![Фото](https://forum.drweb.com/public/style_images/master_3_/profile/default_large.png)
Доверие ЭЦП Microsoft
#1
Отправлено 03 Июнь 2011 - 17:20
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")
#2
Отправлено 03 Июнь 2011 - 17:26
Во-первых, далеко не все MS файлы подписаны. Во-вторых, подпись может быть в любой момент скомпромитирована, поэтому мы не можем полагаться на нее, как на источник истинной информации о файле.Добрый день.
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")
Удаленный\перемещенный файл можно восстановить, такой функционал предусмотрен.
R&D www.drweb.com
#3
Отправлено 03 Июнь 2011 - 17:28
#4
Отправлено 03 Июнь 2011 - 17:31
Не понял, какой список включить?Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?
R&D www.drweb.com
#5
Отправлено 03 Июнь 2011 - 17:34
В авз есть функционал проверки файлов по доверенной базе, т.е указать на файл и проверить по базе. Сразу будет ясно, является ли файл от мелкософта, или похожим( скорей всего трояном)
#6
Отправлено 03 Июнь 2011 - 17:34
И как отслеживать весь мульён изменений?Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?
#7
Отправлено 03 Июнь 2011 - 17:37
Обновлением списка?И как отслеживать весь мульён изменений?Почему бы не включить в Доктора функционал список доверенных файлов Мелкософта?
![:)](http://forum.drweb.com/public/style_emoticons/default/smile.png)
Борис А. Чертенко aka Borka.
#8
Отправлено 03 Июнь 2011 - 17:37
Примерно могу описать.
есть стандартный дистрибутив, в нем есть файлы - они являются доверенными. Обновы - отслеживать их и записывать в базу доверенных
#9
Отправлено 03 Июнь 2011 - 17:40
Вопрос не в способе, а в технической целесообразности.Обновлением списка?
#10
Отправлено 03 Июнь 2011 - 17:40
crss - доверенный файл
crcs - фальшивый
svchost -доверенный файл
svhost -фальшивка
если реализовать такой функционал, то можно облегчить работу и обнаружение неизвестных угроз
Сообщение было изменено Dane: 03 Июнь 2011 - 17:41
#11
Отправлено 03 Июнь 2011 - 17:42
Тогда вопрос не "как отслеживать", а "зачем отслеживать". Не?Вопрос не в способе, а в технической целесообразности.Обновлением списка?
![:)](http://forum.drweb.com/public/style_emoticons/default/smile.png)
Борис А. Чертенко aka Borka.
#12
Отправлено 03 Июнь 2011 - 17:44
Если реализовать функционал, который просится уже несколько лет, а именно - создать базу "левых" имен и путей файлов (svnhost, ntos32, sdra64, запускающийся svchost из виндового каталога или профиля пользователя и пр.), то это дало бы куда как больший эффект. Но увы...если реализовать такой функционал, то можно облегчить работу и обнаружение неизвестных угроз
![:)](http://forum.drweb.com/public/style_emoticons/default/smile.png)
Борис А. Чертенко aka Borka.
#13
Отправлено 03 Июнь 2011 - 17:45
Все таки речь идет о подписи Microsoft, а не о каком-нибудь COMODO.Во-вторых, подпись может быть в любой момент скомпромитирована
А не планируется ли функционал сверки хэшей с базой доверенных файлов (White list) на сервере Dr.Web?
Заодно и выигрыш в скорости при сканировании за счет исключения из проверки не изменившихся доверенных файлов, а не только защита от ложных срабатываний.
#14
Отправлено 03 Июнь 2011 - 17:49
создать базу "левых" имен и путей файлов
тут заморочек сильно много. Запустить левый файл можно откуда угодно - вот это действительно сложно, учитывая ,что выходит сотни в день сусликов, все отследить невозможно.
А вот если создать базу доверенных - намного легче и отслеживать проще.
#15
Отправлено 03 Июнь 2011 - 17:49
Перемножьте число выпусков Windows XP (три, если не считать "золотого"), на число редакций (две) на число файлов (тысячи) и на число обновлений (десятки-сотни).есть стандартный дистрибутив, в нем есть файлы - они являются доверенными. Обновы - отслеживать их и записывать в базу доверенных
А ведь есть ещё драйвера и (системные) компоненты со своими версиями. Те же MSXML/DAO. Всяческие рантаймы, дотнеты и сильверлайты.
Зачем этот мартышкин труд, если программные файлы имеют вполне стандартную структуру, характерные кодовые последовательности и многое другое, что может быть проанализировано напрямую.
#16
Отправлено 03 Июнь 2011 - 17:57
Никаких заморочек.тут заморочек сильно много. Запустить левый файл можно откуда угодно - вот это действительно сложно, учитывая ,что выходит сотни в день сусликов, все отследить невозможно.создать базу "левых" имен и путей файлов
![:)](http://forum.drweb.com/public/style_emoticons/default/smile.png)
![:P](http://forum.drweb.com/public/style_emoticons/default/tongue.png)
![:)](http://forum.drweb.com/public/style_emoticons/default/smile.png)
Борис А. Чертенко aka Borka.
#17
Отправлено 03 Июнь 2011 - 18:01
Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.
немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?
Все что не в списке - то левое и уже есть подозрительное?
тоже относится и к путям
#18
Отправлено 03 Июнь 2011 - 18:09
Ну и чем блокирование неизвестного, но системного софта лучше ложного срабатывания?Все что не в списке - то левое и уже есть подозрительное?
#19
Отправлено 03 Июнь 2011 - 18:12
Смысл такой: БЕЗ СИГНАТУР детектить левые файлы и пути, благо их не так и много. То есть если мы знаем, что файл c:\windows\system32\sdra64.exe это честный суслик, то мы его будем детектить типа эвристиком, даже есть его не будет в базе. Если файл запускается из профиля пользователя и при этом прописан в winlogon\userinit, то это тоже честный суслик. Мы его тоже будем детектить. И тоже без сигнатур.немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.
Все что не в списке - то левое и уже есть подозрительное?
тоже относится и к путям
ИМХО, подход "белых списков" софта приемлем тогда, когда а) есть база репутации файлов на сервере и б) есть облако, чтобы там проверить. Это геморройно, как мне кажется. Кроме того, как уже говорилось, проще файл просто проверить, чем считать хэши.
Борис А. Чертенко aka Borka.
#20
Отправлено 03 Июнь 2011 - 18:18
Смысл такой: БЕЗ СИГНАТУР детектить левые файлы и пути, благо их не так и много. То есть если мы знаем, что файл c:\windows\system32\sdra64.exe это честный суслик, то мы его будем детектить типа эвристиком, даже есть его не будет в базе. Если файл запускается из профиля пользователя и при этом прописан в winlogon\userinit, то это тоже честный суслик. Мы его тоже будем детектить. И тоже без сигнатур.немного не понял. Смысл заносить левые файлы в список? уж не лучше тогда создать список правых?Точнее, даже наоборот - любой файл, на который нет сигнатуры в базах, считается правым.
Все что не в списке - то левое и уже есть подозрительное?
тоже относится и к путям
ИМХО, подход "белых списков" софта приемлем тогда, когда а) есть база репутации файлов на сервере и б) есть облако, чтобы там проверить. Это геморройно, как мне кажется. Кроме того, как уже говорилось, проще файл просто проверить, чем считать хэши.
может вы и правы, но в конечном итоге решать не нам смертным, а прогерам
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых