Перейти к содержимому


Фото
- - - - -

О работе DrWeb под Android


  • Please log in to reply
14 ответов в этой теме

#1 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 07 Июнь 2019 - 18:08

Здравствуйте. Еще месяц назад оставил запрос 5R35-9N55. Поскольку никто не ответил пишу сюда: Решил рассмотреть вопрос о приобретении лицензии DrWeb Security Space" для Андроид. Установил пробную двухнедельную версию. В результате сканирования в моем смартфоне (BLU GrandXL, Android 7.0) нашлось несколько вирусов Android.Downloader.3844, Android.Backdor.636 (Android.Backdor.633.origin,Android.Backdor.673.origin) в apk-файлах в /system/priv-app/. Рекомендации на Вашем форуме однозначные - рут права или новая прошивка. У меня другой вопрос - почему антивирус не находит процессы в оперативной памяти которые запускаются программами, установленными из зараженных apk-файлов? Даже если я эти apk-файлы удалю, то что толку? Само приложение остается. 

 



#2 Whispersmith

Whispersmith

    Guru

  • Dr.Web Staff
  • 3 143 Сообщений:

Отправлено 10 Июнь 2019 - 13:58

Andrey4, здравствуйте. Вы выбрали категорию запроса в ТП "Отзывы и предложения", возможно поэтому долго отвечают.

При удалении будут удалены не просто apk-файлы, а сами установленные приложения, просто они системные  и защищенные, поэтому показываются в виде apk.



#3 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 14 Июнь 2019 - 14:00

Здравствуйте.
Файлы .apk это установочный архив приложений и не только системных. Как его удаление может помочь удалению установленного приложения и запущенного процесса? Ответ - никак.
Вы на главный вопрос не ответили - почему DrWeb не удаляет инфицированные приложения и не блокирует инфицированные процессы.
Более того - он их не находит.


#4 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 14 Июнь 2019 - 14:19

Andrey4, вы сами лично идентифицировали установленные вредоносные приложения и соответствующие им процессы? Не сочтите за труд поделиться техническими подробностями?



#5 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 14 Июнь 2019 - 14:27

Здравствуйте.
Файлы .apk это установочный архив приложений и не только системных. Как его удаление может помочь удалению установленного приложения и запущенного процесса? Ответ - никак.

Внимательно прочитайте ответ (https://forum.drweb.com/index.php?showtopic=331962#entry870007) и постарайтесь его понять.
 

Вы на главный вопрос не ответили - почему DrWeb не удаляет инфицированные приложения и не блокирует инфицированные процессы.
Более того - он их не находит.

1. Вы этот "главный" вопрос не задавали.
2. Он их находит.
3. Не удаляет потому, что нужен рут.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#6 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 14 Июнь 2019 - 17:20

1 - Про идентификацию установленных вредоносных приложений: Запускаете shell. Набираете команду pm list packages -f | grep ".apk файлы найденные drweb".

2 - Если Ваш ответ (https://forum.drweb.com/index.php?showtopic=331962#entry870007все удалить и поставить заново, то это я понял.

3 - Может Drweb и находит инфицированные установленные приложения, но в отчете он почему-то про них не пишет. Пишет только про .apk архивы. Поэтому решил обратиться в техподдержку.

4 - Команда "pm uninstall --user 0 "имя приложения" прекрасно удаляет. Без взлома Android. 

5 - Я правильно понимаю, что Drweb находит .apk файлы потому что у него есть доступ к ним. Т.е. на них стоят права типа rwxr-xr-x?

А если права будут типа: rwxr-x--- и drweb не будет владельцем и не будет входить в группу пользователя то никакого вируса он не найдет?



#7 Whispersmith

Whispersmith

    Guru

  • Dr.Web Staff
  • 3 143 Сообщений:

Отправлено 18 Июнь 2019 - 15:31

Может Drweb и находит инфицированные установленные приложения, но в отчете он почему-то про них не пишет. Пишет только про .apk архивы. Поэтому решил обратиться в техподдержку.
Покажите, пожалуйста, где вы и что смотрите в нашем приложении. 
 
Процессы мы не сканируем, если вы удалите вредоносное приложение, то они умрут после перезагрузки.
 

4 - Команда "pm uninstall --user 0 "имя приложения" прекрасно удаляет. Без взлома Android.
 
