Recommended Posts

Hallo,

folgende Fragen:

Kann man beim Dateiwächter auswählen, ob man erweitertes caching benutzen möchte oder ist das automatisch eingestellt(das heißt an)?

Beim manuellen / geplanten scan mit gespeicherten Vorgaben: Wie sicher/unsicher ist caching? Meines Wissens nach wird beim caching ein hash erstellt und, wenn sich dieser sich beim nächsten scan nicht geändert aht, wird die datei nicht noch einmal gescant. gibt es nun aber möglichkeiten eine datei so zu verändern, ohne das der hash sich auch verändert und somit ein Antivirusprogramm auszutricksen? Wenn ja, würde ich persönlich auf das cachen verzichten, bzw es nur beim dateiwächter benutzen, wenn es denn eine Möglichkeit gäbe es dort zu aktivieren/deaktivieren.

Danke im Voraus für Antworten!

Alex

Share this post


Link to post
Share on other sites

Wir benutzen für das Caching SHA1-Hashes. Derzeit ist uns kein Fall bekannt, wo jemals jemand eine Malware-Datei bewußt so verändert hat, dass sie einem bestimmten Hash entspricht. Ohne Supercomputer-Infrastruktur wird das auch kaum möglich sein. Wir betrachten das System daher als sicher, sonst hätten wir es nicht verwendet.

Den Cache kann man mit einem Trick leeren. Man muß den Emsisoft Anti-Malware Dienst beenden und dann im Installationsordner die Datei a2sc.dat löschen und Anti-Malware wieder neu starten. Macht aber wie gesagt wenig Sinn und vernichtet die Performance-Optimierungen.

Die Standard-Rekursionstiefe bei Archiven ist derzeit auf 8 Ebenen eingestellt. Änderbar ist diese leider nicht.

Share this post


Link to post
Share on other sites

Ahh, vielen Dank für die Info. Damit kann ich gut leben! :D

Verbleibt eine letzte Frage:

Eine vom Dateiwächter einmal gehashte Datei würde vom geplanten Scan mit Cashing nicht mehr erfasst werden, selbst wenn z.B, ein halbes Jahr später neue Signaturen diese Datei als schädlich identifizieren würden, richtig?

Wenn ich die geplanten Scans ohne Cashing ausführe, kann das nicht passieren. Wird der Hash einer solchen im Nachhinein erkannten und entfernten Datei gelöscht, oder existiert er als Hash-Leiche weiterhin?

Share this post


Link to post
Share on other sites

Wenn der geplante Scan mit einem selbst erstellen Scanset läuft, das ohne Advanced Caching Option abgespeichert wurde, wird der Cache auch nicht verwendet.

Wobei man generell sagen muß: Es werden nicht alle Dateien gecacht sondern nur jene, die mit ziemlich hoher Wahrscheinlichkeit sauber sind. Wie z.B. digital signierte Dateien von Herstellern, denen wir vertrauen, oder wenn Dateien bereits älter sind und über mehrere Tage keine Funde gezeigt haben und auch nicht verändert wurden. Ansonsten würden wir in das beschriebene Problem laufen, dass Malware durch eine später hinzugefügte Signatur nicht erkannt werden würde.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.