169 ответов в этой теме

[Serv]

Пофантазировали про контроль программ? Про фоновые проверки? Про удобочитаемые логи? Помечтали? А теперь возвращайтесь на грешную землю.

[VVS]

Я не сомневаюсь, что у меня фаворитом был бы IE, так же, как у Вас фаворитом является Opera.
И что это даст для внесения каких-то файлов в исключения?

Причем тут фавориты, это журналирование, нормальное человеческое журналирование, взглянув на которое любой пользователь может сделать вывод что и кто пишит, создает и тд. Далее не щурясь в логах в формате .txt сделать вывод что тормаза создает приложение к примеру ураЯвсепонял.exe деятельность которого стоит в топе журнала с ненормальной цифрой количества проверок и к которому можно применить правило:




Причем сам процесс остается в проверке + контролируется контролером программ, на случай бредней про инжекты и все такое....

Меня полностью не устраивает в применении к любой программе опция типа "Не проверять открываемые файлы".
Я не знаю, какие в программе могут быть дыры и что они позволяют делать...
В DrWeb Security Suite подобное можно включить недокументированным способом через реестр.
В ES ЕМНИП такое есть штатно.
Ни разу подобного не применял у себя и ни разу не советовал и не буду советовать такого никому из тех, кого я консультирую.

[account has been deleted]

Пофантазировали про контроль программ? Про фоновые проверки? Про удобочитаемые логи? Помечтали? А теперь возвращайтесь на грешную землю.

В смысле помечтали? Кто хочит тот имеет.

[account has been deleted]

Я не знаю, какие в программе могут быть дыры и что они позволяют делать...

А что файловый монитор от дыр спасает?

UP
Владимир вы вообще в теме? Монитор файлов не занимается поведенческим анализом, он ловит сигнатуры.

Сообщение было изменено evaxp: 24 Июль 2012 - 22:03

[VVS]

Пофантазировали про контроль программ?

Он есть.

Про фоновые проверки?

Они есть.

ЗЫ
Может имеет смысл прежде, чем пытаться ехидничать, хоть немного ознакомиться с работой программы, о которой Вы пишете?

[VVS]

Я не знаю, какие в программе могут быть дыры и что они позволяют делать...

А что файловый монитор от дыр спасает?

Если через дыру попытаются впендюрить известный вирус, то он будет пойман.

[HHH]

А у меня это совсем другой диск и другой каталог.

Ну так он запишется в ваш диск и ваш каталог.
В чем проблема прочесть исключения из реестра или из лога?

Отменяем всё-таки исключения или нет?

[Serv]

Пофантазировали про контроль программ? Про фоновые проверки? Про удобочитаемые логи? Помечтали? А теперь возвращайтесь на грешную землю.

В смысле помечтали? Кто хочит тот имеет.

Я про Dr.Web. В текущей реализации.

[Serv]

Пофантазировали про контроль программ?

Он есть.

Про фоновые проверки?

Они есть.

ЗЫ
Может имеет смысл прежде, чем пытаться ехидничать, хоть немного ознакомиться с работой программы, о которой Вы пишете?

Да-да, контроль программ у нас есть! Только настройки запрятаны глубоко, да? Недокументированная фича.

[account has been deleted]

Если через дыру попытаются впендюрить известный вирус, то он будет пойман.

Владимир я конечно извиняюсь но это детский лепет. Возьмите старый к примеру фаерфокс и обновите его штатно, после покажите отчет о том что файл изменился и типа файловый монитор закрывальщик дыр принял решение блокировать, продолжать использовать автоматом или предоставил выбор пользователю и не зависимо от того знает он вирус не знает. Фичу фаера предоставлять не надо, нужен класический АВ от доктора седьмой версии и файловый монитор который вдруг стал закрывать дыры.

[VVS]

А у меня это совсем другой диск и другой каталог.

Ну так он запишется в ваш диск и ваш каталог.
В чем проблема прочесть исключения из реестра или из лога?

Аха...
Сперва вирь проверяет, установлен ли на компе торрент-клиент.
Если торрент-клиент установлен, то вирь в своей встроенной базе ищет, где этот торрент-клиент хранит свою конфигурацию.
Потом он читает эту конфигурацию и выясняет, где этот торрент-клиент хранит недокачанные файлы.
Затем он читает конфиги доктора и выясняет, внесён ли этот путь в исключаемые пути спайдера.
......
IMHO маловероятно, что так сделают, слишком сложно и ненадёжно.

Отменяем всё-таки исключения или нет?

Нет, к сожалению без них не обойтись.

[VVS]

Если через дыру попытаются впендюрить известный вирус, то он будет пойман.

Владимир я конечно извиняюсь но это детский лепет.

Если до Вас не дошло, то попытаюсь объяснить попроще, с примером.
В Windows XP была "дыра".
Через неё распространялся троян, который DrWeb называет Win32.HLLW.Shadow.based
Файловый монитор SpIDer Guard ловил этого трояна.
Так понятнее?

[VVS]

Пофантазировали про контроль программ?

Он есть.

Про фоновые проверки?

Они есть.

ЗЫ
Может имеет смысл прежде, чем пытаться ехидничать, хоть немного ознакомиться с работой программы, о которой Вы пишете?

Да-да, контроль программ у нас есть! Только настройки запрятаны глубоко, да? Недокументированная фича.

Не, фича вполне документированная, просто Вы не разбираетесь в том, о чём пишете.
 2012-07-24_23-07-57.png   70,49К   2 Скачано раз

PS
И ещё все программы проверяются при запуске.
Эта фича включена по умолчанию и явным образом в локальном DrWeb её отключить нельзя (в ES отключить можно).
Так что учите матчасть...

Сообщение было изменено VVS: 24 Июль 2012 - 22:50

[HHH]

IMHO маловероятно, что так сделают, слишком сложно и ненадёжно.

Что-то вы к вечеру плохо соображаете...

Читаем исключения антивируса, ищем любо элемент с маской, пишем файл, который под маску попал.

Вполне надежно.

Так что ваш аргумент про 100501 запись вряд ли можно воспринимать всерьёз.

Но всё это бесполезно обсуждать ибо сделано никогда не будет.

Сообщение было изменено HHH: 24 Июль 2012 - 22:51

[account has been deleted]

Не, фича вполне документированная, просто Вы не разбираетесь в том, о чём пишете.

Владимир вы путаете понятия, поймать известный вирус в процессах и модулях или просто в файле, это спорт лото 2012 (еще надо умудрится). Анализ поведения это совсем другое что собственно и называется закрытием дыр файлового монитора, а именно то что он возможно проворонил. Как раз та защита что сейчас у доктора никакие дыры не закроет. Ну если не считать ту фичу когда dwprot молча и бездумно прикрывает пару тройку веток в реестре и куча людей просто обламывается с инсталляцией программ с обновлениями и тд по форуму.

Сообщение было изменено evaxp: 24 Июль 2012 - 23:00

[VVS]

IMHO маловероятно, что так сделают, слишком сложно и ненадёжно.

Что-то вы к вечеру плохо соображаете...

Читаем исключения антивируса, ищем любо элемент с маской, пишем файл, который под маску попал.

Вполне надежно.

Не вполне.
Файл может быть перезаписан программой, для которой создавались эти исключения.
Но в принципе с Вами согласен - исключаемые пути зло, но, к сожалению, без них не обойтись.
Но из этого никоим образом не следует, что нужно без необходимости добавлять ещё потенциально опасные фичи.

[Borka]

А как такой вариант: считаем, сколько раз записывается этот файл. Если счетчик записей переваливает 100500, то прекращаем проверять. С соответствующей записью в лог. Но запоминаем, что этот файл нужно проверить при его возможном запуске любым путем. Ы?

1. Где запоминаем?
2. Дроппер "знает", какое число забито в качестве порога, он записывает вирь ровно за 100501 запись,а потом тут же роняет систему в синьку.
Ы?

В принципе согласен, но я больше про перезапись легитимных файлов...

Ы?

Что мешает дропперу сейчас прочесть список исключений и записаться в исключенный файл?
Тут даже надежнее - синька не нужна.

Угу...

А топ самых тяжелых и топ самых частопроверяемых нужен...

[Serv]

И ещё все программы проверяются при запуске.
Эта фича включена по умолчанию и явным образом в локальном DrWeb её отключить нельзя (в ES отключить можно).
Так что учите матчасть...

Вы делаете хорошую мину при плохой игре. Проверка и контроль (Хипс) - вещи разные.

[VVS]

Не, фича вполне документированная, просто Вы не разбираетесь в том, о чём пишете.

Владимир вы путаете понятия, поймать известный вирус в процессах и модулях или просто в файле, это спорт лото 2012 (еще надо умудрится). Анализ поведения это совсем другое что собственно и называется закрытием дыр файлового монитора, а именно то что он возможно проворонил. Как раз та защита что сейчас у доктора никакие дыры не закроет. Ну если не считать ту фичу когда dwprot молча и бездумно прикрывает пару тройку веток в реестре и куча людей просто обламывается с инсталляцией программ с обновлениями и тд по форуму.

1. В процитированной фразе я отвечал на постинг Serv, в котором не было ничего про контроль поведения программ, а было без особого понимания терминов сказано про контроль программ (а не контроль поведения программ; Вам не кажется, что это несколько разные вещи?) и фоновую проверку.
Так вот: контроль программ и фоновая проверка в DrWeb есть.
2. Вы никак не поймёте элементарного - я уже несколько раз писал для Вас, что я Вам говорю не про закрытие дыры, а про возможность поймать известного виря, который проникнет с использованием этой дыры.
Я уже и Shadow в пример приводил.
DrWeb не закрывал ту дыру, а просто ловил виря, который через неё проникал.
Ну как ещё проще написать, чтобы до Вас наконец дошло то, что я пишу?

[account has been deleted]

Так вот: контроль программ и фоновая проверка в DrWeb есть.

Покажите логи, я вас просил установить старый фаерфокс и обновить его, в логе должно быть упоминание о том что процес фаерфокс.ехе изменился и что решение о том что с ним делать было принято автоматом или выбор предоставлен пользователю. Фаер не предлагать нужен классический АВ релиз седьмой версии.
Проверка и контроль разные вещи.

Сообщение было изменено evaxp: 24 Июль 2012 - 23:27