Перейти к содержимому


Фото
- - - - -

Как узнать - действительно ли в программе вредонос или это ложное срабатывание ?


  • Please log in to reply
130 ответов в этой теме

#121 Victor_koly

Victor_koly

    Member

  • Posters
  • 307 Сообщений:

Отправлено 20 Май 2014 - 17:53

mrbelyash, вот примерно так может выглядеть лог (не нашел, как файл загрузить):

Обнаружение Identity Protection
"Имя угрозы";"Состояние";"Время обнаружения";"Тип объекта";"Процесс"
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus03.exe";"Защищено";"08.02.2014, 0:31:18";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus04.exe";"Защищено";"08.02.2014, 0:32:48";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\winupdgm.exe";"Защищено";"08.02.2014, 0:35:18";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\s3chip3.exe";"Защищено";"08.02.2014, 0:36:58";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\sysmgr.exe";"Защищено";"08.02.2014, 0:51:02";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\wincrt32.exe";"Защищено";"08.02.2014, 1:02:40";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\xflash.exe";"Защищено";"08.02.2014, 10:58:28";"Процесс";""
"IDP.Trojan.93651C51, D:\Downloads\avtest7_1\virus08.exe";"Защищено";"08.02.2014, 11:01:18";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\csrrs.exe";"Защищено";"08.02.2014, 11:03:37";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\SCVHOSTN.exe";"Защищено";"08.02.2014, 11:11:06";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\scvhost.exe";"Защищено";"08.02.2014, 12:20:42";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\msrun32.exe";"Защищено";"08.02.2014, 15:47:30";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\soundman.exe";"Защищено";"08.02.2014, 15:50:07";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\svcnet.exe";"Защищено";"08.02.2014, 18:11:53";"Процесс";""
"Общий поведенческий анализ, C:\Users\Victor\AppData\Roaming\Mugo\muurp.exe";"Защищено";"08.02.2014, 18:16:09";"Процесс";""
"Общий поведенческий анализ, C:\Windows\system\System.exe";"Защищено";"08.02.2014, 18:31:49";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus26.exe";"Защищено";"08.02.2014, 21:34:53";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\svchos1.exe";"Защищено";"08.02.2014, 21:38:20";"Процесс";""
"Общий поведенческий анализ, C:\Windows\Help\TCPSVS32.EXE";"Защищено";"08.02.2014, 21:45:25";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\mshelp32.exe";"Защищено";"09.02.2014, 13:35:16";"Процесс";""
"Общий поведенческий анализ, D:\DOWNLOADS\AVTEST7_1\VIRUS55.EXE";"Защищено";"09.02.2014, 13:44:13";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\vsL3cq4e.exe";"Защищено";"09.02.2014, 18:02:37";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_4\THEM FACEBoook.exe";"Защищено";"11.02.2014, 0:49:08";"Процесс";""


#122 Anmawe

Anmawe

    Member

  • Posters
  • 115 Сообщений:

Отправлено 20 Май 2014 - 18:11

она заметит 60% вирусов или 96%, но что-то точно заметит
Вы про какой HIPS - экспертный или классический ? Проактивная защита всего лишь предупреждает, что эта программа может начать выполнять деструктивную активность.

 

Примеры. HIPS сообщает

1. Программа собирается установить драйвер, после загрузки драйвера антивирус не сможет контролировать активность программы

2. Программа собирается начать перехватывать нажатия клавиш. Поведение характерно для трояна-кейлоггера.

 

Victor_koly, вы увидели подобное сообщение к примеру. Вы написали "она заметит 60% вирусов или 96%" - что означает слово "заметит" ? Проактивная защита не принимает решение - троян это или нет. Решение пользователь принимает - рискнуть и разрешить (и компрометация системы  произошла, если не повезло, и там троян ), или запретить (тогда скорее всего заражения не будет, но программа может завершить работу, хотя программа легитимная, к примеру, но пользователь не знает об этом).

 

2) произойдет заражение неизвестными вирусами и Вас ничто не спасет, кроме антивируса с более полными базами.
Я вас огорчу, но антивирус может ничего не найти, даже после полного скана c полными базами. А может найти, но это может оказаться ложным срабатыванием.

#123 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Май 2014 - 18:19

 

mrbelyash, вот примерно так может выглядеть лог (не нашел, как файл загрузить):

Обнаружение Identity Protection
"Имя угрозы";"Состояние";"Время обнаружения";"Тип объекта";"Процесс"
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus03.exe";"Защищено";"08.02.2014, 0:31:18";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus04.exe";"Защищено";"08.02.2014, 0:32:48";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\winupdgm.exe";"Защищено";"08.02.2014, 0:35:18";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\s3chip3.exe";"Защищено";"08.02.2014, 0:36:58";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\sysmgr.exe";"Защищено";"08.02.2014, 0:51:02";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\wincrt32.exe";"Защищено";"08.02.2014, 1:02:40";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\xflash.exe";"Защищено";"08.02.2014, 10:58:28";"Процесс";""
"IDP.Trojan.93651C51, D:\Downloads\avtest7_1\virus08.exe";"Защищено";"08.02.2014, 11:01:18";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\csrrs.exe";"Защищено";"08.02.2014, 11:03:37";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\SCVHOSTN.exe";"Защищено";"08.02.2014, 11:11:06";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\scvhost.exe";"Защищено";"08.02.2014, 12:20:42";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\msrun32.exe";"Защищено";"08.02.2014, 15:47:30";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\soundman.exe";"Защищено";"08.02.2014, 15:50:07";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\svcnet.exe";"Защищено";"08.02.2014, 18:11:53";"Процесс";""
"Общий поведенческий анализ, C:\Users\Victor\AppData\Roaming\Mugo\muurp.exe";"Защищено";"08.02.2014, 18:16:09";"Процесс";""
"Общий поведенческий анализ, C:\Windows\system\System.exe";"Защищено";"08.02.2014, 18:31:49";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_1\virus26.exe";"Защищено";"08.02.2014, 21:34:53";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\svchos1.exe";"Защищено";"08.02.2014, 21:38:20";"Процесс";""
"Общий поведенческий анализ, C:\Windows\Help\TCPSVS32.EXE";"Защищено";"08.02.2014, 21:45:25";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\mshelp32.exe";"Защищено";"09.02.2014, 13:35:16";"Процесс";""
"Общий поведенческий анализ, D:\DOWNLOADS\AVTEST7_1\VIRUS55.EXE";"Защищено";"09.02.2014, 13:44:13";"Процесс";""
"Общий поведенческий анализ, C:\Windows\SysWOW64\vsL3cq4e.exe";"Защищено";"09.02.2014, 18:02:37";"Процесс";""
"Общий поведенческий анализ, D:\Downloads\avtest7_4\THEM FACEBoook.exe";"Защищено";"11.02.2014, 0:49:08";"Процесс";""

 

Поведенческий для простого пользователя?

 

Защищено и баста.

А хотелось бы деталей кто и куда полез и что самое интересно не в каше,а в адекваном модуле Просмотра логов

С выделением,сортировкой,выделением цветом опасности угроз.

Да там можно накидать предложений со стороны пользователя/админа/приходящего_админа.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#124 ksysha

ksysha

    Member

  • Posters
  • 479 Сообщений:

Отправлено 20 Май 2014 - 18:25

Защищено и баста.
А хотелось бы деталей кто и куда полез и что самое интересно не в каше,а в адекваном модуле Просмотра логов
С выделением,сортировкой,выделением цветом опасности угроз.
Да там можно накидать предложений со стороны пользователя/админа/приходящего_админа.

Давно об этом говорю, ответ один, юзеру оно не надо, реализовывать не будем...  

Хотя как то К.Ю обмолвился, что в восьмой версии будет, но уже десятая на носу... :(



#125 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Май 2014 - 18:31

 

Защищено и баста.
А хотелось бы деталей кто и куда полез и что самое интересно не в каше,а в адекваном модуле Просмотра логов
С выделением,сортировкой,выделением цветом опасности угроз.
Да там можно накидать предложений со стороны пользователя/админа/приходящего_админа.

Давно об этом говорю, ответ один, юзеру оно не надо, реализовывать не будем...  

Хотя как то К.Ю обмолвился, что в восьмой версии будет, но уже десятая на носу... :(

 

Я давнее. :)

Бориску пропили,стареньких под предлогом выгонят....И снова 7-8 версия с видом яиц сбоку реинкарнируется.

Как асфальт.Каждый год перестилают в лужи.Для того чтобы работа была.А яйца те же.

 

Сугубо ИМХО. :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#126 ksysha

ksysha

    Member

  • Posters
  • 479 Сообщений:

Отправлено 20 Май 2014 - 18:42

Я давнее.
Бориску пропили,стареньких под предлогом выгонят....И снова 7-8 версия с видом яиц сбоку реинкарнируется.

Одно время, когда еще восьмая бета была в разгаре, вроде образовался довольно конструктивный диалог с разработчиками, потом все сошло на нет к сожалению.

А за Бориса обидно, насели как на самого виноватого, или как на главаря майданщиков, хотя это к сожалению в традициях этого форума, давить на тех кто отклоняется от некоей общей линии.

Как асфальт.Каждый год перестилают в лужи.Для того чтобы работа была.А яйца те же.

Я думала только у нас так.

Пичаль 



#127 Victor_koly

Victor_koly

    Member

  • Posters
  • 307 Сообщений:

Отправлено 20 Май 2014 - 18:49

Защищено и баста.
А хотелось бы деталей кто и куда полез и что самое интересно не в каше,а в адекваном модуле Просмотра логов

Пример - жмем кнопку "подробнее", получаем:

ec6890d5ab0f.jpg
Правда вроде как много версий назад проактивка давала 4 значка опасности для создания файлов в папке windows.

Сообщение было изменено Victor_koly: 20 Май 2014 - 18:50


#128 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Май 2014 - 18:52

А может и хорошо.Смена крови на форуме.

Глядишь пойдет что-нибудь конструктивное и продавливаемое.

-

Возможно канут в Лету "неверные" апдейты модулей у разработчиков. Наймут касперов для контроля.

Пойду наверное сниму "шубу".


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#129 Anmawe

Anmawe

    Member

  • Posters
  • 115 Сообщений:

Отправлено 20 Май 2014 - 19:00

юзеру оно не надо
А зачем простому пользователю такие подробности, если он не знает архитектуру windows,  и как работают вредоносные программы ?

#130 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 20 Май 2014 - 19:06

 

юзеру оно не надо
А зачем простому пользователю такие подробности, если он не знает архитектуру windows,  и как работают вредоносные программы ?

 

а логи?
банально на форме в удобном виде?

 

Сегодня есть малварь,вчера не было.

Кто за балуном следит?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#131 Anmawe

Anmawe

    Member

  • Posters
  • 115 Сообщений:

Отправлено 21 Май 2014 - 09:51

Я так понимаю,  у Dr Web ложные срабатывания на файлы у сигнатурного анализа ? Если слово Trojan есть, и нет слов probably и.origin . ( Trojan.PWS.Spy.4404 ) .

 

[drweb.com #4737300] Обработано: SUBMITTED FALSE ALARM




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых