Zonet een discussie gehad met onze a/v leverancier van werk (Norman). Ik belde met de vraag of ze ook een live boot medium hadden (Linux based oid) waarmee ik een computer kon booten, laatste a/v def. bestanden binnen halen en scannen maar. Echter, dat hebben ze al enige tijd niet meer en volgens deze medewerker zou een online scan (dus OS actief waarin je een virus vermoedt) meer kans bieden op het vinden van het virus, dan als je het systeem offline scant middels een boot medium. Dat vond ik raar, want al mijn ervaringen en kennis omtrent malware zegt dat een ander (niet geïnfecteerd) boot medium meer kans van detectie geeft.
Mijn redenatie:
De scanner kan offline ongestoord de hele disk scannen zonder last te hebben van stealth, rootkits, etc. Imo wordt op die manier alles gedetecteerd op een disk. (mits de def. files de signatures hebben voor de aanwezige malware). En online kan een actief virus zich makkelijker verstoppen voor een scanner, de scanner uitschakelen, etc. Kortom, meer kans van detectie als je offline scant.
Norman redenatie:
Als een virus actief is dan valt dit eerder op en is de pakkans groter, dan als het virus inactief op een andere disk staat. Dat zou betekenen dat een scanner een grotere kans van detectie heeft in gedragsherkenning, dan adhv signatures.
Wat is jullie ervaring? Scan je liever een verdacht systeem vanaf een ander boot medium met een actuele scanner? Of vertrouw je op de kwaliteit van de aanwezige scanner om het virus te detecteren en verwijderen?
Toelichting: online scannen = OS draait met verdacht virus, offline scannen = booten vanaf ander medium en disk scannen. Online/offline hebben in deze niets te maken met internet toegang
Mijn redenatie:
De scanner kan offline ongestoord de hele disk scannen zonder last te hebben van stealth, rootkits, etc. Imo wordt op die manier alles gedetecteerd op een disk. (mits de def. files de signatures hebben voor de aanwezige malware). En online kan een actief virus zich makkelijker verstoppen voor een scanner, de scanner uitschakelen, etc. Kortom, meer kans van detectie als je offline scant.
Norman redenatie:
Als een virus actief is dan valt dit eerder op en is de pakkans groter, dan als het virus inactief op een andere disk staat. Dat zou betekenen dat een scanner een grotere kans van detectie heeft in gedragsherkenning, dan adhv signatures.
Wat is jullie ervaring? Scan je liever een verdacht systeem vanaf een ander boot medium met een actuele scanner? Of vertrouw je op de kwaliteit van de aanwezige scanner om het virus te detecteren en verwijderen?
Toelichting: online scannen = OS draait met verdacht virus, offline scannen = booten vanaf ander medium en disk scannen. Online/offline hebben in deze niets te maken met internet toegang