37 ответов в этой теме

[Александр]

Уже не раз поднимаемая тема, но всё же:

В начале немного истории - лет эдак 5 назад (а за долго до этого и в DOS) ещё была актуальна такая вещь, как Adinf32, программа вычисляющая контрольные суммы файлов. находящихся на жеством диске и по результатам этого вычисления создававшая список новых и изменённых файлов для сканирования сканером Drweb. Признаться я её и сейчас использую для быстрой ежедневной проверке. Работает такая связка Adinf32+Scanner Drweb очень даже бысто - за несколько минут строится и проверяется список всего нового и изменённого.
Учитывая, что лицензия на Adinf32 у моей компании аж на 100 лет (!) можно было бы этим и ограничиться, но не всё так просто - во первых сам Adinf32 давно не поддерживается разработчиком и не обновляется, а вот новые вирусы стали очень даже продвинутыми не в пример тем, что были написаны в далёком 2005г (когда вышла последняя версия Adinf32) и скрываются они новыми изощрёнными способами, так что и не видно их ни из Windows, ни в файловой системе и т.д. и т.п. А вот сканер всё это время активно развивался и развивается и получил и уверен получит ещё более мощьные средства противодействия сокрытию присутствия вирусов как в памяти компьютера так и на дисках читая файлы напрямую в обход драйвера файловой системы.
Однако размер жестких дисков, а соответственно и объём, размер и колличество файлов, которые храняться на них неуклонно увеличиваются и, несмотря на огромные усилия разработчиков по увеличению производительности сканера и ядра проверка всего жесткого диска занимает всё большее и большее время.
Все предыдущие годы, по крайней мере на этом форуме сотрудники Drweb высказывались крайне отрицательно по поводу альтернатинвых средств контроля файлов, вплоть до обвинений в требовании сделать из Drweb аналог одного известного антивируса. И всё же рискну снова вернуться к обсуждению данной темы.
Итак: что Drweb планирует внедрить в данном направлении?
На сколько велика вероятность появления в составе Drweb компонента вроде ревизора диска?
Будут ли в следующих версиях (хотя бы в перспективе) внедрены какие либо новые технологии контроля файлов (реестра ОС и т.д.), значительно ускоряющие проверку?

p.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв, однако и он ведь не безграничен. И начинаются танцы с бубном: то ли уменьшить приоритет сканера и тем самым увеличить время проверки, то ли наоборот увеличить, но сделать работу за компьютером просто не выносимой. и т.д. и т.д и т.д

[Полимер]

ИМХО, этот вопрос сюда: http://forum.drweb.com/index.php?showtopic=279231

[basid]

p.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв

Ждущий режим и галочка "Разбудить компьютер ...", WoL, shutdown-скрипты и т.п. позволит перенести сканирование на более удобное время

[Александр]

ИМХО, этот вопрос сюда: http://forum.drweb.com/index.php?showtopic=279231

Если так - перенесите пожста.

[Александр]

p.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв

Ждущий режим и галочка "Разбудить компьютер ...", WoL, shutdown-скрипты и т.п. позволит перенести сканирование на более удобное время

Очень хорошее предложение - спасибо, пригодится. Правда это уже "обходной путь".

У меня несколько иной случай (частности конечно): сотрудники уходят с работы с 16 до 22, а некоторые задерживаются и по дольше (отчёты и прочее), ко всему (а это уже строго), по требованиям пожарной безопасности "покидая рабочее место отключи все электроприборы". (бывали случаи, когда за раз горело по десятку просто включённых в розетку системных блоков).

Замечание:
"Разбудить компьютер" - это я так понимаю речь о встроенном планировщике Windows?
С одной стороны-это дыра в безопасности и на компьютерах в локальной сети он у меня отключён, с другой если говорить о DrwebES, то на сколько я понимаю его планировщик ещё не умеет пробуждать компьютер после спячки.

[Black Angel]

Да, хотелось бы, чтобы проверка занимала как можно меньшее время (сейчас в среднем у меня проверка занимает 3 часа), но не в ущерб безопасности. Надеюсь, что-то по увеличению скорости проверки разрабатывается.

[maxic]

Ага, и тестлаб тоже намекал на то что они сканнеру увеличивают скорость проверки, но это позднее.

Да, говорили, что многопоточный сканер в разработке.

[Aitishnik]

Откровенно говоря, не вижу принципиальной необходимости в проверке по расписанию. Если у антивируса есть достойный резидентный сторож, контролирующий и открываемые файлы, и оперативку, то периодическая проверка не имеет смысла и является лишь тратой времени: всё и так контролируется. А если резидента нет или он плох, то периодическая проверка всё равно не спасёт.


Однако, ваш почин поддерживаю. Контроль изменения файлов при помощи CRC и последующее пересканирование только изменённых, имхо, имеет определённый смысл.

[Пол Банки]

Контроль изменения файлов при помощи CRC и последующее пересканирование только изменённых, имхо, имеет определённый смысл.

и какой?

[Aitishnik]

и какой?

Имхо, если у нас количество файлов для проверки велико, а "текучка" их мала, то проверка их CRC, а затем проверка антивирусом только изменённых, будет быстрее, чем проверка антивирусом всех файлов.


Правда, стоит упомянуть, что проверка подразумевалась сокращённая, т.е. не весь файл с диска читать (ADInf: "Полная CRC"), а только ключевые его секции (ADInf: "Быстрая CRC").

Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.

[Gnostis]

помощи CRC

CRC легко подделать ...

и какой?

Я так думаю ускорение проверки

По моему в антивирусе К. есть подобная проверка по нескольким параметрам... и у Agnitum -а похожий алгоритм есть... направленные на ускорение проверки системы.

[Aitishnik]

CRC легко подделать ...

"Возможно" не означает "Легко". Тем более, когда задача стоит в подделке изменений во множестве файлов.

По моему в антивирусе К. есть подобная проверка по нескольким параметрам...

iChecker, iSwift. Ссылки давать не буду, тут этого не одобряют.

и у Agnitum -а похожий алгоритм есть... направленные на ускорение проверки системы.

Погуглю...

[Gnostis]

Погуглю...

SmartScan называеться

[Пол Банки]

Имхо, если у нас количество файлов для проверки велико, а "текучка" их мала, то проверка их CRC, а затем проверка антивирусом только изменённых, будет быстрее, чем проверка антивирусом всех файлов.

возможно и так, но.
если мы принимаем все таки идею, что сторож работает и мы ему доверяем, то скан, а значит и его ускорение, понадобится в случае пропуска, а потом обезвреживания неизвестного вируса. в этом случае можно и подождать подольше, тем более что и ждать не придется - запустил сканер, а сам работай.
в таком случае я бы домой за такое не заплатил бы.

Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.

ну если только это интеллектуализируют в самом продукте...
хотя исходя из идеи это экстенсивный путь и потому, мне кажется, за ним будущего нет.

[Aitishnik]

если мы принимаем все таки идею, что сторож работает и мы ему доверяем, то скан, а значит и его ускорение, понадобится в случае пропуска, а потом обезвреживания неизвестного вируса. в этом случае можно и подождать подольше, тем более что и ждать не придется - запустил сканер, а сам работай.
в таком случае я бы домой за такое не заплатил бы.

Согласен с вами, да и сам писал выше:

[...] не вижу [...] необходимости в проверке по расписанию. Если у антивируса есть [...] резидентный сторож, [...] то периодическая проверка не имеет смысла и является лишь тратой времени: всё и так контролируется.

Но, как видим, с нами согласны не все:

во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска

И потом, расчёт CRC может пригодиться и в самом резидентном стороже. Скажем, для ускорения работы при открытии уже проверявшихся файлов. Преимущества перед просто списком уже открывавшихся файлов состоят, к примеру, в том, что CRC можно использовать и после перезагрузки, в том, что их можно хранить не в памяти, а, скажем, в NTFS-потоке, и в том, что список имеет конечные размеры, CRC же в NTFS-потоках может быть сколько угодно. Недостаток - валидация по дате происходит всяко быстрее, чем расчёт CRC.

Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.

ну если только это интеллектуализируют в самом продукте...
хотя исходя из идеи это экстенсивный путь и потому, мне кажется, за ним будущего нет.

Интеллектуализация в продукте - это уже задача разработчиков а что касается пути, то, имхо, пути нужно разумно сочетать, а не становиться фанатом единственного...

[Gnostis]

Имхо, можно и по хешам сделать не столь критично, но как вариант обнулять список уже проверенных файлов при выходе новой базы...
Иначе неизвестная угроза там поселиться...

[basid]

"Возможно" не означает "Легко".

Легко.
Для подделки CRC32 достаточно изменить четыре байта. И достаточно знать старую и новую контрольные суммы, чтобы рассчитать значение этих четырёх байт.
Именно в этом и состоит бесперспективность контроля по контрольным суммам.
Во-первых, файл всё-равно надо читать - уже это ставит планку эффективности весьма низко
Во-вторых, "простые" контрольные суммы легко подделать, а "сложные" - так долго считать, что проще проверить файл.
В-третьих, эффективность Adinf'а со товарищи обеспечивалась тем фактом, что (в большинстве случаев) можно было получить прямой доступ к диску. Сегодня это малореально и не всегда разумно.

[basid]

Имхо, можно и по хешам сделать

Пока вы MD5 рассчитаете - спайдер два разА файл проверит.

[Gnostis]

Пока вы MD5 рассчитаете - спайдер два разА файл проверит.

Я понимаю, просто как вариант предложил...)