Jump to content

  2. #user's Content

#user's Content

There have been 901 items by #user (Search limited from 04-August 24)


By content type

See this member's


Sort by                Order  

#523370 Доверие ЭЦП Microsoft

Posted by #user on 03 June 2011 - 17:20 in Общие вопросы

Добрый день.
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")


#523390 Доверие ЭЦП Microsoft

Posted by #user on 03 June 2011 - 17:45 in Общие вопросы

Во-вторых, подпись может быть в любой момент скомпромитирована

Все таки речь идет о подписи Microsoft, а не о каком-нибудь COMODO.

А не планируется ли функционал сверки хэшей с базой доверенных файлов (White list) на сервере Dr.Web?
Заодно и выигрыш в скорости при сканировании за счет исключения из проверки не изменившихся доверенных файлов, а не только защита от ложных срабатываний.


#523398 Российские программисты вновь подтвердили свое лидерство

Posted by #user on 03 June 2011 - 17:59 in Свободное общение

к сожалению не известно,что за задачки там бывают..

На официальной странице все доступно: http://cm.baylor.edu/digital/icpc2011.pdf


#523419 Доверие ЭЦП Microsoft

Posted by #user on 03 June 2011 - 22:18 in Общие вопросы

при значимом распространении механизма проверки по хэшам, коллизии начнут генерировать злоумышленники

Механизм проверки по хэшам используется в антивирусных продуктах Symantec, McAfee, Kaspersky, Microsoft, и т.д. как минимум последние 2-3 года.
Суммарное количество пользователей - сотни миллионов. Вряд ли можно сказать, что распространение этого механизма уже не значимо.


#523460 Доверие ЭЦП Microsoft

Posted by #user on 04 June 2011 - 11:04 in Общие вопросы

ни база хэшей ни база доверенных файлов не гарантируют отсутствия ложных срабатываний.

Вам известны примеры ложных срабатываний (закончившихся удалением/перемещением системных файлов) в продуктах тех же Symantec или Kaspersky?
(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов).


#523463 давно новенького в продуктах не было

Posted by #user on 04 June 2011 - 11:16 in Свободное общение

А староверы могут рассчитывать, что Dr.Web 7.0 будет работать на Win XP?

Расширенная поддержка Windows XP заканчивается 08/04/2014 - http://support.microsoft.com/lifecycle/?LN=en-gb&C2=1173
По-моему сомнений в том, что продукты Dr.Web будут гарантировано работать на Windows XP как минимум до этой даты - не может быть в принципе.


#523468 Доверие ЭЦП Microsoft

Posted by #user on 04 June 2011 - 12:25 in Общие вопросы

Я не обсуждаю работу тех или иных продуктов. Ровно по тем самым причинам, по которым я не собираюсь анализировать конструктивные ошибки вечного двигателя первого рода.

Понятно.
Тогда отвечу сам. Случаи ошибочного удаления/перемещения системных файлов упомянутыми антивирусными продуктами мне не известны.
Причина очевидна - встроенные механизмы, призванные исключить подобные плачевные последствия ложных срабатываний в принципе.

Поэтому довольно логично было бы, как мне кажется, реализовать подобные механизмы и в Dr.Web.
Если смущает реализация других компаний,то ничего не мешает изобрести собственный велосипед - дело-то не в деталях реализации, а в востребованности подобных механизмов в принципе.


#523469 Доверие ЭЦП Microsoft

Posted by #user on 04 June 2011 - 12:27 in Общие вопросы

Каспер -Explorer.exe,wininet.dll(заражен вирусом Trojan-Downloader.Win32.Agent.arh)


McAfee -Svchost.exe

>>> "(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов)".


#523770 Доверие ЭЦП Microsoft

Posted by #user on 06 June 2011 - 13:04 in Общие вопросы

А ужаснейшие тормоза куда девать будем?


Интересно, а кто придумал этот миф про ужасные тормоза?

По теме предотвращения ложных срабатываний - вот такую картинку увидит пользователь Norton-а, если попытается, например, добавить в карантин любой легитимный файл, входящий в состав Windows (вплоть до картинок из "Sample Pictures" и т.п.):
Capture_1.png

Причем отсутствие подписи Microsoft значения не имеет, и работает этот механизм даже на локальном ПК, не подключенном к Интернет.


#523881 Доверие ЭЦП Microsoft

Posted by #user on 06 June 2011 - 16:40 in Общие вопросы

кажется, #user из фанов и говорит о других тормозах и мифах.

