The Bat 4.0.34.18 (Alpha)

Hängt das Archiv hinterher? Dort steht leider noch nichts davon.

Nachtrag: Jetzt hab ich es auch bekommen.

Man fragt sich unweigerlich, was das soll. Eine Schutzfunktion, die mehr schadet als nutzt (auf den einschlägigen illegalen Seiten gibts trotzdem geknackte aktuelle Versionen...). Auf der anderen Seite aber auch sehr amüsant, wie sehr sich manche Virenjägerfirmen schwer tun, die Sache in den Griff zu bekommen.

Na komm, unnütze Schutzfunktion.
Woher weiß ich denn genau, dass die unsignierten Ritlabs-RARs sauber sind? Doch nur durch einen Virenscan. Manche Viren nutzen nämlich unsichere (veraltete) Entpack-DLLs aus.
Signiert sind die RARs ja nicht und eine Prüfsumme existiert auch nicht, also ist die Integrität nicht überprüfbar.

Ich hatte eher den Eindruck, daß Doener mit unnütze Schutzfunktion den exe-PAcker meint, den Ritlabs nutzt um die TB! exe vor hacks'n'cracks zu schützen. Diese Schutzfunktion ist es nämlich die die AV-Programme zum Protest verleitet

Ritlabs sollte einfach die Pakete mit dem eigen Zertifikat signieren, fdann wäre sichergestellt, dass die eingepackte Thebat.exe nicht verändert ist.
Aber sowas macht man nicht dort wohl nicht weil es nur Betatester sind. Wenigstens eine SHA/MD5-Prüfsumme wäre sinnvoll
Ich werde doch mal was in die TheBat-Dev-Liste posten müssen.

Also, die Version, die ich gerade eben vom o.g. Link heruntergeladen habe, enthält eine gültige Signatur/ Zertifikat von Verisign für RIT Labs.
(siehe Eigenschaften der .exe im Explorer)

Es geht nicht um die EXE, ich weiß, dass die signiert ist.
Es geht darum, dass die RAR nicht korrekt, infiziert sein kann.
Wenn ich erst jedes Archiv entpacken muss, um zu sehen obe es integer ist, ist es manchmal zu spät – je nach Packer bzw. deren Bibliotheken.

Wieso allerdings die signierte Exe in ein Archiv gepackt wird, ist mir ein Rätsel! Denn die meisten EXE lassen sich nicht mehr kleiner machen, weil sie schon gepackt (PE, UPX, etc.) sind. Zudem wird die testende Gemeinde auch noch gezwungen sich irgendwo einen RAR-Entpacker zu besorgen, weil Windows das nicht kann. Aber das ist eine andere Geschichte.

Zitat

Und heute sind es auch schon drei der auf Virustotal versammelten Scanner, die ein rotes Ergebnis liefern (Stand 15:55 Uhr).

Einen Link bitte! Bzw. welche AV-Tools sind's?

Zitat

Eine Schutzfunktion, die mehr schadet als nutzt

Wieso mehr schadet als nutzt? Wenn 3 von 100 AV-Tools false positive melden, dann ist es noch lange kein Weltuntergang. Die meisten Benutzer haben sowieso kein Problem mit der EXE. Und eine kostenlose bzw. nicht sehr aufwändige Möglichkeit, das Programm ein weiteres Mal gegen unerlaubtes Nutzen zu schützen, verkleinert durchaus die Anzahl der unerlaubten Kopien. Hier wägt der Hersteller immer ab: false positive und ein bisschen Stress auf der einen und unerlaubtes Benutzen auf der anderen Seite. Ist wohl klar, was überwiegt.

Gegen die Aktivierung in XP (Win und Office) habe viele zuerst auch gemeckert. Mittlerweile hat man es aber heruntergeschluckt bzw. herunterschlucken müssen und sich beruhigt.

Zitat

Woher weiß ich denn genau, dass die unsignierten Ritlabs-RARs sauber sind?

Mittlerweile kann man eigentlich davon ausgehen, dass die Dateien, die man von der Seite "http://www.ritlabs.com/download/..." herunterlädt, OK sind. Oder du meinst, dass irgendjemand sich die Mühe machen würde, die Seite zu hacken, nur um dort ein Virus zu platzieren? Wohl kaum.

Zitat

Wieso allerdings die signierte Exe in ein Archiv gepackt wird, ist mir ein Rätsel! Denn die meisten EXE lassen sich nicht mehr kleiner machen, weil sie schon gepackt (PE, UPX, etc.) sind.

Vielleicht weil es üblich ist, Dateien im I-net in gepackter Form zu verbreiten.

Zitat

Wieso mehr schadet als nutzt? Wenn 3 von 100 AV-Tools false positive melden, dann ist es noch lange kein Weltuntergang. Die meisten Benutzer haben sowieso kein Problem mit der EXE. Und eine kostenlose bzw. nicht sehr aufwändige Möglichkeit, das Programm ein weiteres Mal gegen unerlaubtes Nutzen zu schützen, verkleinert durchaus die Anzahl der unerlaubten Kopien. Hier wägt der Hersteller immer ab: false positive und ein bisschen Stress auf der einen und unerlaubtes Benutzen auf der anderen Seite. Ist wohl klar, was überwiegt.

Ich behaupte jetzt einfach mal, das es die Zahl der Raubkopien nicht verkleinert. Die "bösen Jungs" juckt so ein Schutz wenig, man sieht das eher noch als Ansporn an. Im Vergleich dazu stehen die von Dir genannten ~3% Fehlalarm, die die User dauerhaft von einem Programm abhalten können. IMHO der größere Schaden.

Zitat

Einen Link bitte! Bzw. welche AV-Tools sind's?

Bei Avira ist der FalsePositive inzwischen behoben worden.

Zitat

Vielleicht weil es üblich ist, Dateien im I-net in gepackter Form zu verbreiten.

Es ist bekannt, dass es sinnlos ist, gepackte Dateien nochmals zu packen.
200 kb weniger bei einer RAR im Gegensatz zur EXE ist nicht besonders viel.
Was üblich ist? Rar? Wenn schon Zip, denn das kann mit Windows-Systemmitteln entpackt werden.
Entweder ZIP (Windows), sit (Mac) oder bz2 bzw. tar.gz (Unix).

Fühle mich gerade missverstanden.

Zitat

Im Vergleich dazu stehen die von Dir genannten ~3% Fehlalarm, die die User dauerhaft von einem Programm abhalten können. IMHO der größere Schaden.

Und es gibt auch in Firmen Antivirengateways, die dann erst gar nicht den Download zum User durchlassen, wenn der AV-Scanner anschlägt.

Zitat

Ich behaupte jetzt einfach mal, das es die Zahl der Raubkopien nicht verkleinert.

Ich sage dazu ganz abstrakt, dass die alten Mittel nicht mehr funktionieren und dass man jetzt nur noch auf die SNs angewiesen ist. Eine, auch nicht unerhebliche Verbesserung ist also gegeben.

Zitat

Was üblich ist? Rar? Wenn schon Zip, denn das kann mit Windows-Systemmitteln entpackt werden.

RAR gewinnt immer mehr an Popularität. Und da es aus Russland kommt, ist es auch naheliegend, wieso gerade TB! in dieses Format gepackt wird.

Man kann's zwar nicht mit Windows-Boardmitteln entpacken, aber wer benutzt die noch? Mittlerweile gibt es schon genug Alternativen, selbst TC, aber auch kostenlose wie 7-Zip und IZArc.

Und schliesslich werden nicht die Finals, sondern nur Alphas und Betas gepackt, die sowieso nicht für einen Normal-, sondern einen fortgeschrittenen Benutzer gedacht sind, der wiederum sowieso weiss, wie man mit RARs umgehen muss.

Einen Vorwurf dem Hersteller gegenüber würde ich in diesem Punkt daher nicht machen.

Zitat

Und es gibt auch in Firmen Antivirengateways, die dann erst gar nicht den Download zum User durchlassen, wenn der AV-Scanner anschlägt.

In Firmen ist es normaleweise einfachen Benutzern untersagt, irgendwelche Software eigenmächtig zu installieren. Dafür sind die Admins zuständig. Und die werden wohl eine Möglichkeit bekommen, die Datei herunterzuladen. Wobei ich davon ausgehe, dass die das nicht mal machen werden, weil das nicht mal eine Beta ist.

Zitat

Am 3.11. meldete AntiVir das Archiv als TR/Crypt.XPACK.Gen.
Am 5.11. war die Meldung von AntiVir weg (die haben wohl analysiert), dafür meldet jetzt Ikarus einen Trojan.Crypt.XPACK.

Ich frage mich nur, wie viele diese AV-Tools benutzen... Sophos wird normaleweise in Firmen und RZen eingesetzt und dazu s.oben. Die unter den normalen Benutzern verbreiteten Tools schweigen. AntiVir hat nachgezogen. Also bleibt's jetzt wahrscheinlich bei 0,01%.

Hallo zusammen,

kann mir jemand einen Link mit der letzten Version (07) - altes Datenbankformat zur Verfügung stellen?
Die Links die auf Ritlabs zeigen funktionieren nicht.

Danke.

Gruß,
-JD

Siehe anderes Thema.

Zitat

kann mir jemand einen Link mit der letzten Version (07)

http://files.nobat.ru/filemap/thebat4xx.html

Zitat

Siehe anderes Thema.

Welches andere? :denk:

https://www.batboard.net/index.php?topi…g91290#msg91290