Sign in to follow this  
Riker

Verhaltensschutz

Recommended Posts

Hallo Emsisoft Team,

 

irgendwie werde ich mit dem neuen Verhaltensblocker nicht "ganz warm".

 

1). Ich habe z.B. unter Schutz-->Anwendungsregeln den Firefox gelistet mit fast sämtlichen Boxen angeklickt unter angepasste Überwachung.

Gehe ich nun unter Verhaltensanalyse, ist der Firefox zwar gelistet, aber überwacht mit nein.

 

Was stimmt denn nun? Ich finde das irgendwie sehr irreführend.

 

Gleiches habe ich zum Test mal ausgeführt mit C:\Windows\System32\taskhost.exe.

Bug: Taskhost.exe wurde unter dem Explorer gar nicht gelistet, als wäre es nicht verhanden, sondern ich musste den Pfad manuell eingeben.

Dieses Programm ist nun auch gelistet unter Verhaltensanalyse und es ist auch überwacht.

 

2). Gestern hatte ich mehrfach bei Öffnen von Opera die Meldung von OA (free) HIPS, dass das Programm Opera Launcher verändert wurde, obwohl kein neues Update vorlag. Das kannte ich so nicht bisher. Seltsamerweise erschien bei den Logs zur Verhaltensüberwachung, dass Opera.exe von EAM (behaviour.spyware) geblockt wurde. Ich wurde nicht alarmiert und Opera funktionierte normal. War das ein False Positive bei Opera?

Auch dieser war von mir in den Anwendungsregeln mit sämtlichen Boxen angeklickt (mit Ausnahme der Browsereinstellung natürlich).

 

Anyway, habe Opera zurückgesetzt und deinstalliert.

 

Irgendwie habe ich Probleme, das "Zwischenspiel" von den Reitern Anwendungsregeln und Verhaltensanalyse zu verstehen.

Was ich heute weiss, ist, dass EAM anscheinend Prozesse wie svchost.exe nicht überwachen kann, da diese vital für das System sind:http://support.emsisoft.com/topic/17598-behaviour-monitoring/

 

LG

 

Riker

Share this post


Link to post
Share on other sites

Hallo,

 

 

1). Ich habe z.B. unter Schutz-->Anwendungsregeln den Firefox gelistet mit fast sämtlichen Boxen angeklickt unter angepasste Überwachung.

Gehe ich nun unter Verhaltensanalyse, ist der Firefox zwar gelistet, aber überwacht mit nein.

 

Wurde Firefox nach der Änderung unter den Anwendungsregeln nochmals neugestartet?

 

 

 

2). Gestern hatte ich mehrfach bei Öffnen von Opera die Meldung von OA (free) HIPS, dass das Programm Opera Launcher verändert wurde, obwohl kein neues Update vorlag. Das kannte ich so nicht bisher.

 

 

Die Datei muss geändert worden sein sonst hätte Online Armor es nicht gemeldet. Eventuell haben Sie das Update übersehen?

 

 

Seltsamerweise erschien bei den Logs zur Verhaltensüberwachung, dass Opera.exe von EAM (behaviour.spyware) geblockt wurde. Ich wurde nicht alarmiert und Opera funktionierte normal. War das ein False Positive bei Opera?

Auch dieser war von mir in den Anwendungsregeln mit sämtlichen Boxen angeklickt (mit Ausnahme der Browsereinstellung natürlich).

 

Bitte einmal in Emsisoft Anti-Malware unter Protokolle -> Verhaltensanalyse das Protokoll exportieren und auf Ihrem Rechner abspeichern. Die Datei dann bitte mit an die Mail anhängen.

Share this post


Link to post
Share on other sites

Hallo Hr. Peters,

 

zur 1.Frage: Ja FF wurde neu gestartet, PC aber nicht. Heute jedenfalls nach Neustart ist FF auch überwacht!

 

zur 2.Frage: Nein, ich denke, "da war etwas im Busch": Mehrmals wurde das angemahnt, und es gab kein Update. Deshalb habe ich sicherheitshalber auch Opera komplett deinstalliert.

 

Protokoll des Behaviour Blocker und Abbild der manuellen Einstellungen habe ich per PN geschickt.

Share this post


Link to post
Share on other sites

Hallo,

 

zu 1. Ok alles klar. Werden wir uns intern nochmal anschauen.

 

zu 2. Siehe auch meine Antwort auf Ihre PM. Das Verhalten der Opera.exe und der launcher.exe hätten Sie in Emsisoft Anti-Malware auch erlauben können.

Share this post


Link to post
Share on other sites

Hallo,

 

erstmal Dankeschön für den schnellen Support.

 

Drei Punkte hätte ich noch:

 

- Was war denn mit dem Bug, dass taskhost.exe nicht angezeigt wird im Explorerfeld, wenn man eine neue Anwendungsregel erstellen will?

 

- Wäre es vtl. nicht eine Überlegung wert, dass ein Warnhinweis erscheint derart "Aus technischen Gründen können bestimmte Prozesse wie svchost.exe und andere nicht überwacht werden", wenn man eine Anwendungsregel dafür erstellen will bzw. dass das gar nicht erst möglich ist?

 

- Könnte Emsisoft nicht eine kurze Anleitung geben, welche Prozesse man EXTRA unter den Anwendugsregeln manuell bearbeiten soll oder muss.

Ich bin mir da im Moment doch recht unsicher, weil man alles dort eingeben kann, bestimmte Sachen aber nicht funktionieren wie svchost.exe und andere automatisch schon abgedeckt sind wie Firefox.exe.

Anders gefragt: Bringt es dem Nutzer einen "Mehrwert", wenn er die "angepasste Überwachung" des FF manuell eingibt?

Share this post


Link to post
Share on other sites

Hallo,

 

 

- Was war denn mit dem Bug, dass taskhost.exe nicht angezeigt wird im Explorerfeld, wenn man eine neue Anwendungsregel erstellen will?

 

Vermutlich ist die Datei auf Ihrem System ausgeblendet. Was allerdings keine Standardeinstellung zu sein scheint da hier unter Windows 7 die taskhost.exe normal sichtbar ist im Anwendungsregel-Dialog.

 

 

Wäre es vtl. nicht eine Überlegung wert, dass ein Warnhinweis erscheint derart "Aus technischen Gründen können bestimmte Prozesse wie svchost.exe und andere nicht überwacht werden", wenn man eine Anwendungsregel dafür erstellen will bzw. dass das gar nicht erst möglich ist?

 

Ja das wäre eine Möglichkeit den Nutzer besser zu informieren. danke für den Hinweis, werden wir uns anschauen.

 

 

Anders gefragt: Bringt es dem Nutzer einen "Mehrwert", wenn er die "angepasste Überwachung" des FF manuell eingibt?

 

Bei der Verhaltensanalyse nicht wirklich. Es reicht eigentlich aus über die Alarmmeldung der Verhaltensanalyse das Verhalten entweder zu blockieren oder eben zu erlauben. Manchmal kann es sinnvoll sein die Option Nicht melden, wenn sich die Datei ändert zu aktivieren wenn einem die Meldungen nach Programmupdates zur Regeländerung stören.

Share this post


Link to post
Share on other sites

Danke für die Beantwortung!

 

Eine Verbesserung wäre vlt. noch ein Zusatzfeld unter Schutz-->Anwendungsregeln derart: "Bereits von EAM/EIS unter Überwachung stehende Prozesse" (mit deren Einstellungen ?!), so dass man/der User sich Doppeleintragungen sparen kann. Beispiel hier explorer.exe.

 

Könnte man am Kästchen spyware.behaviour vlt. noch ein Informationspopup anbringen mit dem Hinweis, dass damit auch gewollte Updates des Programmes (Bsp. Opera) im Hintergrund behindert werden?

Share this post


Link to post
Share on other sites

Hallo,

 

eigentlich sind für den Normalnutzer nur die Prozesse wichtig die angezeigt werden wenn man unter Schutz/Anwendungsregeln den Haken bei der Option Vertrauenswürdige Anwendungen ausblenden aktiviert. Daher wird es kein extra Zusatzfeld in Zukunft geben das ein Hinweis auf die bereits überwachten oder vertrauenswürdigen Prozesse bereitstellt.

 

Das Verhalten Behavior.Spyware trifft nicht nur auf unsichtbare Udates zu, auch andere Ursachen können für das Verhalten verantwortlich sein. Eine extra Beschreibung und Bemerkung zu den verschiedenen Verhaltensmustern wird es vorerst nicht geben.

Share this post


Link to post
Share on other sites

Hallo,

 

das war ja eine bestimmte Aussage!

