364 ответов в этой теме

[Konstantin Yudin]

Плюс вывести отдельным файлом список обнаруженых угроз, и что по этому поводу сделано.

это было всегда... сохранить список отчета в файл.

[Borka]

Плюс вывести отдельным файлом список обнаруженых угроз, и что по этому поводу сделано.

это было всегда... сохранить список отчета в файл.

Но только в сканере.

[mrbelyash]

FR #0025668 оформлен,но думаю разработчики зарубают на корню

Расширить возможности SpiDer Guard
Нужно определиться прикрутить к спайдеру фишки или делать отдельные модули.
Например
1.Мне не нравится что файлы из TEMP прописываются в автозагрузку (легальные программы это делают? Врядли)
2.Программы прописываются в каталог Windows(windows/system)и оттуда же прописываются в автозагрузку.
3.На локальных дисках создается autorun.inf (разработчики встречали хоть раз легальную программу прописывающую себя на локальном диске для автозапуска?)
4.Смена ассоциации файлов...
CreateStringValue HKEY_CLASSES_ROOT, "exefile\shell\open\command", REG_SZ, "", Chr(&H22) & "%1" & Chr(&H22) & " %*"
5.Запрет на запуск программ????Возможно это функция админа,но уж очень часто встречается (в кучке с запретом редактирования реестра)

Давайте что-то решать?
Ведь это необходимый минимум,на котором можно порубать 50% неизвестных инфекций....
Согласен,окно с сообщением нужно продумать....но.....
Даже внесение в лог Спайдера этих действий облегчит обнаружение вируса/трояна...
Очень таки удобно в логе найти строчку
C:\Documents and Settings\SMP\Local Settings\Temp\BE.exe -попытка прописаться в автозапуск,разрешено настройками/разрешено пользователем/заблокировано

[Valery Ledovskoy]

1.Мне не нравится что файлы из TEMP прописываются в автозагрузку (легальные программы это делают? Врядли)
2.Программы прописываются в каталог Windows(windows/system)и оттуда же прописываются в автозагрузку.
3.На локальных дисках создается autorun.inf (разработчики встречали хоть раз легальную программу прописывающую себя на локальном диске для автозапуска?)
4.Смена ассоциации файлов...
CreateStringValue HKEY_CLASSES_ROOT, "exefile\shell\open\command", REG_SZ, "", Chr(&H22) & "%1" & Chr(&H22) & " %*"
5.Запрет на запуск программ????Возможно это функция админа,но уж очень часто встречается (в кучке с запретом редактирования реестра)

ИМХО, к спайдеру это уже имеет малое отношение. Это ближе к поведенческому анализу. И если будет решаться, то совершенно на более высоком уровне, а не на уровне конкретных предложений.

[mrbelyash]

ИМХО, к спайдеру это уже имеет малое отношение. Это ближе к поведенческому анализу. И если будет решаться, то совершенно на более высоком уровне, а не на уровне конкретных предложений.

Угу...Спайдер-это файловый фильтр.
Но как вы этого не понимаете что этого мало.

Спайдер не способен лечить реестр,поэтому пользуйтесь сканером.
В базах троян не известен,Спайдер Гейт его пропускает,Спайдер Гуард тоже.....Ну и?

то совершенно на более высоком уровне, а не на уровне конкретных предложений.

Угу,а дальше круговая порука...Я напишу в фридбэк,а Вы мне ответите тем же

[Valery Ledovskoy]

Угу,а дальше круговая порука...Я напишу в фридбэк,а Вы мне ответите тем же wink.gif

Да, я скажу, что предложения технического плана лучше всего делать в багтрекере
Но так мы же не можем заставить разработчиков сделать что-то?
Мы можем лишь убедить, и для этого даже есть у нас некоторые средства. Конечно, эти средства никогда не дадут 100%-ой гарантии осуществления всех желаний
"Довольствуйся малым" (с)

[mrbelyash]

"Довольствуйся малым" (с)

Я у шоци

[Eugeny Gladkih]

1.Мне не нравится что файлы из TEMP прописываются в автозагрузку (легальные программы это делают? Врядли)

сплош и рядом. даже мы

[mrbelyash]

1.Мне не нравится что файлы из TEMP прописываются в автозагрузку (легальные программы это делают? Врядли)

сплош и рядом. даже мы

А вот такие G:\Documents and Settings\Maxik\1.exe

G:\Documents and Settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}\{29547529-F4C7-4B61-AC98-3E15F8B99F96}.exe


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="E:\\MY_Prog\\Project1.exe,Explorer.exe"
"Userinit"="G:\\WINDOWS\\system32\\userinit.exe,E:\\MY_Prog\\Хашер\\SimAV\\Xasher.exe"

P.S.
Был приятно удивлен, что сканер проверяет эти пути

[Eugeny Gladkih]

Был приятно удивлен, что сканер проверяет эти пути

знали бы Вы сколько таких путей...

[mrbelyash]

Евгений,а почему бы ссылку курилки не сделать в формате дд/мм/гг/чч/мм/имя

ftp://ftp.drweb.com/pub/drweb/cureit/02_0...9_05_launch.exe

ftp://ftp.drweb.com/pub/drweb/cureit/0202091905_launch.exe

Сразу же пропадут проблемы с проблемой CRC в курилке.

И меняйте дату,размеры и все что хошь. Закачка любой качалкой будет без проблем.

P.S.

Думаю скрипт будет без проблем написать для генерации новой ссылки.

[Eugene74ru]

Евгений,а почему бы ссылку курилки не сделать в формате дд/мм/гг/чч/мм/имя

ftp://ftp.drweb.com/pub/drweb/cureit/02_0...9_05_launch.exe

ftp://ftp.drweb.com/pub/drweb/cureit/0202091905_launch.exe

Сразу же пропадут проблемы с проблемой CRC в курилке.

И меняйте дату,размеры и все что хошь. Закачка любой качалкой будет без проблем.

P.S.

Думаю скрипт будет без проблем написать для генерации новой ссылки.

Поддерживаю данное предложение.

[Konstantin Yudin]

Евгений,а почему бы ссылку курилки не сделать в формате дд/мм/гг/чч/мм/имя

ftp://ftp.drweb.com/pub/drweb/cureit/02_0...9_05_launch.exe

ftp://ftp.drweb.com/pub/drweb/cureit/0202091905_launch.exe

Сразу же пропадут проблемы с проблемой CRC в курилке.

И меняйте дату,размеры и все что хошь. Закачка любой качалкой будет без проблем.

P.S.

Думаю скрипт будет без проблем написать для генерации новой ссылки.

если зайти на фтп то можно увидить что есть куча папопк с датой и времени и там лежит курит. правда есть один нюанс, в имя папки добавлюятся секунды, что усложняет скрипт.

[mrbelyash]

Вот подумалось.

Скачиваю я файлик(инсталяшку) с интернета он проверяется Spider Gate. Скачался,вирусов не найдено.

Запускаю и что же я вижу?

Он проверяется Spider Guard. А собственно говоря зачем? Ведь Gate его уже проверил.

Нельзя ли в следующей реализации не дублировать работу Gate и Spider Mail ?

При условии что файлик не изменился.

Ведь Spider Guard как-то взаимодействует со сканером....

м?

[Aitishnik]

[imho]Вообще, нужно весь функционал в единый сервис переносить, тогда взаимодействие компонентов будет реализовываться в разы проще, а сама софтина станет шустрее...[/imho]

[Borka]

[imho]Вообще, нужно весь функционал в единый сервис переносить, тогда взаимодействие компонентов будет реализовываться в разы проще, а сама софтина станет шустрее...[/imho]

Так к этому и идет - к СканЭнджину. Вот только когда это будет...

[Aitishnik]

Вот ещё одно "хочу" из моего угла http://forum.drweb.com/public/style_emoticons/default/smile.png

Хочется версию, заточенную под виртуализацию, т.е. для совместной с гипервизором работы. Некоторые конкуренты уже анонсировали подобные продукты, хотя я их ещё не успел потрогать

Решение должно использовать возможности гипервизора для контроля над гостевой ОС, что позволит повысить надежность работы антивируса, особенно в плане лечения активного заражения (в конце концов, гипервизор контролирует всё адресное пространство гостевой ОС - заразе будет уже не спрятаться). Также, можно предполагать повышение скорости работы по сравнению с установкой отдельного антивируса в каждую гостевую ОС.

Лицензировать предлагаю, по примеру конкурентов, за физическую хост-машину

Лично я был бы заинтересован в поддержке следующих гипервизоров (в порядке убывания приоритета):

Xen

MS Hyper-V

VMWare

особенно первого, так как *nix-продукты что-то несправедливо обходят вниманием. А ведь ситуация, когда под никсами виртуализируются Windows-серверы встречается чаще, чем может кому-то казаться.



----



И ещё одно "хочу", появившееся после прочтения поста: нужно, чтобы после ребута (неотключаемо, ибо нефиг) и после прихода новых баз (отключаемо, но по дефолту чтоб включено было) включалось пересканирование оперативки (опционально - и стартапов). Дабы не было жалоб - с низким приоритетом.

[KSerega]

добавить список "чистых" файлов, что повысит скорость сканирования
добавить галку выключения после проверки (было уже, тоже считаю, что нужно)
PS. Пользуюсь связкой DrWeb+Comodo (Firewall&Defence) - сильнейшая парочка,
если будет 2 в 1-ом - это предел мечтаний.

[Pavel Plotnikov]

добавить галку выключения после проверки (было уже, тоже считаю, что нужно)

будет.