- Dr.Web forum
- → #user's Content
#user's Content
There have been 901 items by #user (Search limited from 04-August 24)
#523370 Доверие ЭЦП Microsoft
Posted by #user on 03 June 2011 - 17:20 in Общие вопросы
Предусмотрен ли в антивирусе Dr.Web функционал, позволяющий исключить удаление/перемещение системных файлов ОС?
(Т.е. защита от удаления файлов с ЭЦП Microsoft в случае "ложного срабатывания")
#523390 Доверие ЭЦП Microsoft
Posted by #user on 03 June 2011 - 17:45 in Общие вопросы
Все таки речь идет о подписи Microsoft, а не о каком-нибудь COMODO.Во-вторых, подпись может быть в любой момент скомпромитирована
А не планируется ли функционал сверки хэшей с базой доверенных файлов (White list) на сервере Dr.Web?
Заодно и выигрыш в скорости при сканировании за счет исключения из проверки не изменившихся доверенных файлов, а не только защита от ложных срабатываний.
#523398 Российские программисты вновь подтвердили свое лидерство
Posted by #user on 03 June 2011 - 17:59 in Свободное общение
На официальной странице все доступно: http://cm.baylor.edu/digital/icpc2011.pdfк сожалению не известно,что за задачки там бывают..
#523419 Доверие ЭЦП Microsoft
Posted by #user on 03 June 2011 - 22:18 in Общие вопросы
Механизм проверки по хэшам используется в антивирусных продуктах Symantec, McAfee, Kaspersky, Microsoft, и т.д. как минимум последние 2-3 года.при значимом распространении механизма проверки по хэшам, коллизии начнут генерировать злоумышленники
Суммарное количество пользователей - сотни миллионов. Вряд ли можно сказать, что распространение этого механизма уже не значимо.
#523460 Доверие ЭЦП Microsoft
Posted by #user on 04 June 2011 - 11:04 in Общие вопросы
Вам известны примеры ложных срабатываний (закончившихся удалением/перемещением системных файлов) в продуктах тех же Symantec или Kaspersky?ни база хэшей ни база доверенных файлов не гарантируют отсутствия ложных срабатываний.
(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов).
#523463 давно новенького в продуктах не было
Posted by #user on 04 June 2011 - 11:16 in Свободное общение
Расширенная поддержка Windows XP заканчивается 08/04/2014 - http://support.microsoft.com/lifecycle/?LN=en-gb&C2=1173А староверы могут рассчитывать, что Dr.Web 7.0 будет работать на Win XP?
По-моему сомнений в том, что продукты Dr.Web будут гарантировано работать на Windows XP как минимум до этой даты - не может быть в принципе.
#523468 Доверие ЭЦП Microsoft
Posted by #user on 04 June 2011 - 12:25 in Общие вопросы
Понятно.Я не обсуждаю работу тех или иных продуктов. Ровно по тем самым причинам, по которым я не собираюсь анализировать конструктивные ошибки вечного двигателя первого рода.
Тогда отвечу сам. Случаи ошибочного удаления/перемещения системных файлов упомянутыми антивирусными продуктами мне не известны.
Причина очевидна - встроенные механизмы, призванные исключить подобные плачевные последствия ложных срабатываний в принципе.
Поэтому довольно логично было бы, как мне кажется, реализовать подобные механизмы и в Dr.Web.
Если смущает реализация других компаний,то ничего не мешает изобрести собственный велосипед - дело-то не в деталях реализации, а в востребованности подобных механизмов в принципе.
#523469 Доверие ЭЦП Microsoft
Posted by #user on 04 June 2011 - 12:27 in Общие вопросы
>>> "(подразумеваются Home продукты, в которых присутствуют механизмы доверия подписи Microsoft, проверки хэшей, и сопоставления их с базой доверенных файлов)".Каспер -Explorer.exe,wininet.dll(заражен вирусом Trojan-Downloader.Win32.Agent.arh)
McAfee -Svchost.exe
#523770 Доверие ЭЦП Microsoft
Posted by #user on 06 June 2011 - 13:04 in Общие вопросы
А ужаснейшие тормоза куда девать будем?
Интересно, а кто придумал этот миф про ужасные тормоза?
По теме предотвращения ложных срабатываний - вот такую картинку увидит пользователь Norton-а, если попытается, например, добавить в карантин любой легитимный файл, входящий в состав Windows (вплоть до картинок из "Sample Pictures" и т.п.):
Причем отсутствие подписи Microsoft значения не имеет, и работает этот механизм даже на локальном ПК, не подключенном к Интернет.
