Windows Talk

@Optimist

Jeder Rechner der an das Internet angeschlossen ist ist prinzipiell ein Client. Jeder Rechner der an das Internet angeschlossen ist, ist prinzipiell jedoch auch ein Server.
Dein Gerät, um es allgemein zu halten, mit dem Du gerade im Internet bist, ist ebenso ein Server, wie Server der diese Seite hostet.
Man differenziert dann jedoch doch genauer: Wenn Du, bzw. Dein Rechner z.B. eine http Verbindung (Kann auch jede Art von Netzwerkverbindung sein wie scp, ssh, https, tcp,...) mit dem Allmy Rechner herstellt und Daten erhälst, bist Du der Client. Dein Rechner kann allerdings auch in die Server Rolle schlüpfen, wenn der Allmy Rechner Daten von Dir erhält und verarbeitet.
Server im engeren Sinne sind Computer in Rechenzentren, die verschiedene Diente (z.B. DNS) für Clients bereitstellen.

Optimist schrieb:Wenn man den Scannern nicht immer trauen kann, dann muss ich mal ganz ketzerisch fragen :) : wozu braucht man dann überhaupt nen Virenscanner

Bei Virenscannern ist es wie mit allem: Es gibt gute und weniger gute.
Welche Scanner in Tests gut abgeschnitten haben, kannst du hier nachlesen.
http://www.av-test.org/de/

Natürlich gibt es auch immer mal neue Viren, die Scanner noch nicht kennen, weil diese Viren noch nicht in der Datenbank sind und die auch von der Heuristik (suche nach typischen Merkmalen von Viren) nicht erkannt werden. Aber moderne Scanner updaten ihre Datenbank alle paar Sekunden, so dass man auch schnell sicher vor neuen Viren ist. Er muss jedoch erst einmal erkannt und in die Datenbank eingepflegt werden. Solltest du das erste Opfer des Virus sein, wird es auch noch keinen Schutz davor geben.

Optimist schrieb:Hab ja auch schon von Fällen gehört, wo angebliche Viren angzeigt wurden, die gar nicht da waren

Ja, das nennt man false positives. Das kommt vor, wenn ein Scanner zum Beispiel ein Programm analysiert und merkt, das macht dubiose Dinge. Manchmal ist das aber von Programmen gewollt und soll so sein.

@Fennek

Fennek schrieb:Natürlich gibt es auch immer mal neue Viren, die Scanner noch nicht kennen, weil diese Viren noch nicht in der Datenbank sind und die auch von der Heuristik (suche nach typischen Merkmalen von Viren) nicht erkannt werden. Aber moderne Scanner updaten ihre Datenbank alle paar Sekunden.

Das Virus selbst kann, aber muss dafür nicht unbedingt neu sein. Man nehme einen bereits bekannten Virus, analysiere dessen PE Struktur, füge eine Decryptor Sektion im PE File hinzu, rekalkuliere alle Parameter verschlüssele dann das Virus bis auf den Decryptor und in den aller meisten Fällen, ist das schon ein Genickbruch für 80% aller AV Programme.
Die restlichen 20% kriegt man auch noch hin:
Keine oder wenige, unauffälige API Funktionen im Decryptor verwenden, alles in C oder Assembler reimplementieren, Anti Emulationstechniken und in der Regel versagen dann alle AV's.
Damit der Decryptor selber keine Virensignatur erhält muss sicher gestellt werden, dass keine Mutation wie die vorherige aussieht, lässt sich mit polymorphen Code erreichen.

http://download.adamas.ai/dlbase/Stuff/VX%20Heavens%20Library/static/vdat/tupoleng.htm (Archiv-Version vom 29.12.2014)

@mathematiker
Das Problem mit signaturfreien Viren ist ja, dass der Virus sich auch selbst nicht erkennt. Hab es nicht mehr genau im Kopf, aber hab mal gelesen, dass solche Viren das System dann schon mal gerne mehrfach befallen, was dem Scanner dann wieder auffällt.