#user говорит о полезном (по его мнению) функционале, который способствует:
1. Первично - решению проблемы ложных срабатываний на легитимных файлах Windows.
2. Вторично - уменьшению времени сканирования, за счет исключения из проверки не изменившихся файлов, которые заведомо известны, как чистые/доверенные (в частности- файлы Windows).

Поэтому интересно было бы обсудить реализацию подобных механизмов в Dr.Web и узнать мнение разработчиков.
Надеюсь, что Вам, как техническому специалисту, гораздо более интересно обсуждать подобные вопросы, а не излагать фантазии на тему фанатства и прочих вселенских заговоров.
Спасибо.


#523899 Доверие ЭЦП Microsoft

Posted by #user on 06 June 2011 - 17:17 in Общие вопросы

1. пункт у нас есть, но не активирован. есть причины. да и вообще наше видение с сертификатами сейчас в фазе пересмотра жизненного пути.

Спасибо за информацию. Это уже совсем другой разговор.

второй не имеет смысла.

По-поводу второго пункта - я имел ввиду функционал, который в общих чертах описывали разработчики Symantec и Microsoft в блогах:
http://community.norton.com/t5/Norton-Prot...ity/ba-p/126699
http://blogs.technet.com/b/mmpc/archive/20...essentials.aspx

" With some basic algorithms we were able to identify many programs that we could trust – and we avoid scanning these files for infections. On typical users' computers we are able to trust 60% to 90% of all regularly used programs, drastically reducing our scan times."

"[AV] needs to be fast, and the fastest way to scan a file is to actually not scan the file at all - reputation helps it do just that. When [AV] first encounters a file, it performs a malware scan using all the technologies it needs to determine if the file is malicious. If the file is not malicious (which is hopefully the case), there's a background check that happens later, using idle cycles to see if the file's Authenticode signature or hash matches an internal list of trusted publishers and known clean files. If the file is on the list, it will be skipped in future scans, either on access or on demand."


#524213 Доверие ЭЦП Microsoft

Posted by #user on 07 June 2011 - 17:54 in Общие вопросы

сначала потратили уйму времени и выяснили, что файл изменён

Никакой уймы времени не будет. Хэш подсчитывается только один раз, а не постоянно.

" Q: Isn't computing the SHA256 more expensive than just scanning the file?
A: Yes it is. But we only compute the SHA256 once and then associate it with the file. Once the file is trusted, looking up the trust value is much faster than scanning the file. If the file is not trusted, then it is scanned every time the file is accessed."


#524500 Доверие ЭЦП Microsoft

Posted by #user on 08 June 2011 - 18:35 in Общие вопросы

Как вы узнаете, что "ЭЦП неверна" без расчёта хэша файла, который мог быть (незаметно) изменён между двумя перезагрузками или остановками мониторинга?

Цитаты из упоминавшегося выше блога:

" Q: How do you know that a trusted file was modified and should not be trusted but scanned?
A: Our kernel mode device driver technology instantaneously revokes file trust attributes the moment the file is modified.

Q: How do you know that a trusted file was not modified when the product was not running, such as booting into safe mode or booting from a CD?
A: On startup, we analyze the NTFS file system, and if we determine that any changes were made that we cannot account for, all trust values of all files on that volume are revoked.

Q: How do you associate the SHA256 and trust attributes with the file? Specifically, will these cause similar problems experienced by users of a well
know security product that also associated information with files by using Alternate Data Streams (ADS) and the NTFS Object ID’s?
A: We store the information in a very high performance and secure product-specific database. We do not impact or change the normal file system."


#524523 Корпорация Microsoft, возможно, передаст российским спецслужбам исходники Skype

Posted by #user on 08 June 2011 - 19:21 in Свободное общение

GUI (Graphical user interface) - http://en.wikipedia.org/wiki/Graphical_user_interface


#524704 win xp, win7 vs winlocks

Posted by #user on 09 June 2011 - 11:27 in Общие вопросы

PS. SP3 уже не актуален, уже есть SP4 RC.

Странно только, что Microsoft об этом все еще не знает ))


#524960 win xp, win7 vs winlocks

Posted by #user on 09 June 2011 - 21:18 in Общие вопросы

А теперь прошу что то подобное показать в XP

Ограниченная учетная запись в Windows XP.


#525424 Beta Podcast

Posted by #user on 10 June 2011 - 18:41 in Свободное общение

Возможность удаленного управления другими машинами с Dr.Web 7.0 - это действительно очень полезное нововведение.
Особенно если учесть, что у альтернативных производителей для этого нужно приобретать как минимум что-то из серии "Small Business Edition", либо более дорогие "Hyper-Total-Mega" Home продукты.