#523881 Доверие ЭЦП Microsoft
Posted by #user on 06 June 2011 - 16:40 in Общие вопросы
#user говорит о полезном (по его мнению) функционале, который способствует:кажется, #user из фанов и говорит о других тормозах и мифах.
1. Первично - решению проблемы ложных срабатываний на легитимных файлах Windows.
2. Вторично - уменьшению времени сканирования, за счет исключения из проверки не изменившихся файлов, которые заведомо известны, как чистые/доверенные (в частности- файлы Windows).
Поэтому интересно было бы обсудить реализацию подобных механизмов в Dr.Web и узнать мнение разработчиков.
Надеюсь, что Вам, как техническому специалисту, гораздо более интересно обсуждать подобные вопросы, а не излагать фантазии на тему фанатства и прочих вселенских заговоров.
Спасибо.
#523899 Доверие ЭЦП Microsoft
Posted by #user on 06 June 2011 - 17:17 in Общие вопросы
Спасибо за информацию. Это уже совсем другой разговор.1. пункт у нас есть, но не активирован. есть причины. да и вообще наше видение с сертификатами сейчас в фазе пересмотра жизненного пути.
По-поводу второго пункта - я имел ввиду функционал, который в общих чертах описывали разработчики Symantec и Microsoft в блогах:второй не имеет смысла.
http://community.norton.com/t5/Norton-Prot...ity/ba-p/126699
http://blogs.technet.com/b/mmpc/archive/20...essentials.aspx
" With some basic algorithms we were able to identify many programs that we could trust – and we avoid scanning these files for infections. On typical users' computers we are able to trust 60% to 90% of all regularly used programs, drastically reducing our scan times."
"[AV] needs to be fast, and the fastest way to scan a file is to actually not scan the file at all - reputation helps it do just that. When [AV] first encounters a file, it performs a malware scan using all the technologies it needs to determine if the file is malicious. If the file is not malicious (which is hopefully the case), there's a background check that happens later, using idle cycles to see if the file's Authenticode signature or hash matches an internal list of trusted publishers and known clean files. If the file is on the list, it will be skipped in future scans, either on access or on demand."
#524213 Доверие ЭЦП Microsoft
Posted by #user on 07 June 2011 - 17:54 in Общие вопросы
Никакой уймы времени не будет. Хэш подсчитывается только один раз, а не постоянно.сначала потратили уйму времени и выяснили, что файл изменён
" Q: Isn't computing the SHA256 more expensive than just scanning the file?
A: Yes it is. But we only compute the SHA256 once and then associate it with the file. Once the file is trusted, looking up the trust value is much faster than scanning the file. If the file is not trusted, then it is scanned every time the file is accessed."
#524500 Доверие ЭЦП Microsoft
Posted by #user on 08 June 2011 - 18:35 in Общие вопросы
Цитаты из упоминавшегося выше блога:Как вы узнаете, что "ЭЦП неверна" без расчёта хэша файла, который мог быть (незаметно) изменён между двумя перезагрузками или остановками мониторинга?
" Q: How do you know that a trusted file was modified and should not be trusted but scanned?
A: Our kernel mode device driver technology instantaneously revokes file trust attributes the moment the file is modified.
Q: How do you know that a trusted file was not modified when the product was not running, such as booting into safe mode or booting from a CD?
A: On startup, we analyze the NTFS file system, and if we determine that any changes were made that we cannot account for, all trust values of all files on that volume are revoked.
Q: How do you associate the SHA256 and trust attributes with the file? Specifically, will these cause similar problems experienced by users of a well
know security product that also associated information with files by using Alternate Data Streams (ADS) and the NTFS Object ID’s?
A: We store the information in a very high performance and secure product-specific database. We do not impact or change the normal file system."
#524523 Корпорация Microsoft, возможно, передаст российским спецслужбам исходники Skype
Posted by #user on 08 June 2011 - 19:21 in Свободное общение
#524704 win xp, win7 vs winlocks
Posted by #user on 09 June 2011 - 11:27 in Общие вопросы
Странно только, что Microsoft об этом все еще не знает ))PS. SP3 уже не актуален, уже есть SP4 RC.
#524960 win xp, win7 vs winlocks
Posted by #user on 09 June 2011 - 21:18 in Общие вопросы
Ограниченная учетная запись в Windows XP.А теперь прошу что то подобное показать в XP
#525424 Beta Podcast
Posted by #user on 10 June 2011 - 18:41 in Свободное общение
Особенно если учесть, что у альтернативных производителей для этого нужно приобретать как минимум что-то из серии "Small Business Edition", либо более дорогие "Hyper-Total-Mega" Home продукты.
#525489 win xp, win7 vs winlocks
Posted by #user on 11 June 2011 - 02:24 in Общие вопросы
#525542 помогите кто может
Posted by #user on 11 June 2011 - 11:21 in Общие вопросы
#526003 win xp, win7 vs winlocks
Posted by #user on 12 June 2011 - 22:51 in Общие вопросы
1. Работа с привилегиями администратора - зло, о котором нужно забыть в первую очередь. Это аксиома....Win 7 c включенным UAC, работа из под пользователя
Win XP с установленным HIPS, работа из под администратора...
2. Если речь идет о Windows XP Professional, то не вижу смысла в использовании HIPS, когда есть встроенное средство "Software Restriction Policies". Используйте политику, запрещающую запуск всего, что явно не разрешено, и забудьте про блокировщики и прочее malware.
#526051 Вопрос разработчикам.
Posted by #user on 13 June 2011 - 12:30 in Общие вопросы
1. Автозапуск со сменных носителей отключен + блокируется.В настройках Спайдера есть опция "Проверять объекты на сменных носителях", ее можно отключить, но это может нанести серьезный урон вашей защите
2. В момент обращения к вредоносному файлу - сработает SpiderGuard.
О каком "серьезном уроне защите" идет речь?
#526062 Корпорация Microsoft, возможно, передаст российским спецслужбам исходники Skype
Posted by #user on 13 June 2011 - 13:45 in Свободное общение
Можно добавить - уже давно зарекомендовавший себя передаст:Хм... а ведь и впрямь корпорация Microsoft оказывается передаст, причём очень крупный.
http://www.youtube.com/watch?v=nPoQ14scoAc...feature=related
http://www.wired.com/threatlevel/2010/02/microsoft-cryptome/
#526063 Вопрос разработчикам.
Posted by #user on 13 June 2011 - 13:53 in Общие вопросы
Отключение этой настройки означает полное игнорирование сменных носителей?2. Не сработает. Т.к. проверка файла на сменном носителе запрещена настройкой выше.
#526070 Вопрос разработчикам.
Posted by #user on 13 June 2011 - 14:14 in Общие вопросы
В моем понимании эта настройка означает автоматическое сканирование подключаемых сменных носителей SpiderGuard-ом.При включенной - и при чтении или даже может сам ничинает проверять.
Если она отключена, то проверка происходит только в момент обращения к файлам.
В то, что эта настройка (ее отключение) может означать полное игнорирование сменных носителей - мне поверить трудно.
P.S. В руководстве пользователя (EN, RU) внятного описания этой настройки не нахожу...
#526111 Вопрос разработчикам.
Posted by #user on 13 June 2011 - 16:34 in Общие вопросы
Поместил на сменный носитель две копии вредоносного файла (в корневую часть и в папку).
При включенной опции "Scan the removable media" удаление происходит при обращении к сменному носителю:
-----------------------------------------------------------------------------------------------------------
20110613.140124 [CR] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140137 [CR] E:\xvidsetup.exe - deleted (46K 12763ms 3KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140145 [CR] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140147 [CR] E:\new folder\xvidsetup.exe - deleted (46K 1372ms 33KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
-----------------------------------------------------------------------------------------------------------
При выключенной опции "Scan the removable media" удаление происходит при попытке запустить вредоносный файл:
-----------------------------------------------------------------------------------------------------------
20110613.140628 [PS] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140628 [PS] E:\xvidsetup.exe - infected, locked (46K 89ms 516KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140649 [CL] E:\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140651 [CL] E:\xvidsetup.exe - deleted (46K 1777ms 25KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140707 [PS] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140707 [PS] E:\new folder\xvidsetup.exe - infected, locked (46K 85ms 537KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
20110613.140724 [CL] E:\new folder\xvidsetup.exe - infected with Trojan.DownLoader2.54839
20110613.140725 [CL] E:\new folder\xvidsetup.exe - deleted (46K 1296ms 35KB/s) [C:\windows\explorer.exe:1224] {XX\XXX:XX\None}
-------------------------------------------------------------------------------------------------------------
Т.е. все работает так, как и представлял - при выключенной опции "Scan the removable media" SpiderGuard сработает при попытке запустить вредоносный файл.
- Dr.Web forum
- → #user's Content
- Privacy Policy
- Terms & Rules ·