Beiträge von landy

  • Selbstschutz mit AutoIT

    Zunächst vielen Dank für die zahlreichen weiteren Antworten!

    misterspeed: naja, dafür kannst du Trend recht einfach runterhauen - trotz PW Schutz. Steuer mal die "ntrmv.exe" mit Parameter -331 an. Ist dazu noch silent. Und ciao :P

    Finde aber deinen Vorschlag bislang am Besten, ist eine super Idee! Vielen dank!!!

    chesstiger : Danke, aber ich denke so eine Funktion nutze ich nicht. Ich möchte wie gesagt nichts manipulieren o.Ä.

    Was du da bzgl. Nutzerrechten sagst ... ja, so ist es. Macht nur !leider! kein Schwein. Treffe in den seltensten Fällen Kunden an, die das Prinzip einer Berechtigungsstruktur verstanden haben... :-/ Glaube da sollte ich mal Bioshade als Consulter hinschicken...


    ... und wo ich gerade daran denke:

    Hallo Bioshade,

    zunächst auch dir, vielen Dank für deine Ausführung.

    Dazu ein paar Anmerkungen...

    1.) Wir sprechen hier durchaus über die Business Variante: Die Kaspersky Business Security, eingesetzt mit dem Kaspersky Security Center als zentrales Management zur Verwaltung der Kaspersky Endpoint Security 10 SP1.

    Die Kaspersky Business Security enthält eine FDE, Patchmanagement, Device Control, Application Startup Control + gängige sowie proaktive AV Komponenten. Wäre mir neu, dass dies in Heimanwenderprodukten der Fall ist.

    Dazu aber noch eine Frage: Kennst du Kaspersky überhaupt aus dem Business Segment? Denn seltsamerweise, ist gerade Kaspersky in exakt diesem Segment aufgrund seiner Erkennungs-/Fehlerkennungsrate im Vormarsch und aktuell nicht schlagbar. Dazu mach dich doch auch mal schlau bezüglich des Kernels, den Trendmicro und co nutzen. Weisst du welcher das ist und wie es um seine Schwachstellen bestellt ist?

    2. ) Auch diese Frage bringt mich zum Schmuntzeln, denn du hast offensichtlich den Sinn des Ganzen nicht mal verstanden: Wir reden nicht über Up-/Downstream, sondern wir sprechen über I/O's! Wenn ein Scan auf Anforderung läuft, ist es defakto so, dass die HDD ein Flaschenhals darstellt - egal was für eine CPU oder wieviel RAM. Das man da auf SSD's wechseln kann ist mir klar, allerdings müsstest du das zunächst Mitarbeitern des jeweiligen Managements erklären - die Entscheiden über Budget, sonst keiner.

    3.) Bislang hat kein "brauchbarer" Anti Virus, auch nur ein einziges Skript unsererseits entdeckt, denn wir haben ein solches Scantool bereits auf dem Markt - mit anderer Funktionsweise bzw. Funktionsprinzip. Dieses wird weder von Kaspersky, noch von Trend, Symandreck und wie sie alle heissen als Malware erkannt.

    Und wie ich bereits mehrfach betont habe, möchte ich KEINE Malware schreiben und verzichte auf Funktionen, die mir zu "hart" sind. Also wäre es nett von dir, wenn du nächstes Mal erst einmal liest, dann denkst ( ganz wichtig! ) - und DANN schreibst!

    Was für mich klar ist:

    Was du denkst, wer wieviel Ahnung von IT-Sicherheit hat, interessiert mich in etwa so, wie wenn in China jemand auf einem Sack Reis sitzt, einen Schmetterling so feste gegen eine Felswand donnert, dass im tiefsten Kongo ein Kapuzineräffchen das Popeln unterbricht. -> 0

    Und GERNE können wir uns auf der nächsten IT-SA treffen ( 18.-20. Oktober 2016 ), auf der vergangenen war ich wie die Jahre davor auch. Was seltsam ist: KasperskyLab selbst war auch da! Wir als Partner dort auch. Aber, ich dachte die haben im Business Segment nichts zu suchen? Warum hat das denn niemand den Veranstaltern gesagt? :(

    Und nochwas: Ohja... hast mich enttarnt. Ich habe nichts besseres zu tun, als mir ne Story auszudenken und eine Lösung zu bekommen. In Wahrheit bin ich ein Malware programmierer - kann zwar Schadcode produzieren, aber ein solches problem kann ich nicht lösen...

