Virenscans unter Windows10 in eigene Anwendung einbauen

  • Es geht um folgendes Thema: Windows-10-API macht Virenscanner allgegenwärtig


    Mir schwebt da im Augenblick unter anderem die Entwicklung einer DLL vor Augen, mit der bestimmte Speicherbereiche (Buffer) auf Viren hin überprüft werden können. Auch für den PPFScanner dürfte das eine interessante Erweiterung sein.
    Mir geht es dabei um eine Sache, die Virenscanner zur Zeit noch nicht tun - nämlich Breiche im Speicher laufender Prozesse zu scannen, die keiner geladenen DLL zugeordnet sind...

  • Ist ein "Virenscan Interface", in dem andere Anwendungen Daten auf Viren hin prüfen können, eurer Meinung nach eine sinnvolle Erweiterung des Betriebssystems? 8

    Das Ergebnis ist nur für Teilnehmer sichtbar.

    Mich würden da folgende Sachen Interessieren:

    • Was passiert, wenn ein Virenscanner installiert ist, der das Interface nicht unterstützt bzw. wenn der WindowsDefwender deaktiviert ist und kein anderer Scanner, der installiert ist, das Interface unterstützt?
    • Welche Virenscannerfirmen planen, das Interface unter Windows10 in Zukunft zu unterstützen?
    • Wer hat sich programmiertechnisch mit der Sache bereits beschäftigt?
    • Ist das eurer Meinung nach eine sinnvolle Erweiterung - oder ist sie das eher nicht?
  • Die Dokumentation von Microsoft ist für diese API bereits nicht mehr ganz aktuiell. Mir ist es aber trotzdem gelungen, einen kleinen lauffähigen Code hinzubekommen, um die Sache anzutesten. Unterstützt der Hintergrundwächter des im Augenblick aktiven Virenscanners das Antimalware Scan Interface nicht, funktioniert die Sache nicht. Der Hintergrundwächter des Scanners muss zusätzlich auch aktiv sein.
    Nur mit MSE als Scanner wäre das eine Luftnummer. Würden auch andere weit verbreitete Scanner dieses Interface unterstützen, wäre das dagegen aber schon recht interessant.

  • Langsam entwickelt sich was. Im Prinzip könnte man mit der Technik auch ADS auf Malware hin scannen lassen.
    Ob ich das in die DLL einbaue, kann ich noch nicht genau sagen.

  • Speicherscan fremder Prozesse scheinen schon mal korrekt zu funktionieren. Wenn es bekannt ist, wird auch was gefunden (gerade getestet). Mal schauen, ob ich ADS noch mit reinkriege...

  • Alternate Data Streams wird die DLL auch suchen und scannen lassen können. Dauert also noch etwas, bis ein Testprogramm fertig ist.
    Sind die DLLs fertig, stelle ich einen Scanner in 64Bit und 32Bit hier online.

    Einmal editiert, zuletzt von AxT ()

  • In der Art werden Scans aussehen, die mit der DLL durchführbar sind - hier ADS Suche und Suche in Prozessen zusammen:

    Auch eigener Prozessspeicher wird natürlich scanbar sein.Ich baue jetzt noch ein eigenes Multithreading in die DLLs ein, damit sie auch problemlos mit Programmiersprachen genutzt werden können, die nicht multithreadingfähig sind.

    Einmal editiert, zuletzt von AxT ()

  • Was da möglich ist, sieht man glaube ich schon an der Textdatei. Mit dem Antimalware Scan Interface können Sachen durchsucht werden, die beim Scan normalerweise nicht beachtet werden. Es ist leichter damit Malware zu entdecken, die erst im Speicher entsteht und nicht direkt auf der Platte vorhanden ist. Jedes Programm kann zum Beispiel vor dem Ausführen einer kritischen Aktion überprüfen, ob bekannte Malware irgendwo versteckt im eigenen Speicher abgeladen wurde, die Daten abfangen kann.
    Setzt sich das durch, wird sich die Sicherheit um einiges erhöhen.