@Fennek


Ja, ist aber auch nicht unbedingt notwendig. Wenn Du ein Botnet baust, kannst Du eine HWID des Bots erstellen, an den CC Server senden und abfragen, ob der PC bereits infiziert worden ist.

@mathematiker

mathematiker schrieb:...Wenn Du, bzw. Dein Rechner z.B. eine http Verbindung (Kann auch jede Art von Netzwerkverbindung sein wie scp, ssh, https, tcp,...) mit dem Allmy Rechner herstellt und Daten erhälst, bist Du der Client. ....

Demnach bedeutet Client sowas wie Empfänger?

Optimist schrieb:An sich ist Windows ein sicheres System, für clientseitig ausgerichtete Viren deshalb auch am attraktivsten.

Diesen Satz verstehe ich dann jetzt aber noch weniger. ;)
Windows = sicher, aber DESHALB für Viren am attraktivsten? (klingt für mich widersprüchlich?)

@Fennek

Fennek schrieb:Welche Scanner in Tests gut abgeschnitten haben, kannst du hier nachlesen.
http://www.av-test.org/de/

Danke Dir. :)

Manchmal habe ich den Verdacht, dass Viren von Virenscanner-Programmierern geschrieben werden (nach dem Motto: wem nützt es ) ;)


Könnt Ihr mir bitte das mal beantworten?:

gibts eigentlich Viren, welche die privaten Dateien erst nach sehr LANGER Zeit des Befalls verändern oder Löschen?

@Optimist
@Heizenberch

Optimist schrieb:An sich ist Windows ein sicheres System, für clientseitig ausgerichtete Viren deshalb auch am attraktivsten.

Optimist schrieb:Diesen Satz verstehe ich dann jetzt aber noch weniger. ;)
Windows = sicher, aber DESHALB für Viren am attraktivsten? (klingt für mich widersprüchlich?)

Hui, ja der Satz sollte anders lauten:

An sich ist Windows ein sicheres System, für clientseitig ausgerichtete Viren jedoch auch am attraktivsten. :-).

Optimist schrieb:Demnach bedeutet Client sowas wie Empfänger?

Der Dienst, gerade am empfangen und verarbeiten ist. Ein Rechner kann auch in mehrere Rollen schlüpfen.
Betrachtet man mal den Youtube Server als Einheit, hat er Funktionen, als Server zu fungieren und Daten an Clients zu senden, z.B. wenn Du Dir ein Video ansiehst und Funktionen, um Daten von Clients anzunehmen und zu verarbeiten, wenn Du ein Video hochlädst, dabei übernimmt der Server dann selbst parallel eine Client Rolle.

@mathematiker
ja, das mit dem Rollenwechsel hab ich verstanden. Ist sicher auch nichts anderes, als wenn man einem Menschen etwas gibt und andererseits empfägt man auch mal was. :)
Also ich merke mir mal, Client=Empfänger (weiß nicht, was es tatsächlich übersetzt heißt, bin jetzt aber auch zu faul zum suchen ;) ).

@Optimist

Optimist schrieb:gibts eigentlich Viren, welche die privaten Dateien erst nach sehr LANGER Zeit des Befalls verändern oder Löschen?

Selbstverständlich. Je nach Bedarf des Viren Autors. In der Regel sind jedoch wirtschaftliche Motive in Spiel, Daten werden da oftmals mehrmals täglich an die CC Server gesendet. Bei bedarf kann bei mancher Schadsoftware auch ein Livestream aktiviert werden, meines Wissens z.B. bei Citadell.

Daten zu verändern ist meist eher das Motiv von Geheimdiensten, klassische Virenautoren wollen eher Daten abfangen.
Programmiertechnisch ist es äußerst simpel, Daten zu verändern.

Wollte gerade noch ein Beispiel in C++ schreiben, habe es aber dann doch gelassen, bringt hier ja niemanden was.

