warum man das trotzdem macht.
Der unseriöse Touch kommt daher, das die nicht ordentlich darüber aufklären, was sie machen (versuch beispielsweise mal heraus zu kriegen, ob die nun das eben genannte Privilege-Separation machen oder nicht). Stattdessen findet man auf den Webseiten vor allem Marketing-Bla ohne echten Inhalt.
Und diese Vergleichstests die man im Internet findet sind auch eher .. seltsam. Die Messung der Detection-Rate ist selbst bei sogenannten real-world-tests recht shady.
So hast Du halt die Situation, das Du weder von den Herstellern noch von dritter Seite vernünftige Informationen bekommst.
MaverickM schrieb:
alles von Hand scannen, was Du irgendwie in die Finger kriegst
Ich sehe das Problem auch. Alles was Du manuell machen musst, ist natürlich grundsätzlich fehleranfällig. Da kann es immer mal passieren, das Du das (im Stress) vergisst etc.
Das Vergessensproblem kann man mit tainted-Marker entgegenwirken. Dateien aus dem Internet sind also grundsätzlich gefährlich eingestuft und ohne Scan kannst Du damit gar nichts machen.
Du kannst den Scan auch semi-automatisieren. In dem Du einfach ein Incoming-Folder hast (und auch nur darauf können Mail-Programm und Browser zugreifen). Und sobald da eine Datei rein kommt wird, die gescannt (kann man ja machen z.B. via FileSystemWatcher). Dann muss man nicht das ganze System scannen, sondern nur die neuen Dateien. Und das kann man ja auch gründlich/ordentlich machen (d.h. der Scan darf Zeit kosten, weil das ja dann nur noch ein punktuelles Ereignis ist).
. Striktes Zero Trust. 
