169 ответов в этой теме

[Пол Банки]

Вроде даже не было особых возражений насчет дырявости. Но делать вряд ли будут.

если уж чтоб мышь не проскочила при контроле инжекта в процесс.

[Borka]

ПС Вот интересно как будем петь сказки при появлении в Drweb 8 данного функцианала?

А он - такой функционал - будет?

Оптимизации проверки у файлового антивируса как не было, так нет.

Хотелось бы услышать какой оптимизации Вам бы хотелось.

По-моему, обсуждалось неоднократно. Как вариант: вывод в интерфейс полного имени файла, который проверяется чаще всех (можно список, топ-10, например), и вывод в туда же полного имени файла, который проверяется дольше всех (опять же - можно списочно). Отдельно, конечно же, нужно поблагодарить за дефолтные практически отключенные выводы в лог.

[Borka]

А как такой вариант: считаем, сколько раз записывается этот файл. Если счетчик записей переваливает 100500, то прекращаем проверять. С соответствующей записью в лог. Но запоминаем, что этот файл нужно проверить при его возможном запуске любым путем. Ы?

[HHH]

Borka, сообщение №40.
Именно это и предлагалось прошлый раз. Лень искать ссылку.

[Borka]

Borka, сообщение №40.
Именно это и предлагалось прошлый раз. Лень искать ссылку.

"При доступе из другой программы" - это и при запуске тоже?

[account has been deleted]

Borka:
А он - такой функционал - будет?
----------
Он уже есть но через реестр. Правда без плюшек как есть. Список возможных плюшек постил в начале темы. Они довольно обширны и не снижают уровень безопасности до прям вообще делай что хочешь. К тому же есть в природе контроль программ по мимо файловой мониторы.

[Serv]

Borka:
А он - такой функционал - будет?
----------
Он уже есть но через реестр. Правда без плюшек как есть. Список возможных плюшек постил в начале темы. Они довольно обширны и не снижают уровень безопасности до прям вообще делай что хочешь. К тому же есть в природе контроль программ по мимо файловой мониторы.

У кАнкурентов он есть. . У них много чего еще есть полезного.

[account has been deleted]

Ну у них то да наворотили, осталось все до ума довести ибо проблем и непоняток хватает. Роняется элементарно и дампы автоматом шлет по часу, за выходные штучки три утекло... Так что рано улыбаться.

[Пол Банки]

Можно ли как то добавить в исключения процесс запущенной программы для уменьшения
нагрузки процессора.

Процесс добавить можно но к сожалению это не документированная фича:

если будет инжект в процесс-что дальше?

[VVS]

давайте.

Максим как обесчал новое или хорошо забытое старое.



Пишит в три разные директории, антивирус только этим и заниманиется бедолага.

to VVS:

Владимир так кто пальцем там вы говорили сделан?

Софтописатели Powercom.

Китайский бесперебойник на 1200 wat работает как часы уже год, стоит копейки, куча режимов, аналоги стоят на порядок, а то и два дороже!, полагаю за брэндовость. Что делать то - купить APS за 10 ooo рублей в надежде что у них софт прямой и программеры все родились естественным путем?

Если Вы хотите быть принципиальным, то пишите разработчикам Upsmon и добивайтесь, чтобы они фиксили свою прогу.
Если Вам не шашечки, а ехать, то просто внесите эти файлы в исключаемые пути.

[VVS]

Оптимизации проверки у файлового антивируса как не было, так нет.

Хотелось бы услышать какой оптимизации Вам бы хотелось.

Переадресую к посту №9. -то, о чем писал evaxp.
Таких тем о тормозах спайдера на форуме достаточно. И везде ответ один и тот же - "внесите файл @abc@ в исключения". Не пора ли что то менять?

Нет, не пора.
Антивирус делает то, что он обязан делать.
В его обязанности не входит создание "зелёного коридора" для вирусов.

Не пора ли что то менять?

Я не думаю, что можно изменить принцип работы файлового монитора: он проверяет все, что шевелится.
Это технология DrWeb. За другими решениям надо обращаться к другим вендорам.
А здесь люди делали фильтр файловой системы, встраивали его в ядро Windows и даже ушли еще дальше (сделали "мини ОС") и менять всё ради неоптимизированного софта...

Ну и зачем проверять ВСЕ что шевелится?

Чтобы не пропустить вирус.

Толк от этого какой?

Вирус не будет пропущен.

Сто квадрильЁнов раз удостовериться что файл @abc@ чист?

Удостоверится, что только что записанный на диск файл не содержит вирус.

И зачем нужна такая технология? Польза где?

Выше уже ответил.

У других вендоров это все уже давно реализовано.

Что "это" реализовано?

[VVS]

Предложите свой вариант оптимизации, не ухудшающий защиту.

Я предлагал. Обнаруживать часто меняющиеся файлы и не проверять их при доступе той же программы. Только при доступе из других процессов.

А если эта "та же программа" именно таким способом и записывает вирус на диск?

[account has been deleted]

если будет инжект в процесс-что дальше?

[VVS]

А как такой вариант: считаем, сколько раз записывается этот файл. Если счетчик записей переваливает 100500, то прекращаем проверять. С соответствующей записью в лог. Но запоминаем, что этот файл нужно проверить при его возможном запуске любым путем. Ы?

Мысль интересная, но она полностью противоречит идеологии современных AV, основной принцип которых - вирус не должен быть записан на диск.

[Пол Банки]

если будет инжект в процесс-что дальше?

об чем и речь - этого-то и нет!

[Пол Банки]

Если Вам не шашечки, а ехать, то просто внесите эти файлы в исключаемые пути.

ехать! еще раз ехать, а не ковыряться в логах, выискивая ЭТИ файлы.
если вам ехать, то покажите ЭТИ файлы!

[VVS]

А как такой вариант: считаем, сколько раз записывается этот файл. Если счетчик записей переваливает 100500, то прекращаем проверять. С соответствующей записью в лог. Но запоминаем, что этот файл нужно проверить при его возможном запуске любым путем. Ы?

1. Где запоминаем?
2. Дроппер "знает", какое число забито в качестве порога, он записывает вирь ровно за 100501 запись,а потом тут же роняет систему в синьку.
Ы?

[VVS]

Если Вам не шашечки, а ехать, то просто внесите эти файлы в исключаемые пути.

ехать! еще раз ехать, а не ковыряться в логах, выискивая ЭТИ файлы.
если вам ехать, то покажите ЭТИ файлы!

По очень многим из внесённых у меня в исключения файлам ЭТО показать невозможно.
Могу уточнить - для любого файла имя или каталог хранения которого не являются фиксированными, ЭТО показать невозможно.

[HHH]

Ы?

Что мешает дропперу сейчас прочесть список исключений и записаться в исключенный файл?
Тут даже надежнее - синька не нужна.

[account has been deleted]

Могу уточнить - для любого файла имя или каталог хранения которого не являются фиксированными, ЭТО показать невозможно.

Если вы не видели нормальные логи то это не значит что этого нет или это не возможно. С нашими логами спецу трудно и это хорошо если он уже в очках, а у кого зрение нормальное?

Сообщение было изменено evaxp: 24 Июль 2012 - 06:41