ESET NOD32 Antivirus und ESET Smart Security Version 5 BETA

    Hey Tommi,
    die Einstellung hatte ich so gesetzt und weiss auch, dass es nicht ganz trivial ist eine Festplatte wiederzu erkennen aber über den Namen der Platte in Kombination mit der Hardware ID müsste das möglich sein oder?
    Wäre ein feines Feature! =)

    Mit meinen eingerosteten System-Programmierkenntnissen könnte ich mir vorstellen, dass es möglich sein sollte, da wir ja auf Grundlage verschiedenster Hardware ID auch Wechseldatenträger sperren können oder nur Read-Only-Zugang am System gewähren können.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Der Installationsverlauf der ESS / Nod32 ist deutlich länger als die der Vorgänger (v4). Etwa 10 min oder mehr waren dafür nötig. Keine Ahnung welche Prozesse dort ablaufen, wird das System vorher gescannt? Weil ich keine Informationen während des Installationsverlaufs darüber erhalte.

    Mein System wurde neu aufgesetzt (Festplattencrash) von daher war nicht allzu viel Software installiert.

    kann ich nicht bestätigen, bei mir lief das alles recht flott ab. unter 5min

    Bei mir dauerte Installation und Start des Firewall Treibers (interaktiver Modus während der Installation ausgewählt) am längsten! Alles andere ging sehr fix...

    Der Eset Support auf Wilders gefällt mir im Moment überhaupt nicht. Dort bekommt man häufig nur typisches Marketing Geblubber zu hören, nach dem Motto: Eset ist unantastbar und alles ist bluna... oder man bekommt überhaupt keine qualifizierte Antwort. blöd sowas..
    Die User Antworten der Fanboys sind auch nicht besser...

    Ich denke man sollte ganz offen über Verbesserungsbedarf sprechen und auch sprechen dürfen ohne, dass sich der Support oder die Fanboys angegriffen oder die Ehere ihres heiligen Produkts verletzt sehen...

    Da gefällt mir unser Tommi hier sehr viel besser! =) Daher geht die Frage jetzt an ihn:
    In Bezug auf diesen Thread: http://www.wilderssecurity.com/viewtopic.php?t=302977 frage ich mich ob und wie Eset im Moment in der Lage ist 64 bit prozesse, dateien und Treiber zu scannen. Evtl. könntest du auch noch erläutern ob es einen Unterschied macht ob diese grade verwendet werden also von Windows gesperrt sind oder nicht.

    Als erstes möchte ich auf die Installationsdauer antworten - ich konnte das bei mir nicht nachvollziehen, aber wir dürfen auch nicht vergessen, dass das Produkt noch (auch als RC) eine Beta-Version ist, bei der es ums Testen der Funktionen geht. Die Installationsprozesse werden dabei als letztes optimiert, ich denke also, dass das noch vor dem Release noch einmal verbessert wird, wenn es tatsächlich ein häufigeres Problem ist.

    Dann möchte ich noch einmal etwas zu Wilders sagen - es ist zwar als Supportforum auf eset.com verlinkt, aber schmecken tut mir das nicht, da es eher genauso ein offizielles ESET Support Forum ist, wie dieses hier, sprich: es ist zwar so, dass dort auch Leute von ESET posten, aber administriert wird es nicht wirklich bis gar nicht.
    Dazu kommt, dass der spezielle verlinkte Thread am Start nichts mit ESET zu tun hat (ich habe ihn aufgrund meiner begrenzten Zeit nicht zu Ende gelesen... ;) ), aber ich kann generell zu 64-Bit Editions von ESET etwas sagen. Der Kernel-Prozess (ekrn.exe) ist ein 32-Bit Prozess, was aber auch kein Problem ist, da a) ein Umsetzen der ThreatSense Engine auf 64-Bit keine Vorteile, aber Performance-Einbußen bringt und b) es bei dem Thema hauptsächlich um Speicheradressierung geht, bei der 32-Bit auf 3,5 GB begrenzt ist. Eine Malware wird nicht so groß sein, da das dem Gedanken der schnellen Verbreitung entgegen steht.
    Zwar kann Malware in einem Paket > 3,5GB enthalten sein, aber durch den Scan innerhalb des Pakets schnell gefunden und beseitigt.
    Desweiteren bringt die 64-Bit Edition von ESET native 64-Bit Treiber für die entsprechend benötigten Prozesse und Schnittstellen mit, wo es tatsächlich notwendig und sinnvoll ist.
    Das könnt Ihr prüfen, indem Ihr den ESET Installationsordner öffnet und dort in den x86 Ordner schaut, dort findet Ihr die verwendeten 32-Bit Files. Außerdem sind im Installationsordner die verwendeten Module, em0xx_32.dat bzw. nativ 64-Bit em0xx_64.dat - das sind der Cleaner (64-BIt) und die Signaturdatenbank, Firewall, usw.