  • So - die Testanwendung ist fast fertig. Ich bräuchte in ein paar Tagen einiges an Testern mit Windows10 und möglichst unterschiedlichen Virenscannern - natürlich möglichst auch welche, die nur den Windows Defender (MSE) nutzen. Ob 32Bit oder 64Bit ist egal.
    Mir geht es erst mal vor allen Dingen darum zu testen, ob andere Scanner diese innovative Funktion bereits unterstützen und was passiert, wenn sie das nicht tun.

  • Die erste Version der Testanwendung ist jetzt fertig und ich Suche ab jetzt Leute, die das Ding unter Windows10 bei sich testen und mir eine LOG-Datei mit dem Scanner erstellen:
    Folgendes bitte unter Windows10 tun

    • AMSI Scanner (AMSI.zip) von hier herunterladen und auf dem Rechner abspeichern: AMSI.zip Download
    • Die heruntergeladen Datei AMSI.zip in einen neuen Ordner entpacken.
    • Unter 64Bit die AMSIScanner64.exe starten, unter 32Bit die AMSIScanner.exe ausführen. Der Scanner benötigt Adminrechte!
    • Im Menü des Scanners unter Scans den Menüeintrag scanne Prozesse auswählen. Es wird sich ein Scan starten, der einige Minuten dauern kann. Bei diesem Scan wird der Speicher aller auf dem Gerät laufenden Prozesse nach Malware durchsucht.
    • Ist der Scan beendet, danach im Menü des Scanners unter Scans den Menüeintrag suche und scanne alle Alternate Data Streams auswählen. Der Scanner wird dann auf allen angeschlossenen Laufwerken nach Alternate Data Streams suchen und deren Inhalt scannen lassen. Das kann, je nach Größe der Laufwerke, lange dauern.
    • Ist der Scan beendet, im Menü des Scanner unter Programm auf LOG-Datei erzeugen klicken. LOG-Datei dann an einem Ort abspeichern lassen, den man leicht wiederfindet.
    • Die dann erzeugte Textdatei bei https://www.speedyshare.com/ hochladen und den Downloadlink hier posten.
    • Bitte zum Link der Datei auch dazuschreiben, welcher Virenscanner auf dem System installiert ist.


    Der Inhalt des Downloads wird sich nach den Test noch ändern. Es ist im Download zur Zeit noch keine Dokumentation der DLLs vorhanden. Des Weiteren fehlen noch Quelltexte zur Nutzung der DLLs. Am Ende möchte ich mit diesen Sachen auch Leuten mit wenig Programmierkenntnissen die Möglichkeit geben, das AMSI anzusteuern - aber es soll auch die Möglichkeit geschaffen werden, unter Windows10 möglichst einfach nach Alternate Data Streams suchen lassen zu können, um zum Beispiel Anwendungen schreiben zu können, die den Inhalt dieser versteckten Sachen anzeigen lassen können.


    Also: Bitte einmal unter Windows10 mittesten...

  • Hallo,
    ich kriege beim 1. Scan Fehlermeldung:


    64Bit AMSI Scanner funktioniert nicht mehr



    (Kaspersky 2015 und Malwarebytes pro aktiv)

  • Dann erst mal nur zweiten Scan durchführen. Kann an weiterer installierter Software liegen, die einen Speicherzugriff verhindert. Da muss ich noch mal schauen.

  • Beim 2. Scan verlangt er nach Prozessnamen, die ich nicht nennen kann.
    Der 3. Scan bricht nach wenigen Minuten mit gleicher Fehlermeldung ab.


    Bei mir ist SystemReturn pro installiert, aber im normalen Modus, nicht im Sicherheitsmodus.
    http://www.howyar.com/products_1_en.php

  • Hallo AHT,


    Bei mir statet das Programm etwa 10 Sekunden, bricht ab und
    ein Fenster öffnet sich mit der Info


    64 Bit AMSI Scanner Funktioniert nicht mehr.


    Habe Win 10 Pro Registriert und Avira Antivirus


    Gruß Christian

    Eine dunkle Minute hat auch nur 60 Sekunden

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!