#525489 win xp, win7 vs winlocks

Posted by #user on 11 June 2011 - 02:24 in Общие вопросы

Когда я попытался сделать "net user administrator /ac:n", то мне было заявлено о невозможности такого страшного действа.


?

a1.png

a2.png


#525542 помогите кто может

Posted by #user on 11 June 2011 - 11:21 in Общие вопросы

Dr.Web Anti-virus Remover:

http://download.geo.drweb.com/pub/drweb/to...drw_remover.exe


#526003 win xp, win7 vs winlocks

Posted by #user on 12 June 2011 - 22:51 in Общие вопросы

...Win 7 c включенным UAC, работа из под пользователя
Win XP с установленным HIPS, работа из под администратора...

1. Работа с привилегиями администратора - зло, о котором нужно забыть в первую очередь. Это аксиома.
2. Если речь идет о Windows XP Professional, то не вижу смысла в использовании HIPS, когда есть встроенное средство "Software Restriction Policies". Используйте политику, запрещающую запуск всего, что явно не разрешено, и забудьте про блокировщики и прочее malware.


#526051 Вопрос разработчикам.

Posted by #user on 13 June 2011 - 12:30 in Общие вопросы

В настройках Спайдера есть опция "Проверять объекты на сменных носителях", ее можно отключить, но это может нанести серьезный урон вашей защите

1. Автозапуск со сменных носителей отключен + блокируется.
2. В момент обращения к вредоносному файлу - сработает SpiderGuard.

О каком "серьезном уроне защите" идет речь?


#526062 Корпорация Microsoft, возможно, передаст российским спецслужбам исходники Skype

Posted by #user on 13 June 2011 - 13:45 in Свободное общение

Хм... а ведь и впрямь корпорация Microsoft оказывается передаст, причём очень крупный.

Можно добавить - уже давно зарекомендовавший себя передаст:

http://www.youtube.com/watch?v=nPoQ14scoAc...feature=related

http://www.wired.com/threatlevel/2010/02/microsoft-cryptome/


#526063 Вопрос разработчикам.

Posted by #user on 13 June 2011 - 13:53 in Общие вопросы

2. Не сработает. Т.к. проверка файла на сменном носителе запрещена настройкой выше.

Отключение этой настройки означает полное игнорирование сменных носителей?


#526070 Вопрос разработчикам.

Posted by #user on 13 June 2011 - 14:14 in Общие вопросы

При включенной - и при чтении или даже может сам ничинает проверять.

В моем понимании эта настройка означает автоматическое сканирование подключаемых сменных носителей SpiderGuard-ом.
Если она отключена, то проверка происходит только в момент обращения к файлам.

В то, что эта настройка (ее отключение) может означать полное игнорирование сменных носителей - мне поверить трудно.

P.S. В руководстве пользователя (EN, RU) внятного описания этой настройки не нахожу...


#526111 Вопрос разработчикам.

Posted by #user on 13 June 2011 - 16:34 in Общие вопросы

Проверил собственноручно.
Поместил на сменный носитель две копии вредоносного файла (в корневую часть и в папку).
При включенной опции "Scan the removable media" удаление происходит при обращении к сменному носителю:
-----------------------------------------------------------------------------------------------------------
20110613.140124 [CR] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140137 [CR] E:\xvidsetup.exe - deleted (46K 12763ms 3KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140145 [CR] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140147 [CR] E:\new folder\xvidsetup.exe - deleted (46K 1372ms 33KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
-----------------------------------------------------------------------------------------------------------


При выключенной опции "Scan the removable media" удаление происходит при попытке запустить вредоносный файл:
-----------------------------------------------------------------------------------------------------------
20110613.140628 [PS] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140628 [PS] E:\xvidsetup.exe - infected, locked (46K 89ms 516KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140649 [CL] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140651 [CL] E:\xvidsetup.exe - deleted (46K 1777ms 25KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140707 [PS] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140707 [PS] E:\new folder\xvidsetup.exe - infected, locked (46K 85ms 537KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140724 [CL] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140725 [CL] E:\new folder\xvidsetup.exe - deleted (46K 1296ms 35KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
-------------------------------------------------------------------------------------------------------------

Т.е. все работает так, как и представлял - при выключенной опции "Scan the removable media" SpiderGuard сработает при попытке запустить вредоносный файл.



  1. Dr.Web forum
  2. #user's Content
  3. Privacy Policy
  4. Terms & Rules ·