    War es ungefähr das, was Ihr wissen wolltet?

    P.S.: Und danke für das Lob! :)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Der Thread geht darum, dass einige AVs auf x64 systemen nicht in der Lage sind die Dateien des system32/drivers Ordner zu scannen. Nod32 scheint dazu zu gehören da mehrere User gepostet haben es würden nur so um die 30 Dateien gescannt werden obwohl mehrere hundert in dem Ordner liegen. Von anderen AVs werden die auch mehr oder minder ale gescannt...

    Folgende Frage habe ich an Tommi,
    da ich nicht gerne mit einem HIPS jongliere.........
    Kann ich in der 5er das HIPS abwählen und stattdessen einen seperaten Behaviour Blocker wie z. B. AVG IDP oder ThreatFire mitlaufen lassen?

    Hi Poulsen, ich heiße zwar nicht Tommi, kann dir aber vielleicht trotzdem weiterhelfen.. =)

    Du kannst das HIPS nicht abwählen oder deaktivieren da damit auch der Selbstschutz flöten gehen würde.
    Allerdings ist das ESET HIPS im Automatik Modus nichts womit man "jonglieren" müsste...
    Die meisten User werden nichtmal bemerken, dass es in der v5 ein HIPS gibt...
    Im Automatik Modus wird das HIPS in naher Zukunft wie ein Behavior Blocker fungieren und den User nicht nerven.
    Momentan tut es einfach garnichts (mehr oder weniger ;) )

    Meiner Einschätzung nach wird der Eset Behavior Blocker innerhalb des nächsten Jahres locker auf dem Niveau von AVGs IDP oder ThreatFire ankommen. Ich würde mir daher keine Gedanken machen und Eset ein fach default installieren und gut ist. So werde ich das jedenfalls machen. Evtl. die Firewall in den Interaktiven Modus schalten und das wars...
    Läuft gut schnell und nervt nicht.

    @Habakuck
    Das liest sich doch sehr gut
    Es soll ja HIPSE geben, die veranstalten wahre kryptische Klick- und Bestätigungsorgien.

    apropos HIPS..

    hab die Outpost Firewall am laufen und die Beta des AV von NOD32.

    Ratsam HIPS des AV deaktivieren oder auf auto lassen!?

    Zitat von Poulsen


    @Habakuck
    Das liest sich doch sehr gut
    Es soll ja HIPSE geben, die veranstalten wahre kryptische Klick- und Bestätigungsorgien.


    :) Och du kannst das Eset HIPS auch überreden richtig nervig zu werden! Einfach in den interaktiven Modus schalten (am besten sogar ohne vorher den Lern-Modus laufen zu lassen) und du hast einen wunderbaren Trainer für die nächste Klick-Weltmeisterschaft erschaffen.. ;)

    Zitat von Hopie


    apropos HIPS..

    hab die Outpost Firewall am laufen und die Beta des AV von NOD32.

    Ratsam HIPS des AV deaktivieren oder auf auto lassen!?


    Def. auf Automatik lassen! Alles andere ist im Moment ziemlicher Blödsinn!

    Wenn das HIPS in naher Zukunft mit der Cloud synchronisiert wird denke ich, dass das besser werden wird. Ich hatte das HIPS letztens mal 2 Wochen im Lern Modus und dann umgeschaltet auf Interaktiv. Dann halten sich die PopUps wirklich in Grenzen. War mir aber immer noch zu blöd und da ich auf diesem Rechner, außerhalb der VM eh keinen Blödsinn mache reicht mir das völlig.

    Und wie gesagt: Für das HIPS ist großes geplant. Da werden nach und nach Regelwerke über die Auto-Update Funktion eingespielt und das ganze mit der Cloud in Einklang gebracht.
    Dabei sollte 'ne ganz runde Sache entstehen denke ich aber wir müssen uns noch ein bischen gedulden...
    Das wird auch erst nach dem final Release passieren..