@mathematiker

Noch mal zu den Viren:
Werden dann ALLE privaten Dateien befallen, oder nur Manche? Und wonach richtet es sich dann, welche befallen werden - Zufallsprinzip?

Könnte man es sehen, wenn eine Datei befallen ist, indem darin irgendwelcher Kauderwelch steht (Steuerzeichen usw...)?

mathematiker schrieb:Wollte gerade noch ein Beispiel in C++ schreiben, habe es aber dann doch gelassen, bringt hier ja niemanden was.

Wäre aber vielleicht interessant? ;)

@Optimist

Wir reden hier die ganze Zeit von Viren, das tun wir im Prinzip aus Gemütlichkeit, generell ist heutzutage, auch in der Viren- Programmieren und AV Programmiere Branche, damit meist allerlei Schadsoftware gemeint, also auch Würmer, Trojaner, etc...
Klassische Viren brauchen einen Wirt zum befallen. Das kann z.B. eine exe Datei sein, in der sich ein Schadprogramm versteckt.
Das kann auch eine .jpg Datei sein, allerdings braucht man dann dafür einen Exploit, also eine Sicherheitslücke im Parser des .jpg Files, bei PE Files (.exe Dateien oder .dll Dateien)brauch man das nicht.

Würmer brauchen z.B. keinen Wirt das sind oftmals einfach, in der Regel gecryptete, Executables.
Es gibt ganz verschiedene Arten der Infektion und Festsetzung im System, ich kann hier unmöglich alle durchgehen, das Themengebiet ist riesig.

Gehe ich mal von einem Virus aus, der sich an .jpg Dateien hängt. Im .jpg befindet sich für die Infektion nur ein kleiner Teil des Virus, der Teil, der die Sicherheitslücke ausnutzt. Meistens ist der Teil nur eine hundert Bytes groß, geschrieben in Assembler (für Menschen lesbare Darstellung von Maschinenbefehlen) oder, heute aufgrund von Data Execution Prevention (DEP) häufiger, deklarativ in C (Return to LibC Oriented Programming).
Wenn der User nun das .jpg File öffnet, wird der Shellcode ausgeführt, meistens stellt er eine TCP Verbindung zum CC Server her, um dann den weiteren weitaus größeren Schadcode nachzuladen.
Nehmen wir jetzt an, das Virus ist modular aufgebaut: Eine Routine zum ausspähen von Daten, eine Routine zum verbreiten, Routinen für die Verbindung mit dem CC Server und eine Steuerungslogik.
Nun ja, ein Ansatz wäre es, sobald der User ein .jpg File per E Mail an jemanden senden will (Die Aktionen des Users können mit Hooks protokolliert werden), den Shellcode in das .jpg File zu kopieren. Somit enthält der Empfänger auch ein korrumpiertes File.

Optimist schrieb:Könnte man es sehen, wenn eine Datei befallen ist, indem darin irgendwelcher Kauderwelch steht (Steuerzeichen usw...)?

Nein, jedes normale File sieht im Hex Editor "komisch" aus.
Nimm irgend ein File, schiebe es in den Hex Editor und guck Dir die ASCII Zeichen an, die machen scheinbar kein Sinn, sind jedoch gemäß dem Datenformat des jeweiligen Files strukturiert.
In Executables gibt es mehrere Sektionen: .data, idata, .code, .rscrc, ...
Jede Executable hat einen PE Header, der mit "MZ" anfängt, ein Erbe aus der DOS Ära. Darauf folgen dann allerlei Daten und schließlich die .Code sektion, wo der ausführbare Code in Hex Darstellung von Maschinensprache vorhanden ist.
http://msdn.microsoft.com/en-us/magazine/cc301805.aspx

Optimist schrieb:Wäre aber vielleicht interessant? ;)

Dann solltest Du mit dem programmieren beginnen :-).

