darktwillight hat geschrieben:Die Schwierigkeit, bei einer Analyse von Malware und Unbekannter Malware ist abhängig vom
Malware-Erkennungsalgorithmus. ...
Die Schwierigkeit besteht v.a. in der Manpower, die aus wirtschaftlichen Gründen immer mehr zurückgeht. Bei Symantec z.B. gibt es gar keine echten Analysten mehr.
Im Kern ist es bei jedem Anbieter so, dass alles was eingesandt wird erstmal durch automatische Analysesysteme läuft, wo z.B. bei KL (da weiß ich es) die Trefferquote schon deutlich über 95% ist. Der Rest wird da z.B. noch manuell von Personen geprüft: Statisch und wenn das nicht eindeutig ist, aufwendig dynamisch. Die Analysen kann man übrigens nicht mit bekannten HIPS/BB Analysen vergleichen, die melden nur einen Teil und finden in diesem Umfeld keinerlei Anwendung.
Problem: Bei dieser Unzahl von unbekannten Files (ich spreche erstmal nicht von Malware) ist das nicht mehr wirklich zu schaffen. Und da greifen andere Kriterien: Verbreitung nach Metadaten, Quelle, Erkennungen anderer etc.
Genausowenig ist es ja sinnvoll alles unbekannte erstmal zu blockieren und anzumeckern auch wenn das viele mittlerweile gern machen. EP_X0FF spricht deshalb sogar davon, dass es nur noch 5 echte AVs gibt ;)
__
Der Nutzer steht nun vor einem anderen Problem: Einerseits die geschürte Angst, dass er sich an jeder Ecke im Internet permanent infizieren kann. Dem ist nicht so. Bei einigermaßen normalem Verhalten kommt man kaum mit Malware in Kontakt, auch der Müll der manchmal direkt in den Mailpostfächern landet wird zum Glück von den meisten Nutzern auch ohne AV erkannt.
Für den normalen Nutzer stellt sich nur das Problem: Was ist wenn ich doch mal unbewusst mit Malware in Kontakt komme? Hier soll das AV helfen, was das als schädlich erkennt wird nicht ausgeführt. Dabei ist es aber strenggenommen egal, ob er ein AV nutzt, was in Tests 99,x % erkennt oder eines was nur 94% erkennt. Wenn das eine File nicht erkannt wird, mit dem man in Kontakt kommt, hat man das Problem...
Nur wenn die Tests sorgföltig zusammengestellt werden, könnte man Rückschlüsse ziehen, dass das in der Vergangenheit beste AV auch zukünftig das bessere ist. Die meisten machen das aber permanent und so kommt es zu dem, was Ernst
hier wunderbar zusammengefasst hat.
Und das wissen die Hersteller...es gibt genug, die um die Werbewirkung dieser Tests wissen.
Bei den professionellen Tests gibt es Stimmen, die sagen diese Tests wären im gewissen Sinne berechenbar und man kann sich auf diese Tests hin optimieren. (Wäre ja auch schlimm, wenn Tester ein besseres Findeverfahren hätten als Anbieter.)
Als Beleg gibt es Aussagen aus den letzten Jahren von KL, ESET, AVIRA, Trend das man bald besser abschneiden. Kurz darauf war es so. Realität dieser Tests?...
Bei privaten Tests, wie man sie hier durchführt: was testen wir da? In der Regel statische Erkennung, strenggenommen sogar nur Reaktionszeiten. Denn wenn die Packs hier auftauchen sind die Files den meisten AVs schon bekannt (direkt über das submitten oder indirekt über VT bzw. Erkennungen anderer). Die Frage wäre dann, warum bummeln einige so?
Auch hier gibt es gewisse Optimierungen: Einige haben die Werberelevanz davon entdeckt und pflegen das bevorzugt ein, beobachten einschlägige Foren etc.. Zudem spielt es bei vielen auch eine Rolle wer etwas einsendet, manche bekannte Einsender werden priorisiert behandelt.
Alles verständlich - alles verwirrend. Teufelskreis! Wo bleibt nun die Realität ? :)