    Merkst du was?

    Und wieder bin ich pro IQ Test zur Internetnutzung...

    Grüße aus Trier,

    landy

  • Selbstschutz mit AutoIT

    Hallo!

    Zunächst danke an alle eure Antworten!!!

    autoBert: Doch, es gibt natürlich durchaus Planungsmechanismen, eigentlich zu genüge. Allerdings sind die vorgegebenen mechanismen bezogen auf manche Kundennetzwerke zu statisch - nicht flexibel genug. Leider ist es so, dass manche Kunden sonderwünsche haben. Zum zweiten ist ein solches Tool durchaus ein weiteres Verkaufsargument wenn es bspw. um eine Wechsel meinetwegen von Trendmicro zu Kaspersky geht. Allgemein gab es eine vielzahl von Argumenten weshalb wir ein solches Tool entwickelt haben, die Verkaufszahlen bestätigen uns darin.

    Das Problem ist auch hier nicht mit dem Support zu lösen, ich habe ein sehr gutes Verhältnis zum Partner Support. Nur werden solche Feature Requests erst dann bearbeitet, wenn die Anfragen von einer gewissen ANZAHL Kunden kommt und auch dann nur, wenn die ANZAHL der LIZENZEN entsprechend ist... leider scheinen diese Verhältnisse noch nicht entsprechend zu sein, zumal es doch so ist, dass lieber neue Features eingepflegt werden um Konkurrenzfähig zu bleiben, anstatt bereits vorhandene Features sinnvoll zu überarbeiten. Leider...

    Andy: Daher habe ich ja das Wort Garantie in "" gesetzt ;)

    Eine Garantie kann man nie geben, wir reden über Technik - es gibt nichts 100%iges! So verhält es sich auch bei einer Endpoint Security... allerdings will ich mein Bestes dafür tun, das mein Tool eben nicht einfach abgeschossen werden kann.

    Was manche Kunden angeht gebe ich dir zum Teil Recht, ja. Das Problem sind nur in den Meisten Fällen - 99,9% - nicht die IT Leiter selbst, sondern die Nutzer im Verbund mit dem Management. Du, wenn's Management dem IT Leiter sagt er sol das und das machen, dann kann der IT Leiter entweder kündigen und woanders hin gehen, oder er setzt es eben um! Ist eben so. Und letzten Endes sind auch solche Kunden viel Wert, denn da kann über Dienstleistung wie du schon schreibst, viel gemacht werden.

    Zumal das wonach ich hier Frage, nicht mal eine Anregung eines Kunden ist, sondern eine Anforderung und Herausforderung die ich mir selbst auferlegt habe!

    kaesereibe: Diese Möglichkeit haben die Nutzer, kannst Gruppenaufgaben bspw. entsprechend zur Verwaltung freigeben. Wenn du mich fragst reicht das auch. Aber........ ;)

    Müsste mir aber beide Vorschläge von dir ebenfalls mal anschauen. Hatte mal mit Diensten rumgespielt, habs aber iwie nie richtig hingekriegt und es dann aus zeitlichen Gründen ganz gelassen. Über diesen Weg habe ich aber bspw. herausgefunden, dass ich die UAC mit einer GPO wunderbar übergehen kann - ist doch auch was :D

    Nochmals vielen Dank für eure Antworten!!

    Grüße aus Trier,

    landy

  • Selbstschutz mit AutoIT

    Hallo Kaesereibe,

    danke dir für deine Antwort!

    Werds mir mal anlesen, mal schauen ob ich da weiterkomme.

    Rechtlich denke ich aber ist das Ganze nicht wirklich fragwürdig, ich möchte ja keinen vorhandenen Prozess bzw. eine andere Software manipulieren, sondern würde einen eigenen Prozess dazu nutzen.

    Der Gedanke war wie gesagt, statt 1 Prozess mit Subprozess, 2 Prozesse zu haben die zwar aufeinander achten, allerdings miteinander nichts zu tun haben. So könnte ich einen Prozess ein wenig "tarnen", um den Nutzer nicht aufmerksam zu machen das er diesen prozess killen muss.

    Viele Grüße!

    landy

  • Selbstschutz mit AutoIT

    Hallo Community,

    ich habe nun viel gelesen, nichts gefunden und möchte trotzdem einen Versuch starten:

    Ich arbeite bei einem IT Sicherheitsunternehmen im Bereich Support und Consulting. Hauptsächlich supporte ich Produkte der KasperskyLab Business Security Suite, für welche ich Zusatztools entwickle um den tagtäglichen Umgang mit den Produkten für meine Kunden ein Stück zu optimieren.

    Dazu habe ich ein "Scantool" entwickelt, zugegeben, die Idee stammte nicht von mir. :)

    Jenes Scantool startet mit jedem Start des Betriebssystems und kommt 15 Minuten nach Start mit einer GUI hervor.

    Darüber kann der Benutzer bequem wählen, wann er einen Fullscan machen möchte ( Zusätzlich sind Dinge wie ein Zwangsscan ( wenn zu lange nicht gescannt wurde ) etc eingebaut.

    Der Sinn dahinter ist, dem Benutzer die Wahl eines Scanzeitpunktes so flexibel wie möglich zu gestalten und ungewünschte Performanceverluste während der Arbeitszeit weitestgehend zu verhindern.

    Nun zur Frage:

    Zwar habe ich die GUI mit all ihren Buttons so gebaut, dass sie nicht beendet werden kann. Allerdings ist mein Skript über einen Task Manager recht einfach zu beenden. Also dachte ich daran, einen Watchdog Prozess zu bauen und beide Skripte aufeinander aufpassen zu lassen. Da liegt aber das Problem, dass wenn Skript A Skript B startet, Skript B natürlich ein Subprozess von Skript A ist. Mit Process Explorer oder ein wenig Affinität zur IT also recht einfach zu beenden.

    Besser wäre es, wenn Skript A mit dem Start von Skript B einen eigenen Prozess startet, welcher eben nichts mit Skript A zu tun hat. So könnte einer der Prozesse weniger "Auffällig" benannt werden, um den Nutzer nicht auf sich aufmerksam zu machen. Ist so etwas möglich?

    Alternativ dachte ich daran, einen Kennwortschutz auf das Beenden des Prozesses zu setzen. Allerdings muss ich gestehen, dass meine Programmierkenntnisse so weit nicht reichen, denn ich sehe ein Problem darin, meinen Prozess bzw. das Ereignis "Kill Process" abzufragen im Verbund mit der PID für mein Skript.

    Da ich in vielen Foren zu solchen Fragen wie ich Sie nun stelle viele kritische Kommentare in Richtung "Willst du Malware programmieren?" gelesen habe, möchte ich klarstellen, dass mein Vorhaben keinen schadhaften Zweck hat! Ich möchte somit dem Kunden einfach nur eine "Garantie" geben können, dass regelmäßige Scans auf seinen Endpoints stattfinden und die Benutzer nicht einfach mir nichts dir nichts das Tool beenden können.

    Daher fallen für mich Dinge wie "Prozess verstecken" oder sonstige malwareähnliche Lösungsanätze definitiv raus! ( Okay, zugegeben, mit einem Watchdogprozess wäre ich ja schon nahe an letzterem dran... )

    Ich bin auf euer Feedback gespannt und sage im Voraus: Vielen Dank!

    Viele Grüße aus Trier!

    landy