    Die "Hippie-Fragen" sind beantwortet, weswegen ich mich wieder dem 64-bit Thema widmen möchte:
    Ich habe jetzt zu hause einfach mal einen Testlauf machen lassen. Wichtig ist hierbei, das weder die Cloud-Komponente, noch die Smart Optimierung für die Tiefenprüfung aktiviert sind, da diese beiden, ja auf einem Datei-Whitelisting basieren, sprich vorher gescannte Dateien, z.B. vom Echtzeit-Schutz (Smart Optimierung) und in der Cloud als gutartig bekannte Dateien. Das Ergebnis sieht anders aus, als behauptet!

    Dass vom System gesperrte Archive nicht gescannt werden ist nicht verwunderlich, vor allem, weil ich gleichzeitig Windows Updates eingespielt habe ;)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Ich hatte die Beta 5 einige Zeit laufen gehabt,und ich war überrascht wie gut eine Beta laufen kann.

    Zitat von ESET Deutschland


    Die "Hippie-Fragen" sind beantwortet, weswegen ich mich wieder dem 64-bit Thema widmen möchte:
    Ich habe jetzt zu hause einfach mal einen Testlauf machen lassen. Wichtig ist hierbei, das weder die Cloud-Komponente, noch die Smart Optimierung für die Tiefenprüfung aktiviert sind, da diese beiden, ja auf einem Datei-Whitelisting basieren, sprich vorher gescannte Dateien, z.B. vom Echtzeit-Schutz (Smart Optimierung) und in der Cloud als gutartig bekannte Dateien. Das Ergebnis sieht anders aus, als behauptet!

    Dass vom System gesperrte Archive nicht gescannt werden ist nicht verwunderlich, vor allem, weil ich gleichzeitig Windows Updates eingespielt habe ;)

    Hm, das ist etwas merkwürdig denn es wurde von mehreren Usern bestätigt, dass der windows/system32/drivers ordner nur unzureichend gescannt wird.

    Nur mal ein Beispiel: http://www.wilderssecurity.com/showpost.php?p…01&postcount=18

    Ich habe jetzt nach ewigem Nachbohren auch endlich eine vernünftige Antwort erhalten...

    Zitat

    Scanning of x64 drivers by the on-demand scanner will be addressed in upcoming builds of EAV/ESS. Currently they are scanned by other protection modules, however, so already recognized malicious x64 drivers would be detected anyway.

    http://www.wilderssecurity.com/showpost.php?p…05&postcount=26

    Ok, bei den Treibern stimmt das bei dem On-Demand Scan, vorher war ja die Rede vom kompletten system32 ordner. Wie aber dort richtig steht, werden im laufenden Betrieb über die anderen Module als dem "normalen" Filescanner in Echtzeit die Treiber überwacht.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Ich bin grade über ein neues Feature gestolpert welches ich noch nicht kenne:

    "Advanced Heuristics/DNA/Smart Signatures" nennt sich das und findet sich in den Threatsense Optionen zum Real-Time Schutz. Da die Hilfe nicht so besonder viel hergibt wäre es super wenn das mal jemand erläutern könnte.
    Warum ist das per default nicht aktiviert?

    Was ist DNA und was genau sind Smart Signatures?

    Hallo, bin im Urlaub und komme nur schwer an Internet, deswegen sorry für die späte Antwort:
    Advanced Heuristik/DNA/Smart Signatures usw. sind schon länger Teil der ESET ThreatSense Engine, die in allen Scannern zum Einsatz kommt, sind für den Echtzeit-Dataischutz per default deaktiviert, da sie die Performance drücken können.
    Die Funktionsweise dahinter (ohne zu sehr ins Detail zu gehen), beruht darauf, dass man nicht nur per Signaturen erkennen kann, sondern dass es ausreicht, den Malware-Stamm zu erkennen. Ich vergleiche das immer mit der Biologie: Eine Grippe wird als Grippe erkannt und behandelt ohne sofort wissen zu müssen, ob es eine Schweingrippe, Sommergrippe, Vogelgrippe oder vll. Schmetterlingsgrippe ist oder sein könnte :D
    Das wird dann als "Möglicherweise Variante von Win32/MALWAREXY" erkannt und gemeldet und in Quarantäne verschoben.
    Also ohne die Variante der Malware zu kennen (von denen täglich mehrere 100.000 veröffentlicht werden), kann man schon 0-day Bedrohungen erkennen und blockieren.
    Das ganze hat bloß in Version 5 einen neuen, genaueren Namen bekommen und ist noch einmal erheblich verbessert worden.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Vielen Dank Tommy für deine Erklärung.Und ich wünsche dir noch einen schönen Urlaub. :)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden