Hallo,


bei Avast NG handelt es sich um eine Virtualisierungstechnologie, die zur Zeit von Avast DeepScreen genutzt wird.

WICHTIGER HINWEIS: Avast NG wurde aus Avast 12.x entfernt, da die Technologie zu viele Probleme auf den Rechnern der Nutzer verursacht hat. Avast NG wird in den cloud-basierten Systemen von Avast genutzt und liefert dort auch vielversprechende Ergebnisse. Allerdings ließ sich in der Vergangenheit nicht gewährleisten, dass diese Technologie auch auf den zahlreichen unterschiedlichen Windows- bzw. PC-Konfigurationen der Nutzer einwandfrei funktioniert. Mittlerweile wurde es durch Avast CyberCapture ersetzt.


Funktionsweise


Die selbstentwickelte Virtualisierungstechnologie von AVAST, die von DeepScreen, Sandbox und SafeZone genutzt wird, schränkt Anwendungen, die in der Sandbox ausgeführt werden und das System verändern wollen, ein.

Was für Sandbox und SafeZone gut funktioniert, ist für die DeepScreen-Analyse jedoch nicht optimal. Da Windows aber ein große Anzahl von verschiedenen APIs und Frameworks bietet, sollten Interaktionen der von DeepScreen zu analysierenden Prozesse mit diesen Schnittstellen auch erfasst werden. Daher sollte Malware, die von DeepScreen analysiert wird, sich möglichst ohne Einschränkungen möglichst frei bewegen können.

Mit der selbstentwickelten Virtualisierungstechnologie werden aber Versuche Kernel-Mode Treiber zu laden unterbunden. Kernel-Mode lässt sich nicht überwachen, daher kann Malware das gesamte Betriebssystem kontrollieren, sich selbst verstecken, zum Internet verbinden, etc. Weiterhin wird auch der Aufruf von undokumentierten Systemaufrufen auf 64-bit Betriebssystemen unterbunden. Avast nutzt dabei einen eigenen Hypervisor Treiber um 64-bit Betriebssysteme zu schützen, aber dieser funktioniert nicht auf älteren PCs oder mit deaktivierter VT-X/AMD-V Funktion im BIOS.

Avast NG, das auf der Open-Source Lösung VirtualBox basiert, hilft an dieser Stelle, Malware ohne Restriktionen zu analysieren. Malware kann auf diese Weise Kernel Treiber laden, Windows Dateien löschen, die Festplatte formatieren oder beliebige weitere Aktionen ausführen, ohne das Gefahr für das eigentliche System besteht. Das eigentliche Betriebssystem wird dabei virtualisiert, Malware dann in dieser virtuellen Maschine ausgeführt und beobachtet.

NG wurde bereits Monate vor dem Release von Avast 2015 bei einem Teil der Avast Nutzer getestet, eine große Anzahl von Hardware/Software-Konflikten behoben und die Leistung verbessert. Interne Tests haben gezeigt, dass NG die DeepScreen-Analyse um ca. 30% verbessert.


Installation


Nach der Avast Installation, dauert es ein paar Minuten, bis Avast NG vorbereitet hat (dieser Prozess läuft mit niederiger Priorität im Hintergrund).

Avast NG Systemanforderungen:



  • Physische Maschine (virtuelle Maschinen werden nicht unterstützt, da sich gezeigt hat das die CPU verschachtelte Virtualisierung unterstützen muss und die Virtualisierung sehr langsam war)
  • Windows 7 oder höher
  • Windows XP und Vista werden nicht unterstützt
  • Mindestens 1.8 GB RAM unter 32-bit, 3.8 GB RAM unter 64-bit
  • VT-X/AMD-V muss im BIOS unter Windows 8 32-bit und höher sowie unter allen 64-bit Systemen aktiviert sein (NG läuft auf allen anderen Systemen ohne aktiviertes VT-X/AMD-V)
  • SSD Festplatte (andere Festplattentypen werden nicht unterstützt)


Falls NG nicht in einer benutzerdefinierten Installation als Komponente angezeigt wird, lässt sich in der Setup.log unter C:\ProgramData\AVAST Software\Persistent Data\Avast\Logs\ nachvollziehen, warum Avast NG nicht installiert werden konnte.

Wenn die Hardwarevirtualisierung zur Verfügung steht, verwendet Avast NG um Malware mit DeepScreen zu analysieren, ansonsten wird die klassische Sandbox Technologie verwendet. Das gilt auch für den Fall, das zu wenig Systemressourcen zu Verfügung stehen.