Этой командой вы не удаляете приложения из системной области без прав root. Эта команда равносильна тому, что вы в настройках для предустановленного приложения нажмете Отключить. 
 

Т.е. на них стоят права типа rwxr-xr-x? А если права будут типа: rwxr-x--- и drweb не будет владельцем и не будет входить в группу пользователя то никакого вируса он не найдет?
 
Если говорить про раздел /system/priv-app , то там права типа rw- r- r-. Пока что не могу представить ситуацию, которую вы описали.


#8 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 20 Июнь 2019 - 00:18

Покажите, пожалуйста, где вы и что смотрите в нашем приложении. 
 
Процессы мы не сканируем, если вы удалите вредоносное приложение, то они умрут после перезагрузки.

 

 

Из отчета, который DrWeb выводит после завершения сканирования. 
У меня закончилась 14-ти дневное демо и приложить оригинальный принт-скрин не могу. 
Если это принципиально, то могу вернуть заводские настройки, поставить drweb и тогда выслать аутентичный принт-скрин.
Вот похожий отчет. В моем случае там другие вирусы и пути.
 
Прикрепленный файл  virus.jpeg   49,57К   0 Скачано раз
 
Есть бесплатное приложение App Inspector. 
В нем указывается Package Name (имя приложения/процесса), Source Dir (исходный .apk файл), Data dir (место установки приложения).
Что бы удалить инфицированное приложение его надо сначала, как минимум (нужны права на "чтение"), найти. Хотя бы в одном из этих трех мест. А лучше во всех.
И если я правильно понимаю DrWeb способен искать только в Source Dir (исходный .apk файл):
- Процессы (Package Name) - DrWeb не проверяет. С Ваших слов.
- Место установки приложения (Data dir: /data/user) - насколько я понял, DrWeb не проверяет, так как прав нет. Это так?
- Source Dir (исходный .apk файл) - единственное, что DrWeb проверяет. Потому что у него есть права на чтение директории и чтение файлов.
 
Например, в моем случае, DrWeb нашел вирус здесь:
 
Grand_XL:/system/priv-app/applock_P0001045_xl_sign $ ls -la
total 7944
drwxr-xr-x  2 root root    4096 2018-09-17 20:47 .
drwxr-xr-x 60 root root    4096 2018-09-17 20:47 ..
-rw-r--r--  1 root root 4056298 2018-09-17 12:13 applock_P0001045_xl_sign.apk
 
Другими словами, если бы неизвестный вирусописатель догадался установить права на файл с вирусом в виде
-rw-------  1 root root 4056298 2018-09-17 12:13 applock_P0001045_xl_sign.apk, 
то никакого вируса DrWeb бы не нашел.
 
Я правильно понимаю?
 

 

Этой командой вы не удаляете приложения из системной области без прав root. Эта команда равносильна тому, что вы в настройках для предустановленного приложения нажмете Отключить.

 
Откуда Вы это знаете?????
 
В "справке" к команде "pm" написано:
 
=Удаляется командой:
 
pm uninstall: removes a package from the system. Options:
    -k: keep the data and cache directories around after package removal.
 
=Отключается/включается приложение командой:
 
pm enable, disable, disable-user, disable-until-used, default-state:
  these commands change the enabled state of a given package or
  component (written as "package/class").
 

Если говорить про раздел /system/priv-app , то там права типа rw- r- r-. Пока что не могу представить ситуацию, которую вы описали.

 
Я писал по-памяти и имел ввиду права на доступ к каталогам. Выше, в этом же сообщении, сформулировал этот вопрос по другому.


#9 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 27 Июнь 2019 - 10:58

Andrey4, Если антивирусу Dr. Web Security Space предоставить права root, при полной проверке он будет сканировать те папки и файлы к которым закрыт доступ.


Сообщение было изменено Sergey Bespalov: 27 Июнь 2019 - 11:02


#10 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 28 Июнь 2019 - 02:21

- Проверять процессы в ОЗУ он в обозримом будущем не будет?
 
- В "Умных телевизорах" и игровых приставках под Android TV 5.0 DrWeb работает так же (без прав рута)?
 
- Резко разуверившись в DrWeb установил на смартфон "Kaspersky Internet Security для Android" (KISA). 
При "полной проверке" KISA проверяет около 2000 файлов и занимает это около 1 минуты. DrWeb "полную проверку" проводит за 10 минут и 
проверяет 178 000 файлов. Телефон проверялся в состоянии "после удаления всего и восстановление заводских настроек".
Опция проверять "Файлы в архивах" в DrWeb отключена. Вирусы оба приложения находят там же и те же.
Откуда такая разница к количестве файлов? Я не знаю, поскольку оба антивируса предоставляют общий отчет. Без детализации.
Неужели алгоритмы KISA настолько (не в разы, а на порядки!!!) эффективнее DrWeb???
 
- Отсутствие прав суперпользователя существенно влияет на потребительские свойства программы "Drweb Security Space для Android".
 Это попадает под КоАП РФ Статья 14.7. Обман потребителей. Штраф для юр. лиц от 100 т.р. до 500 тыс. руб.
 
- Чтобы работал антивирус под Андроид надо получить права рута.
Новые модели смартфонов идут с Андроидом не ниже 7-го который программно не взламывается и надо менять прошивку.
Смена прошивки на новых моделях - потеря гарантии. Плюс сама процедура нетривиальна. Плюс неизвестно, что в новой прошивке.
Ситуация однозначно тупиковая - никакой массовой полноценной защиты от вирусов под Андроид нет и неизвестно когда будет. 


#11 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 28 Июнь 2019 - 03:05

Andrey4, какая-то каша у вас в голове, пардон.

Почему разные продукты с разными настройками должны проверять одинаковое количество объектов?

Откуда информация, что доктору необходим рут для проверки?

 

Проблема в том, как я вижу, что вы не осмысливаете поступающую к вам информацию и выдумываете на ходу.

 

Вполне очевидно, что проверенные пара сотен тысяч объектов - это больше чем 2000. Делается вывод о том, что проверка 2000 - это "круче".

 

Проинформировали о том, что продукт умеет работать с рутом и в состоянии использовать эти возможности для проверки файлов, которые недоступны без рута никому, кроме системы. Вы делаете вывод о том, что продукт не умеет работать без рута и на основании собственных измышлений и насилия над логикой пытаетесь "сшить дело".

 

Накладываете собственное представление о том, как должна работать программа в имеющейся среде (приложение в андроид), опираясь на опыт Windows (пассажи о процессах в памяти). Лично мне думается, что вам стоит ликвидировать собственную безграмотность и невнимательность не в рамках данного форума, а штудируя и изучая Android и его взаимодействие с софтом на профильных ресурсах.


Сообщение было изменено maxic: 28 Июнь 2019 - 03:06


#12 Andrey4

Andrey4

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Июль 2019 - 01:57

Andrey4, какая-то каша у вас в голове, пардон.
Andrey4, какая-то каша у вас в голове, пардон.
Уточните свою мысль пожалуйста.

Почему разные продукты с разными настройками должны проверять одинаковое количество объектов?
 
Где я писал, что "они должны"? Я обнаружил факт и сделал вывод. Вполне могу ошибаться. 
Может это только для моего телефона так.
проведите такой же эксперимент со своим телефоном. Благо касперский позволяет это сделать бесплатно.
Будет интересно сравнить результаты.
 
 

Откуда информация, что доктору необходим рут для проверки?
 
Если хочу проверить все файлы на телефоне, то права рута нужны.
Согласны?
Многочисленные сообщения с этого форума подтверждают, что файлы вирусами нынче поставляются вместе с прошивками для телефонов/заливаются вместе с обновленями к Андроид
и чтобы антивирус гарантировано все проверил (не говоря о точ чтобы вылечил) нужны права рута.
 

Проблема в том, как я вижу, что вы не осмысливаете поступающую к вам информацию и выдумываете на ходу.
Что выдумываю?
Единственную полезную для меня информацию сообщил Sergey Bespalov - подтвердил что DrWeb, без прав рута, проверяет не все файлы. 
 

Вполне очевидно, что проверенные пара сотен тысяч объектов - это больше чем 2000. Делается вывод о том, что проверка 2000 - это "круче".
Есть два алгоритма работы. Оба дают одинаковый результат. Один из алгоритмов работает в 10 раз быстрее и в 100 раз менее интенсивно, чем другой. 
Какой выберете? 
 
 

Проинформировали о том, что продукт умеет работать с рутом и в состоянии использовать эти возможности для проверки файлов, которые недоступны без рута никому, кроме системы. Вы делаете вывод о том, что продукт не умеет работать без рута и на основании собственных измышлений и насилия над логикой пытаетесь "сшить дело".
 
