114 ответов в этой теме

[#user]

Добрый день.
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")

[sergeyko]

Добрый день.
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")

Во-первых, далеко не все MS файлы подписаны. Во-вторых, подпись может быть в любой момент скомпромитирована, поэтому мы не можем полагаться на нее, как на источник истинной информации о файле.
Удаленный\перемещенный файл можно восстановить, такой функционал предусмотрен.

[Dane]

Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?

[sergeyko]

Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?

Не понял, какой список включить?

[Dane]

вшить в доктора список доверенных файлов от мелкософта.
В авз есть функционал проверки файлов по доверенной базе, т.е указать на файл и проверить по базе. Сразу будет ясно, является ли файл от мелкософта, или похожим( скорей всего трояном)

[basid]

Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?

И как отслеживать весь мульён изменений?

[Borka]

Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?

И как отслеживать весь мульён изменений?

Обновлением списка?

[Dane]

техническую сторону я не смогу описать в действии.
Примерно могу описать.
есть стандартный дистрибутив, в нем есть файлы - они являются доверенными. Обновы - отслеживать их и записывать в базу доверенных

[basid]

Обновлением списка?

Вопрос не в способе, а в технической целесообразности.

[Dane]

например
crss - доверенный файл
crcs - фальшивый

svchost -доверенный файл
svhost -фальшивка

если реализовать такой функционал, то можно облегчить работу и обнаружение неизвестных угроз

Сообщение было изменено Dane: 03 Июнь 2011 - 17:41

[Borka]

Обновлением списка?

Вопрос не в способе, а в технической целесообразности.

Тогда вопрос не "как отслеживать", а "зачем отслеживать". Не?

[Borka]

если реализовать такой функционал, то можно облегчить работу и обнаружение неизвестных угроз

Если реализовать функционал, который просится уже несколько лет, а именно - создать базу "левых" имен и путей файлов (svnhost, ntos32, sdra64, запускающийся svchost из виндового каталога или профиля пользователя и пр.), то это дало бы куда как больший эффект. Но увы...

[#user]

Во-вторых, подпись может быть в любой момент скомпромитирована

Все таки речь идет о подписи Microsoft, а не о каком-нибудь COMODO.

А не планируется ли функционал сверки хэшей с базой доверенных файлов (White list) на сервере Dr.Web?
Заодно и выигрыш в скорости при сканировании за счет исключения из проверки не изменившихся доверенных файлов, а не только защита от ложных срабатываний.

[Dane]

создать базу "левых" имен и путей файлов

тут заморочек сильно много. Запустить левый файл можно откуда угодно - вот это действительно сложно, учитывая ,что выходит сотни в день сусликов, все отследить невозможно.

А вот если создать базу доверенных - намного легче и отслеживать проще.

[basid]

есть стандартный дистрибутив, в нем есть файлы - они являются доверенными. Обновы - отслеживать их и записывать в базу доверенных

Перемножьте число выпусков Windows XP (три, если не считать "золотого"), на число редакций (две) на число файлов (тысячи) и на число обновлений (десятки-сотни).
А ведь есть ещё драйвера и (системные) компоненты со своими версиями. Те же MSXML/DAO. Всяческие рантаймы, дотнеты и сильверлайты.
Зачем этот мартышкин труд, если программные файлы имеют вполне стандартную структуру, характерные кодовые последовательности и многое другое, что может быть проанализировано напрямую.

[Borka]

создать базу "левых" имен и путей файлов

тут заморочек сильно много. Запустить левый файл можно откуда угодно - вот это действительно сложно, учитывая ,что выходит сотни в день сусликов, все отследить невозможно.

Никаких заморочек. Согласен, что запустить левый файл можно откуда угодно, но АВ не знает левый это файл или правый, если сигнатуры на него нет. Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым. А вот если путь c:\windows\system32\sdra64.exe - то тут АВ точно знает, что это самый что ни есть левейший файл. Равно как и левый путь к userinit.exe или explorer.exe в ветке winlogon'а, чего Беляш уже даже не добивается. А как говорят разработчики, иногда легче просканить файл, чем вычислить его хэш/контрольную сумму/ЭЦП.

[Dane]

Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.

немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?
Все что не в списке - то левое и уже есть подозрительное?

тоже относится и к путям

[basid]

Все что не в списке - то левое и уже есть подозрительное?

Ну и чем блокирование неизвестного, но системного софта лучше ложного срабатывания?

[Borka]

Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.

немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?
Все что не в списке - то левое и уже есть подозрительное?
тоже относится и к путям

Смысл такой: БЕЗ СИГНАТУР детектить левые файлы и пути, благо их не так и много. То есть если мы знаем, что файл c:\windows\system32\sdra64.exe это честный суслик, то мы его будем детектить типа эвристиком, даже есть его не будет в базе. Если файл запускается из профиля пользователя и при этом прописан в winlogon\userinit, то это тоже честный суслик. Мы его тоже будем детектить. И тоже без сигнатур.
ИМХО, подход "белых списков" софта приемлем тогда, когда а) есть база репутации файлов на сервере и б) есть облако, чтобы там проверить. Это геморройно, как мне кажется. Кроме того, как уже говорилось, проще файл просто проверить, чем считать хэши.

[Dane]

Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.

немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?
Все что не в списке - то левое и уже есть подозрительное?
тоже относится и к путям

Смысл такой: БЕЗ СИГНАТУР детектить левые файлы и пути, благо их не так и много. То есть если мы знаем, что файл c:\windows\system32\sdra64.exe это честный суслик, то мы его будем детектить типа эвристиком, даже есть его не будет в базе. Если файл запускается из профиля пользователя и при этом прописан в winlogon\userinit, то это тоже честный суслик. Мы его тоже будем детектить. И тоже без сигнатур.
ИМХО, подход "белых списков" софта приемлем тогда, когда а) есть база репутации файлов на сервере и б) есть облако, чтобы там проверить. Это геморройно, как мне кажется. Кроме того, как уже говорилось, проще файл просто проверить, чем считать хэши.

может вы и правы, но в конечном итоге решать не нам смертным, а прогерам