PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hinweis Avast DeepScreen



Merlin
20.04.11, 15:49
Hallo,

DeepScreen stellt einen automatisierten Vorgang dar, um das System vor Risiken bei der Ausführung unbekannter Programme zu schützen. Ob ein Programm von DeepScreen ausgeführt und analysiert wird, hängt von folgenden Kriterien ab:



Die Datei wird nach einer ersten statischen Analyse als verdächtig eingestuft (Ergebnis der Überprüfung durch den Dateisystem-Schutz).
Die Datei ist nicht weit verbreitet (Ergebnis der Überprüfung durch FileRep).
Die Herkunft/Bezugsquelle der Datei ist verdächtig (Ergebnis der Überprüfung durch den Dateisystem- und Web-Schutz).
Die Datei wird von einem Netz- oder Wechsellaufwerk ausgeführt (Ergebnis der Überprüfung des Dateisystem- und Netzwerk-Schutz).
Die Datei wird durch den durch die generirsche Heuristik als verdächtig eingestuft oder in einem verdächtigen Kontext ausgeführt (Ergebnis der Überprüfung durch den Dateisystem-Schutz).


Funktionsweise

Verdächtige Programme werden automatisch von DeepScreen gestartet und während ihrer Laufzeit analysiert. Dabei führt DeepScreen das verdächtige Programm in einer isolierten Umgebung aus und beobachtet folgende Aktionen des Programms:



Änderungen im Dateisystem, der Registrierung, Systemkomponenten, Netzwerkschnittstellen, usw...
Versuche, andere Prozesse zu beeinflussen
Versuche, Veränderungen an anderen ausführbaren Dateien durchzuführen


DeepScreen arbeitet als Ergänzung des Dateisystem-Schutz, d.h. wenn die Suchengine anhand der oben genannten Kritierien entscheidet, dass die ausführbare Datei verdächtig ist, laufen die nachfolgenden Aktionen ab:

Die Anwendung wird von DeepScreen ausgeführt und ein entsprechender Dialog wird angezeigt, der darüber informiert, dass avast! DeepScreen die verdächtigen Dateien analysiert. Hier wird auch der eigentliche Grund angezeigt, warum diese Datei verdächtig ist.
Die Anwendung läuft für ca. 15 Sekunden (ausser sie wird vorher beendet). Während die Anwendung läuft, werden Details darüber gesammelt, was sie dabei tut.
Die Ergebnisse aus der Analyse werden dann ausgewertet und

wenn es als schädlich eingestuft wird, wird der Benutzer mit den üblichen Optionen wie "in den Container verschieben", "Löschen", usw konfrontiert.
wenn die die Datei nicht als schädlich eingestuft wird, wird das Programm normal gestartet.



Der zu analysierende Prozess und der Zielprozess werden auf einer Art zweitem, isoliertem Desktop virtualisiert, die Beinflussung des Zielprozesses erlaubt und das Verhalten beobachtet, so dass eine tiefergehende Analyse der Veränderung im Zielprozess möglich ist.

DeepScreen entdeckt zur Zeit (Stand: Januar 2013) ca. 50000 Infektionen pro Tag. Das Virenlabor analysiert mit der AutoSandbox täglich ca. 40000 eindeutige Malware Proben und sammelt die Ergebnisse, auf 180 virtuellen Maschinen in Ramdisks und das 24 Stunden pro Tag.

Zur Virtualisierung der Prozesse wird Avast NG (http://forum.avadas.de/threads/6755-Avast-NG), das auf VirtualBox basiert, eingesetzt. Sollte der Rechner nicht den Anforderungen dieser Lösung entsprechen, wird die von AVAST selbstentwickelte und bis zur Veröffentlichung von Avast NG (http://forum.avadas.de/threads/6755-Avast-NG) eingesetzt Virtualisierungslösung genutzt, die auch von der Avast Sandbox und SafeZone verwendet wird.

Einstellungen
Die Einstellungen zur AutoSandbox befinden sich in der avast! Programmoberfläche unter:



Avast 2015: Einstellungen -> Allgemein -> DeepScreen einschalten
Avast 2014: Einstellungen -> Antivirus -> DeepScreen

Avast-Homenutzer
20.04.11, 16:12
Kann man bei der Freeversion irgendwie in die Autosandbox "reinschauen" um das gestartete Tool wieder zu deinstallieren?
Bei mir hat übrigens die Autosandbox prima funktioniert.

Merlin
20.04.11, 16:18
Hallo,

das ist nicht möglich. Die Änderungen werden auch wieder verworfen, nachdem das Tool in der AutoSandbox lief und dann beendet wurde.

Auggie
20.04.11, 17:29
Der IE 9 verhindert sogar die Ausführung bevor avast! das Tool bemerkt.
Ich hatte mir das Tool mit dem IE 9 heruntergeladen; offensichtlich wird das Tool dann auch gleich ausgeführt......zumindest gab der IE 9 eine Meldung aus, das die Ausführung blockiert wäre. Erst unter dem Punkt Aktionen ---> weitere Aktionen gibt es die Option Trotzdem ausführen, erst ein Klick darauf führt das Tool aus, d.h. die Auto-Sandbox meldet sich.
Von der Ausführung bleiben keine Spuren zurück.

Avast-Homenutzer
20.04.11, 17:45
Aha, also wenn ich das jetzt richtig verstanden habe dann ist das so wenn ich ein Programm herunterlade und die Autosandbox schaltet sich ein dann kann ich das Programm dann öffnen aber wenn ich es dann schließe ist es auch komplett vom Rechner also auch aus der Sandbox?

Merlin
20.04.11, 17:49
Hallo,


Aha, also wenn ich das jetzt richtig verstanden habe dann ist das so wenn ich ein Programm herunterlade und die Autosandbox schaltet sich ein dann kann ich das Programm dann öffnen aber wenn ich es dann schließe ist es auch komplett vom Rechner also auch aus der Sandbox?

die Sandbox ist ja gerade dazu da, um verdächtige Objekte ausführen zu können, ohne dass das normale System davon beeinträchtigt wird. Die Antwort lautet also "Ja" (es bleibt nichts auf deinem Rechner übrig), die Funktionsfähigkeit der AutoSandbox natürlich vorausgesetzt. Aber gerade dafür ist dieser Test ja auch da.

Avast-Homenutzer
20.04.11, 18:00
Man das fetzt ja. Das ist ja gerade zu genial. Gibt es denn bei der Autosandbox vom Hersteller so eine Art von vorgegebener "Blacklist" oder entscheidet die Software von Fall zu Fall? Oder vielleicht beides?

Merlin
20.04.11, 18:19
Hallo,

die avast! Heuristik Engine entscheidet, ob ein Programm in der AutoSandbox laufen sollte oder nicht, d.h. es wird jeder Prozess für sich betrachtet. Natürlich entspricht das Test Tool natürlich genau wie der EICAR Virus den Merkmalen eines verdächtigen Programms und wird dadurch erkannt. Es soll damit einfach geprüft werden, ob die Sandbox richtig arbeitet oder auch nicht.

sven71cb
20.04.11, 18:36
Super! Jetzt hatte ich endlich auch einmal die Sandbox in Betrieb. Hat super funktioniert:). Der Fuchs hat den Download ohne Meldung zugelassen:(.

Auggie
20.04.11, 19:08
Downloaden konnte ich das Tool auch problemlos, es ist gespeichert worden und wohl direkt danach ausgeführt worden.
Und genau das hat der IE nicht wollen.
Um das jetzt genauer zu ergründen, mache ich später mal einen Gegentest und wähle Ausführen statt speichern unter

raschi
18.06.11, 17:57
Verstehe das irgendwie nicht.
Es öffnet sich als erstes ein Fenster von Avast, und fragt mich "In der Sandbox öffnen"? Empfohlen. -> ja.

Dann kommt ein ziemlich kleines Fenster mit einem Button "Modify the System"
Klick ich dort drauf öffnet sich wieder ein neues Fenster mit

"Check the following places for modification" usw.

Wie muss ich das nun deuten??

raschi
18.06.11, 18:35
Habe es begriffen. Die AuotSandox lief bei mir nicht auf "Auto" ->umgestellt -> nun kam auch der passende Hinweis unten rechts.
Die Sandboxfunktion scheint mir echt ein sehr hilfreiches Tool zu sein.

Und der Unterschied zur Sandox in der Pro-Version ist dieser - das man verdächtige Programme permanent und nach Bedarf in der S.Box laufen lassen könnte - richtig?

TerraX
18.06.11, 18:51
Hallo,


Und der Unterschied zur Sandox in der Pro-Version ist dieser - das man verdächtige Programme permanent und nach Bedarf in der S.Box laufen lassen könnte - richtig?
hier mal ein Auszug aus der avast! Hilfe.

Die avast! Sandbox ist ein Spezielles Sicherheitsfeature welches Ihnen erlaubt im Internet zu surfen oder eine andere Anwendung in einer völlig sicheren Umgebung auszuführen. Dies ist besonders beim Besuch risikoreicher Websites sinnvoll (versehentlich oder absichtlich) oder wenn verdächtige Anwendungen ausgeführt werden sollen. Sie können die Programme (oder den Browser) in der Sandbox ausführen um festzustellen ob sie sicher sind oder nicht, während Sie vollständig gegen schädliche Aktivitäten des Programmes geschützt sind.

Merlin
26.06.11, 14:50
Hallo,

avast! DeepScreen (früher: AutoSandbox) basiert auf der gleichen Technologie wie die avast! Sandbox (http://forum.avadas.de/threads/5155-avast!-Sandbox) in avast! Pro / Internet Security und Premier. Der Unterschied ist, dass in bei avast! DeepScreen keine Programme zur Ausführung in der Sandbox manuell ausgewählt werden können. DeepScreen stellt einen automatisierten Vorgang dar, um das System vor Risiken bei der Ausführung unbekannter Programme zu schützen. Ob ein Programm von DeepScreen ausgeführt und analysiert wird, hängt von folgenden Kriterien ab:



Die Datei wird nach einer ersten statischen Analyse als verdächtig eingestuft (Ergebnis der Überprüfung durch den Dateisystem-Schutz).
Die Datei ist nicht weit verbreitet (Ergebnis der Überprüfung durch FileRep).
Die Herkunft/Bezugsquelle der Datei ist verdächtig (Ergebnis der Überprüfung durch den Dateisystem- und Web-Schutz).
Die Datei wird von einem Netz- oder Wechsellaufwerk ausgeführt (Ergebnis der Überprüfung des Dateisystem- und Netzwerk-Schutz).
Die Datei wird durch den durch die generirsche Heuristik als verdächtig eingestuft oder in einem verdächtigen Kontext ausgeführt (Ergebnis der Überprüfung durch den Dateisystem-Schutz).



Funktionsweise

Verdächtige Programme werden automatisch von DeepScreen gestartet und während ihrer Laufzeit analysiert. Dabei führt DeepScreen das verdächtige Programm in einer isolierten Umgebung aus und beobachtet folgende Aktionen des Programms:



Änderungen im Dateisystem, der Registrierung, Systemkomponenten, Netzwerkschnittstellen, usw...
Versuche, andere Prozesse zu beeinflussen
Versuche, Veränderungen an anderen ausführbaren Dateien durchzuführen


DeepScreen arbeitet als Ergänzung des Dateisystem-Schutz, d.h. wenn die Suchengine anhand der oben genannten Kritierien entscheidet, dass die ausführbare Datei verdächtig ist, laufen die nachfolgenden Aktionen ab:

Die Anwendung wird von DeepScreen ausgeführt und ein entsprechender Dialog wird angezeigt, der darüber informiert, dass avast! DeepScreen die verdächtigen Dateien analysiert. Hier wird auch der eigentliche Grund angezeigt, warum diese Datei verdächtig ist.
Die Anwendung läuft für ca. 15 Sekunden (ausser sie wird vorher beendet). Während die Anwendung läuft, werden Details darüber gesammelt, was sie dabei tut.
Die Ergebnisse aus der Analyse werden dann ausgewertet und

wenn es als schädlich eingestuft wird, wird der Benutzer mit den üblichen Optionen wie "in den Container verschieben", "Löschen", usw konfrontiert.
wenn die die Datei nicht als schädlich eingestuft wird, wird das Programm normal gestartet.



Der zu analysierende Prozess und der Zielprozess werden auf einer Art zweitem, isoliertem Desktop virtualisiert, die Beinflussung des Zielprozesses erlaubt und das Verhalten beobachtet, so dass eine tiefergehende Analyse der Veränderung im Zielprozess möglich ist.