Отсутствие полномочий рута существенно ухудшает качество продукта (DrWeb под Android), потому что не позволяет ему проверить все файлы. 
Сокрытие этого факта попадает под КоАП.
Если политика ООО "Доктор Веб" считает преемлемым нарушение законов РФ, то можете проигнорировать мои слова.
 
 

Накладываете собственное представление о том, как должна работать программа в имеющейся среде (приложение в андроид), опираясь на опыт Windows (пассажи о процессах в памяти). Лично мне думается, что вам стоит ликвидировать собственную безграмотность и невнимательность не в рамках данного форума, а штудируя и изучая Android и его взаимодействие с софтом на профильных ресурсах.
 
С этим согласен. Антивирусы под Linux действительно не проверяют ОЗУ. Только не знаю почему. Если в курсе, поделитесь пожалуйста.
Все мои вопросы имеют прямое отношение к работе "Dr.Web для Android". Форум же для этого и нужен - обсуждать вопросы и делиться мнениями.


#13 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 02 Июль 2019 - 09:55

Есть два алгоритма работы. Оба дают одинаковый результат. Один из алгоритмов работает в 10 раз быстрее и в 100 раз менее интенсивно, чем другой. 
Какой выберете?

Из того, что в вашем случае были выявлены одни и те же файлы, вы делаете выводы? А если какой-нибудь Антивирус Бабушкина за 15 секунд обнаружит то же самое, вы так же будете строить теории на одинаковости? Этот - фиолетовый, и этот - фиолетовый, значит, предметы тождественны!

 

 

 

Если хочу проверить все файлы на телефоне, то права рута нужны.
Согласны?

Рут - нештатная работа устройства. На ряде устройств его невозможно получить. Хотеть мы можем что угодно, но изначально рут не предполагается. И то, что Dr.Web умеет работать с рутом - это бонус, а не обязанность.

 

 

 

Многочисленные сообщения с этого форума подтверждают, что файлы вирусами нынче поставляются вместе с прошивками для телефонов/заливаются вместе с обновленями к Андроид
и чтобы антивирус гарантировано все проверил (не говоря о точ чтобы вылечил) нужны права рута.

То есть вы действительно не видели ни одного сообщения, где Dr.Web обнаруживает угрозы, но вылечить не может? То есть и без рута угрозы обнаруживаются и о них сообщается. Насчет лечения... вы почему-то уверены, что этим должна заниматься сторонняя программа вместо разработчика прошивки, у которого на руках все возможности. Более того. В некоторых случаях лечение может вести к окирпичиванию, поскольку вендор сознательно принял меры к тому чтобы соответствующие файлы нельзя было удалить без нарушения работоспособности устройств.

 

Проснитесь уже. Это не Windows. Мерки настольных ОС здесь неприменимы.

 

 

 

Отсутствие полномочий рута существенно ухудшает качество продукта (DrWeb под Android), потому что не позволяет ему проверить все файлы. 
Сокрытие этого факта попадает под КоАП.
Если политика ООО "Доктор Веб" считает преемлемым нарушение законов РФ, то можете проигнорировать мои слова.

Я с удовольствием прокомментирую эти фантазии.

Полномочия рута лежат исключительно в плоскости вашей собственной ответственности. И то, что доктор умеет работать с этими дополнительными возможностями - это плюс. Но я с удовольствием послушаю, как вы подаете в суд и понаблюдаю за ходом процесса. Вы ведь не откажетесь осветить?


Сообщение было изменено maxic: 02 Июль 2019 - 09:58


#14 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 02 Июль 2019 - 10:31

Есть два алгоритма работы. Оба дают одинаковый результат. Один из алгоритмов работает в 10 раз быстрее и в 100 раз менее интенсивно, чем другой.
Какой выберете?

Вполне очевидно, что тот, который проверяет больше объектов.
Если для Вас это не очевидно, то это Ваши проблемы.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#15 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 02 Июль 2019 - 10:33

Отсутствие полномочий рута существенно ухудшает качество продукта (DrWeb под Android), потому что не позволяет ему проверить все файлы. 
Сокрытие этого факта попадает под КоАП.
Если политика ООО "Доктор Веб" считает преемлемым нарушение законов РФ, то можете проигнорировать мои слова.

Подавайте в суд - мне даже интересно посмотреть, кто окажется некомпетентнее - суд или Вы.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых