Rytoss hat geschrieben:@ SLE
Mich würde jetzt mal interessieren welche 3-4 AVs DU da genau meinst, die eben diese guten proaktive Mechanismen, Anti Exploit Mechanismen haben ...
Ich denke mal das Kaspersky sicherlich ein Hersteller davon ist ...
Wie "ordnest" du zB Webroot ein, die ja einen leicht anderen Weg gehen. Auch Trend Mirco legt wohl auch anscheinend mehr Wert auf guten proaktive Mechanismen, wie ist deine Meinung zu Trend Mirco?
@Rytoss: Ich habe es nicht überlesen, komme aber erst jetzt zum Antworten.
AVs von den ich sicher weiß, dass die entsprechende Mechanismen, die auch funktionieren, mitbringen sind: Kaspersky, Sophos, F-Secure und EAM. Eingeschränkt auf jeden Fall noch ESET (Exploitschutz ja, proaktiv fernab der guten Heuristik/Signaturen nur über die nicht dokumentierten automatischen HIPS-Regeln) und Bitdefender. In früheren Versionen auch Symantec (aber das wurde zugunsten der Reputation scheinbar aufgegeben)
Zu TrendMicro kann ich leider gar nichts sagen, außer das sie ein sehr detailliertes Cloud System aufgebaut haben, weil ich es nicht kenne.
__
Webroot zähle ich ausdrücklich nicht dazu und ich halte gar nichts davon.
Der Identitätschutz ist sicher ein proaktives Feature, dass v.a. den Browser absichert. Der Rest ist eher Marketing und nicht nachvollziehbar. Kurz: Das AV ist keines als solches, sondern nachgewiesenermaßen ein reiner Checksummenscanner. Leicht geänderte Variante - Erkennung pfutsch. Und es gibt Schadsoftware, die bei jedem Download unwesentlich verändert wird.
Hinzu kommt: Wenn hier im internen AVs getestet werden die besser/schlechter abschneiden als in den großen Tests ist ja ein plausibles Argument: Verbreitung. Bei Webroot ist es aber so: Es schneidet sowohl bei Privattests als auch bei offiziellen Tests schlecht ab. Deren Argumentation zuerst: Die Malware ist allesamt irrelevant, weil nie in der Cloud gesehen. Auf Hinweise, dass dies nachweislich bei einigen Instituten nicht stimmt kommt dann immer: Ihr versteht Webroot nicht, das funktioniert anders. Die offizielle! Version war dann: Webroot ist nicht testbar und tritt aus alles Tests zurück. (im Hintergrund lief was anders ab! ;)) Neueste Marketing-Idee: Infektionen machen nichts, weil Webroot alles protokolliert und das geniale Rollback Feature, wenn irgendwann mal was als schädlich erkannt wird, das zurückspielen kann.
Probleme hierbei:
Dann kann es zu spät sein, weil schon Logindaten weg sein können, Files verschlüsselt etc. (und alles hält der Identitätsschutz nicht auf). Es gibt genug Fälle, wo das Rollback nicht funktionierte (aber da waren natürlich die Nutzer schuld). Die Journale die für das Rollback versteckt angelegt werden nehmen oft einige GB in Anspruch (wie war das mit dem super schlanken AV das wenig RAM und Festplattenplatz einnimmt? )
Das WSA super performt läuft steht außer Frage, es macht ja nichts außer Checksummen vergleichen, während andere Scanner Dateien und Dateiinhalte analysieren.
Aber die Argumentation nicht testbar verstehe ich nicht. Nachweislich verbreitete Malware vom Scanner nicht erkannt: Fail. Ein AV soll Sachen erkennen und Infektionen so oft wie möglich verhindern. Rollback hin oder her, zum zurückspielen nach Befall gibt es Image Programme die wirklich funktionieren.