 

Mein Feedback bisher ist, dass ich den Verhaltensblocker undurchsichtig finde. Ich denke, das beschreibt es am besten. Vorher erschien er mir besser, zumindest die Verständlichkeit.

 

Beispiel:

 

Ich habe den Firefox (FF) unter angepasster Verhaltensüberwachung, mit sämtlichen Checkboxen auf verbieten, ausser Änderung der Browsereinstellungen erlaubt und spyware-ähnliches Verhalten erlaubt (wegen der Updates).

 

 

Nun schaue ich heute in das Log und sehe auf einmal: FF Remote.Control: von Regel geblockt.

Was für ein Fernzugriff soll das denn sein bitte?

 

Nur mal als Beispiel, ich gehe davon aus, dass da alles i.O. ist mit dem System, aber solche Meldungen verunsichern den normalen Nutzer.

 

Vlt. ist es das beste, ich entferne einfach die Anwendungsregel komplett....

 

Hallo,

 

eigentlich sind für den Normalnutzer nur die Prozesse wichtig die angezeigt werden wenn man unter Schutz/Anwendungsregeln den Haken bei der Option Vertrauenswürdige Anwendungen ausblenden aktiviert. Daher wird es kein extra Zusatzfeld in Zukunft geben das ein Hinweis auf die bereits überwachten oder vertrauenswürdigen Prozesse bereitstellt.

 

Das Verhalten Behavior.Spyware trifft nicht nur auf unsichtbare Udates zu, auch andere Ursachen können für das Verhalten verantwortlich sein. Eine extra Beschreibung und Bemerkung zu den verschiedenen Verhaltensmustern wird es vorerst nicht geben.

 

Das wäre aber schön, wenn es eine detailliertere Beschreibung gäbe, denn mein Firefox hat heute morgen exakt wieder diese Meldung herausgegeben, "Behaviour.spyware", obwohl ich dies in den Regeln für FF erlaubt habe (spyware.behaviour auf erlaubt angeklickt).

 

DAS meine ich mit undurchsichtig...

Share this post


Link to post
Share on other sites

Grundsätzlich ja, warum nicht, wir sollten nur noch etwas warten damit:

Ich habe das versucht mit meinen Mitteln logisch zu begreifen, da ich bisherige Meldungen nicht kenne und der Läppi "eigentlich" Malware-frei sein sollte (vor kurzem ja noch von Thomas überprüft worden).

 

Die Sache ist die, dass im FF und vorher auch im Opera ein unbekanntes Nutzerkonto vorhanden ist. Dieses war zu erkennen mittels processexplorer. Dieses Nutzerkonto hatte tiefe "spezielle Berechtigungen", sogar ein terminieren von EAM war vorgesehen (ob das funktionieren würde, ist ja erst mal nicht so relevant).

Langer Rede kurzer Sinn: Seit gestern vermute ich HitmanPro.Alert dahinter (derselbe Kontobesitzer) und habe deswegen den Entwickler angeschrieben.

 

Wenn ich Antwort habe, dann melde ich mich nochmal, das würde dann die Alarme erklären, obwohl Alarm das falsche Wort ist: Es gab ja kein aufpoppendes Fenster, sondern nur ein Vermerk im Log.

HitmanPro Alert ist, wenn es dieser Account ist, halt sehr tief im System verankert, es soll ja auch Man-in-the -rowser Angriffe verhindern, Code-Injektion in Win-Prozesse ebenso etc. Das würde dann alles erklären, Performance Issues gab es keine im Zusammenspiel bisher, nur halt diese "Ungereimtheiten", mag auch daran liegen, dass ich da vlt. zu "sensibel" bin....

Share this post


Link to post
Share on other sites

Sehr gerne.

 

Durch Zufall das hier gefunden, ähnlicher Tenor wie bei mir:

 

http://support.emsisoft.com/topic/17410-the-behavior-blocker-panel-confuses-me/

 

Post Number 6 von Fabian Wosar erklärt es sehr schön: Vor allem dies

 

"We do not document the exact actions we are looking for and we never will. Doing so will only make it easier for malware authors to get around the behavior blocker by specifically avoiding the actions and conditions we are looking for.

In general though the majority of all our users will never have to use the application rules as in almost all cases EAM/EIS will make the correct decision for them. At the moment they are only there to allow users to correct mistakes they made during rare manual decisions or in case they disabled all automatic decision making in EAM/EIS."

 

Mit dieser Aussage ist dann alles klar und ich verstehe den Hintergrund besser.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.