DeepScreen entdeckt zur Zeit (Stand: Januar 2013) ca. 50000 Infektionen pro Tag. Das Virenlabor analysiert mit der AutoSandbox täglich ca. 40000 eindeutige Malware Proben und sammelt die Ergebnisse, auf 180 virtuellen Maschinen in Ramdisks und das 24 Stunden pro Tag.

Einstellungen
Die Einstellungen zur AutoSandbox befinden sich in der avast! Programmoberfläche unter:



avast! 2014: Einstellungen -> Antivirus -> DeepScreen
avast! 8: Antivirus -> Dateisystem-Schutz -> Einstellungen -> AutoSandbox

checkoff
11.12.11, 18:44
Hi!

Habe mir das Testool "autosandboxme" geladen und ausprobiert ( http://public.avast.com/dev/autosandboxme.exe ).

Folgendes: Ist die Autosandbox aktiviert, funktioniert alles. Es kommt eine Meldung und es wird gefragt usw...

Ist die Sandbox jedoch aus, kommt nichts (irgendwo logisch ^^).
Jetzt ist aber doch anzunehmen, dass diese Testdatei quasi ein Schädling ist, der verdächtig ist. Sollte bei deaktivierter Autosandbox nicht wenigstens ein Warnhinweis kommen? Quasi die Einstellungen des RealtimeShields greifen und die Datei als verdächtig behandelt werden?

TerraX
12.12.11, 06:24
Hallo,

wenn mein Hirn nach 9 Stunden Arbeit noch richtig arbeitet, ist es so...;)
Das Tool ist eigentlich nur gedacht, die Sandbox zu testen ob sie funktioniert.
Nicht mehr und nicht weniger!:)

Alfred E. Neumann
12.12.11, 07:09
Die Autosandbox ist um einiges empfindlicher als die übrigen Schutzkomponenten, meiner Meinung nach etwas überempfindlich. Sie hat bei mir bisher nur bei vertrauenswürdigen Programmen angeschlagen.

Merlin
12.12.11, 08:38
Hallo,

die Datei enthält keine Signaturen von Malware und verhält sich auch nicht wie Malware, daher schlagen die anderen Module auch nicht an. Sie ist halt dafür konzipiert, nur die reine Funktion der AutoSandbox zu prüfen.

checkoff
12.12.11, 17:07
Hey.

Das die Datei für die Sandbox ist, habe ich schon verstanden.

Aber ich hatte schon einmal ein File, das mit Sandbox verdächtig war, und ohne Sandbox keine Nachricht kam. Ich denke da an den Verhaltensschutz, der dann meiner Meinung nach greifen sollte. Ist ja quasi das selbe.

Naja, Avast wird das schon richtig machen. Ich habe halt die Autosandbox in Avast Free bei meinen Bekannten, die sich nicht so mit PCs auskennen, deaktiviert, um nicht unnötig vermeintliche Fehlalarme zu provozieren...
Ah, wäre noch interessant zu wissen, ob bei einem Alarm der Sandbox auch einen Benachrichtigung per Mail versendet wird.
Muss das gleich mal testen...finde diese Option übrigens genial!

Auggie
12.12.11, 20:28
Um das mal klar zu stellen:
Es ist keineswegs ein FP, wenn die Auto-Sandbox bei einer ausführbaren Datei vorschlägt, sie in der Sandbox auszuführen.
Die Auto-Sandbox pflegt eine Liste mit potenziell suspekter Software, ähnlich wie PUP.

Ich habe halt die Autosandbox in Avast Free bei meinen Bekannten, die sich nicht so mit PCs auskennen, deaktiviert, um nicht unnötig vermeintliche Fehlalarme zu provozieren...
Und damit beraubst Du gerade den Usern, die unsicher sind, einer sinnvollen Sicherheitsfunktion.

Ah, wäre noch interessant zu wissen, ob bei einem Alarm der Sandbox auch einen Benachrichtigung per Mail versendet wird.
Muss das gleich mal testen...finde diese Option übrigens genial!
Und wen soll die Mail erreichen? Den Besitzer des PCs ja wohl eher nicht, weil der kriegt die Meldung in Echtzeit auf den Bildschirm. Und ich brauche so eine Mail nicht, weil ich nicht über jeglichen Mist informiert werden muß, das auf dem System meiner Schwester so passiert.....wenn die sich unsicher ist, klingelt bei mir sowieso das Telefon.

checkoff
12.12.11, 20:34
hm, die sandbox arbeitet also nach einer whitelist? Oder verhalten? Oder heuristik? Würde das gerne verstehen...!

Für mich macht sie den eindruck eines verhaltenbasierenden scanners.

"Und wen soll die Mail erreichen?" - Ja, mich natürlich. Wenn es diese Funktion gibt, wieso sollte man sie nicht nutzen??? Meine Oma versteht solche Meldungen des Virenscanners z.b. nicht, und anrufen tut sie mich wegen sowas auch nicht.

Merlin
12.12.11, 21:27
Hallo,

um es mal genauer zu erläutern. AutoSandbox und Verhaltens-Schutz arbeiten mit verschiedenen Mitteln. Der Verhaltens-Schutz versucht die Aktionen, die ein Prozess vornimmt, nach von AVAST festgelegten Regelsätzen zu bewerten. Die AutoSandbox hingegen bewertet aufgrund von einer heuristischen Analyse. Früher wurde ohne AutoSandbox eine von der Heuristik erkannte Datei einfach als schädlich identifiziert, mit AutoSandbox wird ein Start in der AutoSandbox vorgeschlagen. Zugegeben...ganz so wie die vorherige heuristische Analyse arbeitet die AutoSandbox nicht. Das sieht man u.a. auch daran, dass sie wie Alfred E. Neumann anmerkte, auch etwas sensibler reagiert als es die Heuristik im Normalbetrieb tun würde.
Da die AutoSandbox in avast! 7 aber nochmal komplett überarbeitet wird (von der Zuarbeit des Virenlabors, aber auch von ihrer Engine), dürfte sich das Verhalten aber auch nochmal ändern.

Auggie
12.12.11, 22:19
"Und wen soll die Mail erreichen?" - Ja, mich natürlich. Wenn es diese Funktion gibt, wieso sollte man sie nicht nutzen??? Meine Oma versteht solche Meldungen des Virenscanners z.b. nicht, und anrufen tut sie mich wegen sowas auch nicht.
Und was fängst Du dann mit der Mail an? Nach 2 Tagen löschen? Sofort in den die Bahn hüpfen und den Besitzer des jeweiligen PCs Deine Aufwartung machen? Um bei Deiner Oma zu bleiben......wenn sie Dich nicht anruft, will sie den Sinn der Meldung auch nicht verstehen, also wird sie kaum Lust verspürn, Dir zuzuhörn, wenn Du plötzlich auf der Matte stehst.

Versucht mal, davon weg zu kommen, jedes Modul für sich zu betrachten sondern die Module insgesamt zu beurteilen. Fällt ein Modul aus (bzw. wird überwunden), greifen die anderen Module immer noch.
Und alle Module zusammen bilden ein durchdachtes Konzept.

Adama, hast Du Zeit, Deine kurze Erklärung zur Arbeitsweise der Auto-Sandbox hier in den Artikel über die Auto-Sandbox einzupflegen. Ich denke, das ist auch für andere UserInnen ganz hilfreich.

Merlin
12.12.11, 22:31
Hallo,


"Und wen soll die Mail erreichen?" - Ja, mich natürlich. Wenn es diese Funktion gibt, wieso sollte man sie nicht nutzen??? Meine Oma versteht solche Meldungen des Virenscanners z.b. nicht, und anrufen tut sie mich wegen sowas auch nicht.

kann ich auch gut nachvollziehen und gebe dir auch Recht, dafür gibt es die Funktion ja auch.


Und was fängst Du dann mit der Mail an? Nach 2 Tagen löschen?

Vielleicht die von dir so oft geforderte Aufklärung zu betreiben. Ich halte es nicht für schlecht, wenn man sich als Benutzer, der schon tiefer in der Thematik drinsteckt, um andere Nutzer kümmert, die nicht so vertraut mit der Technik sind.


Adama, hast Du Zeit, Deine kurze Erklärung zur Arbeitsweise der Auto-Sandbox hier in den Artikel über die Auto-Sandbox einzupflegen. Ich denke, das ist auch für andere UserInnen ganz hilfreich.

