Назад в будущее
#1
Отправлено 29 Май 2009 - 13:58
В начале немного истории - лет эдак 5 назад (а за долго до этого и в DOS) ещё была актуальна такая вещь, как Adinf32, программа вычисляющая контрольные суммы файлов. находящихся на жеством диске и по результатам этого вычисления создававшая список новых и изменённых файлов для сканирования сканером Drweb. Признаться я её и сейчас использую для быстрой ежедневной проверке. Работает такая связка Adinf32+Scanner Drweb очень даже бысто - за несколько минут строится и проверяется список всего нового и изменённого.
Учитывая, что лицензия на Adinf32 у моей компании аж на 100 лет (!) можно было бы этим и ограничиться, но не всё так просто - во первых сам Adinf32 давно не поддерживается разработчиком и не обновляется, а вот новые вирусы стали очень даже продвинутыми не в пример тем, что были написаны в далёком 2005г (когда вышла последняя версия Adinf32) и скрываются они новыми изощрёнными способами, так что и не видно их ни из Windows, ни в файловой системе и т.д. и т.п. А вот сканер всё это время активно развивался и развивается и получил и уверен получит ещё более мощьные средства противодействия сокрытию присутствия вирусов как в памяти компьютера так и на дисках читая файлы напрямую в обход драйвера файловой системы.
Однако размер жестких дисков, а соответственно и объём, размер и колличество файлов, которые храняться на них неуклонно увеличиваются и, несмотря на огромные усилия разработчиков по увеличению производительности сканера и ядра проверка всего жесткого диска занимает всё большее и большее время.
Все предыдущие годы, по крайней мере на этом форуме сотрудники Drweb высказывались крайне отрицательно по поводу альтернатинвых средств контроля файлов, вплоть до обвинений в требовании сделать из Drweb аналог одного известного антивируса. И всё же рискну снова вернуться к обсуждению данной темы.
Итак: что Drweb планирует внедрить в данном направлении?
На сколько велика вероятность появления в составе Drweb компонента вроде ревизора диска?
Будут ли в следующих версиях (хотя бы в перспективе) внедрены какие либо новые технологии контроля файлов (реестра ОС и т.д.), значительно ускоряющие проверку?
p.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв, однако и он ведь не безграничен. И начинаются танцы с бубном: то ли уменьшить приоритет сканера и тем самым увеличить время проверки, то ли наоборот увеличить, но сделать работу за компьютером просто не выносимой. и т.д. и т.д и т.д
#2
Отправлено 29 Май 2009 - 14:16
#3
Отправлено 29 Май 2009 - 15:10
Ждущий режим и галочка "Разбудить компьютер ...", WoL, shutdown-скрипты и т.п. позволит перенести сканирование на более удобное времяp.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв
#4
Отправлено 29 Май 2009 - 15:35
ИМХО, этот вопрос сюда: http://forum.drweb.com/index.php?showtopic=279231
Если так - перенесите пожста.
#5
Отправлено 29 Май 2009 - 16:02
Ждущий режим и галочка "Разбудить компьютер ...", WoL, shutdown-скрипты и т.п. позволит перенести сканирование на более удобное времяp.s. Как говорится "Я Вам не скажу за всю Одессу...", но во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска, проводится сие мероприятие обычно в обеденный перерыв
Очень хорошее предложение - спасибо, пригодится. Правда это уже "обходной путь".
У меня несколько иной случай (частности конечно): сотрудники уходят с работы с 16 до 22, а некоторые задерживаются и по дольше (отчёты и прочее), ко всему (а это уже строго), по требованиям пожарной безопасности "покидая рабочее место отключи все электроприборы". (бывали случаи, когда за раз горело по десятку просто включённых в розетку системных блоков).
Замечание:
"Разбудить компьютер" - это я так понимаю речь о встроенном планировщике Windows?
С одной стороны-это дыра в безопасности и на компьютерах в локальной сети он у меня отключён, с другой если говорить о DrwebES, то на сколько я понимаю его планировщик ещё не умеет пробуждать компьютер после спячки.
#6
Отправлено 29 Май 2009 - 18:54
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#7 Guest_Mr.Web_*
Отправлено 29 Май 2009 - 19:08
Ага, и тестлаб тоже намекал на то что они сканнеру увеличивают скорость проверки, но это позднее.Надеюсь, что-то по увеличению скорости проверки разрабатывается.
#8
Отправлено 29 Май 2009 - 19:27
Ага, и тестлаб тоже намекал на то что они сканнеру увеличивают скорость проверки, но это позднее.
Да, говорили, что многопоточный сканер в разработке.
#9
Отправлено 30 Май 2009 - 22:56
Однако, ваш почин поддерживаю. Контроль изменения файлов при помощи CRC и последующее пересканирование только изменённых, имхо, имеет определённый смысл.
#10
Отправлено 31 Май 2009 - 12:17
и какой?Контроль изменения файлов при помощи CRC и последующее пересканирование только изменённых, имхо, имеет определённый смысл.
#11
Отправлено 31 Май 2009 - 13:47
и какой?
Имхо, если у нас количество файлов для проверки велико, а "текучка" их мала, то проверка их CRC, а затем проверка антивирусом только изменённых, будет быстрее, чем проверка антивирусом всех файлов.
Правда, стоит упомянуть, что проверка подразумевалась сокращённая, т.е. не весь файл с диска читать (ADInf: "Полная CRC"), а только ключевые его секции (ADInf: "Быстрая CRC").
Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.
#12
Отправлено 31 Май 2009 - 13:50
CRC легко подделать ...помощи CRC
Я так думаю ускорение проверкии какой?
По моему в антивирусе К. есть подобная проверка по нескольким параметрам... и у Agnitum -а похожий алгоритм есть... направленные на ускорение проверки системы.
#13
Отправлено 31 Май 2009 - 17:22
CRC легко подделать ...
"Возможно" не означает "Легко". Тем более, когда задача стоит в подделке изменений во множестве файлов.
По моему в антивирусе К. есть подобная проверка по нескольким параметрам...
iChecker, iSwift. Ссылки давать не буду, тут этого не одобряют.
и у Agnitum -а похожий алгоритм есть... направленные на ускорение проверки системы.
Погуглю...
#15
Отправлено 31 Май 2009 - 19:18
возможно и так, но.Имхо, если у нас количество файлов для проверки велико, а "текучка" их мала, то проверка их CRC, а затем проверка антивирусом только изменённых, будет быстрее, чем проверка антивирусом всех файлов.
если мы принимаем все таки идею, что сторож работает и мы ему доверяем, то скан, а значит и его ускорение, понадобится в случае пропуска, а потом обезвреживания неизвестного вируса. в этом случае можно и подождать подольше, тем более что и ждать не придется - запустил сканер, а сам работай.
в таком случае я бы домой за такое не заплатил бы.
ну если только это интеллектуализируют в самом продукте...Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.
хотя исходя из идеи это экстенсивный путь и потому, мне кажется, за ним будущего нет.
#16
Отправлено 31 Май 2009 - 23:07
Согласен с вами, да и сам писал выше:если мы принимаем все таки идею, что сторож работает и мы ему доверяем, то скан, а значит и его ускорение, понадобится в случае пропуска, а потом обезвреживания неизвестного вируса. в этом случае можно и подождать подольше, тем более что и ждать не придется - запустил сканер, а сам работай.
в таком случае я бы домой за такое не заплатил бы.
Но, как видим, с нами согласны не все:[...] не вижу [...] необходимости в проверке по расписанию. Если у антивируса есть [...] резидентный сторож, [...] то периодическая проверка не имеет смысла и является лишь тратой времени: всё и так контролируется.
И потом, расчёт CRC может пригодиться и в самом резидентном стороже. Скажем, для ускорения работы при открытии уже проверявшихся файлов. Преимущества перед просто списком уже открывавшихся файлов состоят, к примеру, в том, что CRC можно использовать и после перезагрузки, в том, что их можно хранить не в памяти, а, скажем, в NTFS-потоке, и в том, что список имеет конечные размеры, CRC же в NTFS-потоках может быть сколько угодно. Недостаток - валидация по дате происходит всяко быстрее, чем расчёт CRC.во многих компаниях политика безопасности предусматривает как минимум еженедельное сканирование всего (всех) жесткого диска
Интеллектуализация в продукте - это уже задача разработчиков а что касается пути, то, имхо, пути нужно разумно сочетать, а не становиться фанатом единственного...ну если только это интеллектуализируют в самом продукте...Также, CRC-контроль способен помочь отлавливать неизвестные файловые вирусы.
хотя исходя из идеи это экстенсивный путь и потому, мне кажется, за ним будущего нет.
#17
Отправлено 01 Июнь 2009 - 01:16
Иначе неизвестная угроза там поселиться...
#18
Отправлено 01 Июнь 2009 - 01:24
Легко."Возможно" не означает "Легко".
Для подделки CRC32 достаточно изменить четыре байта. И достаточно знать старую и новую контрольные суммы, чтобы рассчитать значение этих четырёх байт.
Именно в этом и состоит бесперспективность контроля по контрольным суммам.
Во-первых, файл всё-равно надо читать - уже это ставит планку эффективности весьма низко
Во-вторых, "простые" контрольные суммы легко подделать, а "сложные" - так долго считать, что проще проверить файл.
В-третьих, эффективность Adinf'а со товарищи обеспечивалась тем фактом, что (в большинстве случаев) можно было получить прямой доступ к диску. Сегодня это малореально и не всегда разумно.
#19
Отправлено 01 Июнь 2009 - 01:25
Пока вы MD5 рассчитаете - спайдер два разА файл проверит.Имхо, можно и по хешам сделать
#20
Отправлено 01 Июнь 2009 - 01:59
Я понимаю, просто как вариант предложил...)Пока вы MD5 рассчитаете - спайдер два разА файл проверит.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых