Virenscans unter Windows10 in eigene Anwendung einbauen

  • Andreas
    Sorry, dass ich mich jetzt erst melde aber ich mach den Windows-10-PC nur wiederwillig an
    Heute morgen dein Testprogramm runter geladen, nach kurzer Zeit kam eine Fehlermeldung von System
    "Anwendung wegen einem Problem geschlossen usw..."
    Danach Ende
    AVAST ist als Virenprogramm installiert.

  • Prozesse scannen lassen...32 Sekunden später "Programm funktioniert nicht mehr"


    Windows 10 Pro, Emsisoft Internet Security.

  • Vielen Dank an euch. Durch eure wirklich sehr guten Fehlerbeschreibungen konnte ich den Fehler recht schnell finden. Ich habe eine neue Version des Scanners hochgeladen - die müsste jetzt funktionieren.
    Ich suche noch mehr Tester - möglichst mit unterschiedlichen Virenscannern. Ihr seit echt TOP!

  • Upgrade Vollversion Win 10 Home und Avast



    ### alt ###


    Beim 1. Scan:
    64Bit AMSI Scanner funktioniert nicht mehr


    Visual Studio Debugger meldet:
    Ausnahmefehler bei 0x00007FFA66EF255F (amsi.dll) in AmsiScanner64.exe: 0xC0000005: Zugriffsverletzung beim Lesen an Position 0x0000000000000010



    ???: Kannst Du das Fenster bitte in die Mitte setzen. Bei mir landet das immer unter der Taskleiste - hab meine oben.



    ### neu ###


    Beim 1. Scan:
    Logbuch Teil 1 (deaktiviert)


    Ich habe 12 GB RAM und eine volle 2 TB Platte... (also in 2 Wochen dann)


    ???: Kannst Du da irgendwas flimmern lassen, das man weiß - das Programm arbeitet noch...


    (die Sysinternals-Datei Streams.exe kann da auch hinein schauen; und wir als Programmierer ja auch; da ist ne Menge Schrott drin: Download-Timestamp usw. - hatte schon mal durchgeforstet)

    Programmieren, das spannendste Detektivspiel der Welt.

    2 Mal editiert, zuletzt von Michael Wodrich () aus folgendem Grund: Onlineversion wieder gelöscht bei Speedy

  • [Link vom Moderator auf Wunsch gelöscht]
    Windows 10 pro x64 Vollversion-Upgrade
    Kaspersky IS 2015

    Einmal editiert, zuletzt von AxT ()

  • Zwei Wochen wird das nicht dauern.
    Das Ding ist erst einmal ein Testprogramm - es geht mir eigentlich nachher um die DLL. Was flimmerndes dort nachher in eigene Programme einzubauen, wird sehr einfach werden. Ich will das Proggie nicht mit irgendwelchem Mist überlasten, da der Quellcode eventuell Teil des Packets werden wird.
    Mir geht es bei der DLL unter anderem um die Suche nach ADS. Es wird mit der DLL möglich sein, mit sehr geringen Programmierkentnissen nach ADS suchen zu lassen, wenn das System es unterstützt in dem ADS nach Viren zu scannen und danach zum Beispiel deren Inhalt anzeigen zulassen. Das wird nicht nur unter 10 funktionieren, sondern auf allen Windowssystemen ab XP.

  • Bitte einmal einen Blick auf die LOG-dateien werfen.
    In der Regel findet sich da am Ende folgender Eintrag:


    Zitat

    AmsiInitialize: Es sind keine Daten mehr verfügbar.

    Die Meldung bedeutet, dass der Windows Defender deaktiviert ist und der installierte Scanner das Interface nicht unterstützt.
    Im Prinzip dürfte im Augenblick nur der Windows Defender das Interface unterstützen.
    Was bedeutet das aber?
    Malware ist auf der Festplatte oft in codierter Form vorhanden. Erst durch Vorgänge im Speicher entsteht der eigentlich ausführbare Code, der sich wirklich identifizieren lässt. Nach meinen Infos nutzen einige Systemkomponenten, die Code in Form von Scripten ausführen, das AMSI, um Malware rechtzeitig stoppen zu können. Unterstützt der Scanner AMSI nicht, funktioniert das natürlich nicht und die Systemkomponente lässt Sachen durch, die sie ansonsten stoppen würde.

  • Ich werd den Klopper nicht hochladen....
    Da steht überall...


    nicht gescannt (0) | Falscher Parameter. AmsiInitialize: Es sind keine Daten mehr verfügbar.

    Programmieren, das spannendste Detektivspiel der Welt.

  • Bei mir hatte sich der Defender immer abgemeldet mit dem Hinweis, das er abgebrochen ist da ein Virenscanner aktiv ist. Also hab ich den Defender endgültig gekickt....

