58 ответов в этой теме

[mrbelyash]

При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно
Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"

Я бы отслеживал только то, что в активных процессах+либы к ним и автозагрузку...хотя уже этого многовато.
А новенькое пробивать бы по репутации

[SHIELD]

Вы подписались на журнал Хакер?

Нет

Сообщение было изменено mail311: 28 Ноябрь 2011 - 11:37

[SHIELD]

что делать домохозяйке со списком изменных файлов и кто их изменил?
стелс не может подменять файл при запросе?

1. Например "Домохозяйка" лезет в таблицу "карантин"?!
Значит у нее есть желание и способности, а если нет, то и не лезет.
2. Стелс-вирус может подменеять файл при запросе,
для этого случая я описал схему с анти-руткит (читайте выше).

p.s. Те люди которые считают, что нужно орантироваться на разум "домохозяек",
очень сильно ошибаются, так как "домохозяйки" не будут разбираться - хороший или плохой антивирус.
Они спросят у специалиста, а тот скажет свое впечатление.
А домохозяйка решит платить или нет за такое продукт.
И я не предлагаю, чтобы все сложные "навороты" толкать пользователю в лицо.
Все должно быть разумно и уместно!

[SHIELD]

При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно

Вы видимо не внимательно изучили мое предложение! Я не предлогаю копировать "минусы" из программы ADinf. Я предлогаю более совершенную и актуальную систему.

Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"

Я помню эти надоедливые сообщения. Чтобы их не было, я предложил различные возможности с пометкой/проверкой файлов и два режима сканирования (в реале и в ручную) с разными эталонными таблицами (а не с только предыдущей).

Сообщение было изменено mail311: 28 Ноябрь 2011 - 11:53

[Пол Банки]

1. Например "Домохозяйка" лезет в таблицу "карантин"?!
Значит у нее есть желание и способности, а если нет, то и не лезет.

значит фича для спецов. из них надо убрать тех, которые не согласятся пользоваться (спец спецом, но желания разные). вобщем остается мало.
может быть направить свои предложения разрабам адинфа?

[SHIELD]

sda, 28 November 2011 - 12:28, написал:
При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно
Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"
Я бы отслеживал только то, что в активных процессах+либы к ним и автозагрузку...хотя уже этого многовато.
А новенькое пробивать бы по репутации

Ну вот и замечательно Значит не только я хочу такие нововедения в DrWeb
А я бы включил галочку не отслеживать список файлов, в котором уже внесены многие системные файлы, которые постоянно меняются в ОС. Ну еще какие-нибудь добавил бы.
Таким образом, изменение остальных файлов контролировалось бы в реальном времени.
Тот список которые я включил "не отслеживать", я бы задал расписание сканировать раз в неделю, а потом просматривал таблицу.
Таким образом, врядли появятся изменения, о которых я бы не узнал

[sda]

При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно

Вы видимо не внимательно изучили мое предложение! Я не предлогаю копировать "минусы" из программы ADinf. Я предлогаю более совершенную и актуальную систему.

Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"

Я помню эти надоедливые сообщения. Чтобы их не было, я предложил различные возможности с пометкой/проверкой файлов и два режима сканирования (в реале и в ручную) с разными эталонными таблицами (а не с только предыдущей).

Чего изобретать велосипед? Берем конкурентов http://www.kaspersky.ru/support/kav2012/tech?qid=208641017

[SHIELD]

mail311 написал:1. Например "Домохозяйка" лезет в таблицу "карантин"?!
Значит у нее есть желание и способности, а если нет, то и не лезет.значит фича для спецов. из них надо убрать тех, которые не согласятся пользоваться (спец спецом, но желания разные). вобщем остается мало.
может быть направить свои предложения разрабам адинфа?

Да Вы еще посоветуйте все предложения направить конкурентам, а DrWeb'у закрыться и ничего не программировать и разойтись по домам. Вы прежде чем что-то посоветовать/написать сначало подумайте! О ком Вы? ADinf программировали когда Данилов и Касперский были еще студентами и только начинали свою работу в области антивирусов. А сейчас разработчики ADinf'а уже давно состарились и уж точно не занимаются программированием антивирсов.

[SHIELD]

mail311, 28 November 2011 - 12:53, написал:
sda написал:При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно

Вы видимо не внимательно изучили мое предложение! Я не предлогаю копировать "минусы" из программы ADinf. Я предлогаю более совершенную и актуальную систему.

sda написал:Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"

Я помню эти надоедливые сообщения. Чтобы их не было, я предложил различные возможности с пометкой/проверкой файлов и два режима сканирования (в реале и в ручную) с разными эталонными таблицами (а не с только предыдущей).
Чего изобретать велосипед? Берем конкурентов http://www.kaspersky...h?qid=208641017

Вы не внимательны! Мое предложение не в ускорении проверки! А в создании функционала, который позволит пользователю видеть - что происходит с файлами и процессами в ОС.

[Пол Банки]

Да Вы еще посоветуйте все предложения направить конкурентам,

об этом я подумаю.

О ком Вы? ADinf программировали когда Данилов и Касперский были еще студентами и только начинали свою работу в области антивирусов. А сейчас разработчики ADinf'а уже давно состарились и уж точно не занимаются программированием антивирсов.

а что у них и последователей нет?

[sda]

mail311, 28 November 2011 - 12:53, написал:
sda написал:При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно

Вы видимо не внимательно изучили мое предложение! Я не предлогаю копировать "минусы" из программы ADinf. Я предлогаю более совершенную и актуальную систему.

sda написал:Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"

Я помню эти надоедливые сообщения. Чтобы их не было, я предложил различные возможности с пометкой/проверкой файлов и два режима сканирования (в реале и в ручную) с разными эталонными таблицами (а не с только предыдущей).
Чего изобретать велосипед? Берем конкурентов http://www.kaspersky...h?qid=208641017

Вы не внимательны! Мое предложение не в ускорении проверки! А в создании функционала, который позволит пользователю видеть - что происходит с файлами и процессами в ОС.

Там и в режиме постоянной защиты, что более чем достаточно обычному пользователю. Для специалиста есть свои утилиты, где можно сравнить хеш, МD и процессы типа Руссиновического Process Explorer

[SHIELD]

а что у них и последователей нет?

Последователи может быть есть.
Но, я не предлагаю копировать ADinf.
Я предлагаю быть не последними в использовании идеи которая похожа на решение в ADinf.
Мое предложение отличается от ADinf и других АВ, но суть та же.

[SHIELD]

Для специалиста есть свои утилиты, где можно сравнить хеш, МD и процессы типа Руссиновического Process Explorer

То есть, Вы предлагаете разложить безопасность на составляющие, да?
Сканер от DrWeb, сторож от АВК, фаирволл от COMODO, монитор изменений файлов от ADinf, Web-сторож от AVAST!, Mail-сторож от Avira. Ваша идея "носить каждый инструмент в отдельной коробке" - ГЛУПА!
Представьте, что для каждой функции нужен свой перехватчик(руткит), если они будут все от разных производителей, то чего они "начудят" в системе?! Если не BSOD(синий экран), то "тормознутость" ОС обеспечена!

[sda]

Для специалиста есть свои утилиты, где можно сравнить хеш, МD и процессы типа Руссиновического Process Explorer

То есть, Вы предлагаете разложить безопасность на составляющие, да?
Сканер от DrWeb, сторож от АВК, фаирволл от COMODO, монитор изменений файлов от ADinf, Web-сторож от AVAST!, Mail-сторож от Avira. Ваша идея "носить каждый инструмент в отдельной коробке" - ГЛУПА!
Представьте, что для каждой функции нужен свой перехватчик(руткит), если они будут все от разных производителей, то чего они "начудят" в системе?! Если не BSOD(синий экран), то "тормознутость" ОС обеспечена!

Это ваш тупой вывод который вы придумали, "изобретатель велосипедов" , зато ваше изобретение, доставляет Эпический лузл

[mrbelyash]

[SHIELD]

Это ваш тупой вывод который вы придумали, "изобретатель велосипедов" , зато ваше изобретение, доставляет Эпический лузл

Вы не хамите! Это Вы предложили использовать сторонние продукты для решения задач в области защиты ОС.
И не нужно так сильно отделять "домохозяек" от "специалистов"!
Бывают такие "специалисты", которые в безопасности меньше понимают чем "домохозяйки".

И вообще, мое предложение адресовано разработчикам DrWeb, а не Вам!

[sda]

Это ваш тупой вывод который вы придумали, "изобретатель велосипедов" , зато ваше изобретение, доставляет Эпический лузл

Вы не хамите! Это Вы предложили использовать сторонние продукты для решения задач в области защиты ОС.
И не нужно так сильно отделять "домохозяек" от "специалистов"!
Бывают такие "специалисты", которые в безопасности меньше понимают чем "домохозяйки".

И вообще, мое предложение адресовано разработчикам DrWeb, а не Вам!

где то я уже встречал такие рационализаторские предложения

[Буль-буль]

А я бы включил галочку не отслеживать список файлов, в котором уже внесены многие системные файлы, которые постоянно меняются в ОС. Ну еще какие-нибудь добавил бы.

Что вы относите к системным файлам и почему их не надо отслеживать?
Если говорить о не системных файлах, то как вы предполагаете определять изменившиеся подозрительно? По каким критериям?

[Пол Банки]

а что у них и последователей нет?

Последователи может быть есть.
Но, я не предлагаю копировать ADinf.
Я предлагаю быть не последними в использовании идеи которая похожа на решение в ADinf.
Мое предложение отличается от ADinf и других АВ, но суть та же.

ну вот к ним и надо. они вашу идею и реализуют!

[SHIELD]

Что вы относите к системным файлам и почему их не надо отслеживать?

Имел виду те которые часто изменяются, например в папке "Temp".
Это для ревизора!
НО, к антивирусной проверке это не относиться!
Антивирусный сторож должен отслеживать все попытки записи!

Если говорить о не системных файлах, то как вы предполагаете определять изменившиеся подозрительно? По каким критериям?

Пример 1 (для сканирования изменений):
Есть у меня программа c:\Program Files\ASM Editor\ASM_Ed.exe
в таблице она получила другую сумму MD5 и отметилась цветом, что файл изменен.
Я выбираю эту позицию и помечаю как подозрительно и цвет меняется на подозрительно.
А дальше принимаю действия как для продозрительного файла.
Вывод:
Критерий - это моя логика - я ведь не изменял этот файл, по этому для меня очевидно, что его кто-то изменил, без моего разрешения.

Пример 2 (для мониторинга изменений в реальном времени):
Программа c:\Documents and Settings\<user>\Local Settings\Temp\dreadnight_packedTDSS.exe
пытается изменить программу c:\Program Files\ASM Editor\ASM_Ed.exe
Варианты ответа:
1. Разрешить dreadnight_packedTDSS.exe всегда изменять ASM_Ed.exe
2. Разрешить dreadnight_packedTDSS.exe сейчас поменять ASM_Ed.exe
3. Блокировать dreadnight_packedTDSS.exe все попытки поменять ASM_Ed.exe
4. Блокировать dreadnight_packedTDSS.exe эту попытку поменять ASM_Ed.exe
(точка) копировать dreadnight_packedTDSS.exe в карантин
(точка) переместить dreadnight_packedTDSS.exe в карантин
(точка) не перемещать dreadnight_packedTDSS.exe в карантин