Eigentlich haben wir das hier schon: http://forum.avadas.de/threads/3260-avast!-Sandbox-AutoSandbox

Auggie
13.12.11, 08:51
Ich halte es nicht für schlecht, wenn man sich als Benutzer, der schon tiefer in der Thematik drinsteckt, um andere Nutzer kümmert, die nicht so vertraut mit der Technik sind.
Nie was andres behauptet, Voraussetzung ist aber, das der andre meine Hilfe will.....und das ist, wenn ich aufgrund einer automatisierten Mail tätig werde, zu 80% nicht der Fall.
Es gibt durchaus Bereiche, wo die Mailfunktion Sinn macht (Netzwerk-Admin wird über alle Funde informiert), die liegen aber nicht im privaten Sektor.

Merlin
13.12.11, 09:16
Hallo,

im privaten Sektor sehe ich auch einen Sinn darin. Wenn ich merke, dass der Betroffene auf eine Gefahr stösst, kann ich direkt reagieren und versuchen nachzuvollziehen, wie dieser damit konfrontiert wurde. So kann auch umgehend reagiert und geschult werden. Ob gut gemeinte Ratschläge dann helfen, ist stark abhängig von der Person und man kann nicht per se davon ausgehen, dass der Nutzer nichts dadurch lernt. Dann wiederum bräuchten wir auch niemandem Vorwürfe zu machen, dass er sich in den entsprechenden Situationen nicht richtig verhalten hätte und ein Virenscanner stände in der Pflicht alles abzufangen ;)

Die Option ist ja nicht umsonst eingebaut und wenn du mal die kommende Neuerung betrachtest, die ich im internen Forum angekündigt habe, sieht der Hersteller das ein Stück weit auch so. Sonst würde er solche Optionen, wie die hier bereits vorhandene, ja gar nicht einbauen.

checkoff
13.12.11, 11:15
@Auggie:
Manchmal verstehe ich einfach nicht, was du warum sagst.
Es ist eine sinnvolle Funktion, ich nutze sie. Es macht Sinn. Du musst aber unbdeingt in jedem Post darauf rumreiten und irgendwas ablassen...Wenn du es nicht verstehst, dass ich mich gerne um meine Oma kümmere - und auch um ihren PC - dann tut es mir leid für dich (Hier geht es nicht speziell um meine Oma ...^^ ).

Aber genau wie in einigen anderen THreads musst du immer vom Thema abweichen und über irgendwas diskutieren, was egtl nur ganz kurz angesprochen wurde, und es riesig aufblasen. Fast wie eben hier mit dieser MailFunktion. Und du hast natürlich auch immer Recht...

Aber deine Meinung über die Viruswarnung interessiert mich nicht!

Ich rede hier über die Autosandbox!

Falls ich jetzt aus dem Forum gelöscht werde: "war schön mit euch"
Dann lese ich halt nur noch .... ^^

Merlin
08.02.12, 22:35
Hallo,

der Artikel wurde jetzt auch für avast! 7 angepasst.

Merlin
24.02.12, 09:13
Hallo,

der Artikel wurde um die zukünftigen Änderungen der AutoSandbox in den nächsten avast! 7 Versionen ergänzt.

Max
03.05.12, 21:33
Hallo,
ich habe die Frage, war der Button "löschen" in der Autosandbox für eine Funktion hat.
Ist damit gemeint, dass das Programm aus der Sandbox gelöscht wird,
oder wird das unter dem hinterlegten Pfad befindliche Programm vom System gelöscht?
Falls ersteres gemeint ist, wäre die Bezeichnung "Löschen aus der Sandbox" anstatt "Löschen" für den Anwender hilfreich,
da in der Hilfe die unter Autosandbox angeboten wird nichts dazu hinterlegt ist.
MfG

Tomba
03.05.12, 21:52
dass das Programm aus der Sandbox gelöscht wird


Hallo max,

das ist damit gemeint.

Max
03.05.12, 21:56
Danke dir!

Merlin
14.02.13, 12:45
Hallo,

Artikel auf avast! 8 angepasst.

Merlin
02.07.14, 16:58
Hallo,

Artikel für avast! 2014 angepasst.

Merlin
21.10.14, 15:49
Hallo,

Artikel für Avast 2015 angepasst.