    Programmieren, das spannendste Detektivspiel der Welt.

  • Also muss ich jetzt den Defender wieder aktivieren?

    Nein. Man sollte bei den Antivirenhersteller darauf hinwirken, das möglichst bald AMSI unterstützt wird. Solange der User keine Ahnung hat, was AMSI ist, kümmern die Antivirenhersteller sich nicht darum, wie die das integrieren können.

  • Zwar zieht man sich auf der einen Arsch etwas blank, wenn man einen anderen Scanner als den Defender nutzt - auf der anderen Seite ist die Erkennungsrate des Defenders aber nicht so, dass ich ihn empfehlen würde.
    Es fragt sich dann, welche Seite des blanken Arsches empfindlicher ist, wenn da eine Biene rein sticht.
    Als einzige Möglichkeit sehe ich hier AMSI etwas in den Mittelpunkt des Interesses zu rücken. Da gehört es meiner Meinung nach hin.

  • Ich werd den Klopper nicht hochladen....
    Da steht überall...


    nicht gescannt (0) | Falscher Parameter. AmsiInitialize: Es sind keine Daten mehr verfügbar.

    Wichtig ist mir hier, dass die Suche nach ADS korrekt abgeschlossen wurde und das die Rückmeldung des Scanners korrekt ist. Die Suche nach ADS soll ja auch funktionieren, wenn kein kompatibeler Virenscanner installiert ist und auf Betriebssystemen kleiner als 10. Es soll nur vor dem eventuellen Öffnen eines ADS aus einer Liste heraus ein Virenscan durchgeführt werden, wenn das möglich ist.
    Ein Klopper ist das also nicht - nur für jemanden, der nicht versteht, was die DLL am Ende tun soll.
    Ich hoffe, das ist jetzt geklärt.
    Desweiteren ist mir wichtig, wie lange der Scan gedauert hat - gerade bei jemanden, der annimmt, er würde mehrere Wochen dauern.

  • Er war nach gefühlten 2 Stunden (realen 10 Minuten) fertig.


    Und das Log war auch nicht so groß, wie ich es bei Virenscannern gewohnt bin, denn da werden ja auch alle 2 Mio. ZIP-Archive geöffnet und der Inhalt mit gelistet.


    Also :top:

    Programmieren, das spannendste Detektivspiel der Welt.

  • Nur noch mal zum Verständnis:
    Der eigentliche Virenscan wird bei dir im Prinzip gar nicht durchgeführt - dein Scanner ist inkompatible. Die Zeit, die der wirkliche Virenscan bei der ADS Suche benötigt, geht gegen 0, wenn er denn durchgeführt wird. Was 10 Minuten dauert, ist die Suche nach Alternate Data Stream - dabei werden alle angeschlossenen Festplatten durchsucht, alle Ordner und Dateien durchgegangen.
    Nur zum Vergleich: Mit reinem XProfan Code könnte das wirklich Tage dauern. Tage, in deinen deine Anwendung natürlich nicht auf keinerlei Tastendruck reagiert, weil reines XProfan nicht multithreadingfähig ist.
    Du kannst also mit den DLLs eine Suche nach Alternate Data Streams starten, die jederzeit aus deinem XProfan Programm heraus abbrechbar ist. Die 10 Minuten, die so eine Suche dauert, kannst du in deinem XProfan Programm irgendetwas blinken lassen, in der Statusbar wechselnde Texte anzeigen lassen, die darauf hindeuten, das etwas geschieht - oder sonst was sinnvolles oder sinnloses tun.
    Am Ende liefert die DLL eine mehrteile Liste - die Liste sieht im Prinzip genau so aus, wie die Liste im Listview nach dem Scan. Dein Programm erhält Rückmeldung von der DLL, wenn diese Liste erzeugt wurde. Dein Programm kann dann die Einträge einzeln auslesen und in ein Array oder zum Beispiel in ein Listview eintragen (wie das die Testanwendung tut).
    Mit den gefundenen Namen der ADS kann dein Programm dann tun, was es möchte - zum Beispiel einen vom User ausgewählten ADS analysieren, ob ausführbarer Code drin stehen könnte, den ADS zur Anzeige des Inhalts öffnen, ihn auf Wunsch löschen, wenn er Probleme im System verursacht...
    Es gibt ja ein paar Programme, die nach ADS suchen können und die löschen können - das es auch nur ein einziges gibt, mit dem man sich vor der Löschung eines gefundenen ADS den Inhalt anzeigen lassen kann, damit man weiß, was man da überhaupt löscht, sehe ich im Augenblick aber nicht.

  • OK - neue Version hochgeladen mit Beschreibung der DLL und Quellcode in XProfan für ADS Suche.


    Hab einiges von Michaels Anregungen noch übernommen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!