@mathematiker

Könnte man es sehen, wenn eine Datei befallen ist, indem darin irgendwelcher Kauderwelch steht (Steuerzeichen usw...)?

-->
Nein, jedes normale File sieht im Hex Editor "komisch" aus.

Ja, bei Bildern usw. ist das der Fall. :)
Ich hatte mich falsch ausgedrückt. Ich meinte, ob man es in einer normalen Text-Datei sehen kann, wenn sie befallen ist?

@Optimist

Was meinst Du mit normal ? Eine .txt Datei ?
Wenn Du eine executable mit notepad öffnest siehst Du auch nur ASCII Zeichen, logisch oder ?

@mathematiker

mathematiker schrieb:Was meinst Du mit normal ? Eine .txt Datei ?

Das auch. Aber vor allem meinte ich z.B. *.doc

Wenn man diese öffnet, sieht man doch ganz normal den Text. Wenn nun da ein Schadprogramm drin oder dran ist, wie könnte man das sehen? Oder könnte man das gar nicht sehen?

@Optimist

das kommt drauf an, wo der Fehler im .doc Parser vorhanden ist. Das kannst Du nicht verallgemeinern. .doc ist mehr als der Text, denn Dur beim öffnen siehst.

@mathematiker
aha.

Ich muss noch mal darauf zurückkommen:

Optimist schrieb:Werden dann ALLE privaten Dateien befallen, oder nur Manche? Und wonach richtet es sich dann, welche befallen werden - Zufallsprinzip?

Ich meinte das alles unter der Vorraussetzung, dass mein Rechner infiziert wurde und der Schadcode mich einfach nur ärgern soll (gabs ja früher mal, dass sich da welche nur nen Spaß gemacht hatten).

@Optimist

Nochmal: Kommt auf die Intention des Autors an. Heutzutage will Schadsoftware eher weniger auf sich aufmerksam machen, IO Operationen verursachen unnötige Prozessaktivität. Also das alle Dateien befallen werden ist nur ein theoretischer Fall.
Befallen =/= verändern. Ransom Software macht das manchmal.

@mathematiker

mathematiker schrieb:Heutzutage will Schadsoftware eher weniger auf sich aufmerksam machen

Kann man es also ausschließen, dass einem heutzutage die Dateien einfach nur so aus SPAß gelöscht/verändert werden, bzw. passiert das nicht mehr aus Übermut, sondern nur wenn einen jemand auf dem "Kieker" hat?

Das würde mich aber trotzdem mal noch interressieren - halt im Nachhinein auf früher bezogen - WENN jemand nur Schabernack treiben wollte :) :

... wonach richtete es sich dann, welche befallen wurden - Zufallsprinzip?

Also ich fand die Präsentation an sich gestern ja etwas lieb- und leblos, aber die Holobrille sieht echt gut aus. Auch fand ich die Commitments zum Gaming auf PC gut und wichtig.
Das Surface Hub könnte für Business interessant sein. Mal abwarten was der Spaß kostet.
Das Windows 10 das erste Jahr für Upgrades von Win 7, Win 8.1 und WP 8.1 umsonst ist, war zwingend notwendig um die Adoptionsrate zu heben. Ansonsten bleibt es abzuwarten. Die Idee mit dem skalierten Interface ist nicht schlecht, aber mir fehlen noch Funktionen a la Handover und Continuity, an die ich mich sehr gewöhnt habe. Cortana auf dem Desktop ist ein nettes Gimmick.

Also es bleibt noch einiges zu tun, aber es ist definitiv ein großer Schritt in die richtige Richtung.

Der IE ist tot, wurde auch endlich zeit, das dieses miese stück code endlich verschwindet, naja, nutze eig. eh seit > 10 Jahren kein Wintendows mehr.

Aber es ist erfreulich zu hören, das es endlich auch M$ eingesehen hat. ;)

http://www.heise.de/newsticker/meldung/Microsoft-macht-Schluss-mit-Internet-Explorer-2577804.html