29 ответов в этой теме

[sergeyko]

Свежо питание...
Понятие "скоро" у каждого свое. Лично я пока оснований для оптимизма не вижу

"я гарантирую это"

Гарант! 146%!

[#user]

По какому критерию восстанавливать файл из карантина?

Hash ?

[at.]

По какому критерию восстанавливать файл из карантина?

Hash ?

что - хэш? =)
фолс может быть на разных файлах. Особенно, если эвристика

[at.]

По какому критерию восстанавливать файл из карантина?

- по спец сигнатуре от аналитика
- если он чистый после очередного обновления баз (см. предложение сергейка)

"Спец. сигнатуре" - звучит круто, конечно. Еще могу предложить - по взмаху волшебной палочки, по волшебному слову, и другие методы =)
"Если он чистый" - проблема однозначено определить - кто конкретно этот "он" .

а если в карантине 100500 файлов с таким-же детектом, но это вирусы?

восстанавливать только без детекта, естественно

Ну тоже, на каком основании мы восстанавливаем файлы без детекта из карантина? Может я их там специально коплю...

А еще может файл был на сменном диске, который уже вытащили.

Значит и в карантине его уже нет. Карантин уехал вместе с носителем

ok

А может на месте этого файла уже есть оригинальный или другой - что делать?

Ничего. Кто-то уже сделал эту работу за вас.

Отличная фича получится. Прямо так и запишем в документацию - "после исправления ложного срабатывания, файл будет автоматически восстановлен из карантина. Может быть."

[maxic]

Alexander Tarasov, ну мы ж отслеживаем, какой компонент поместил файл в карантин. То есть если помещен с помощью менеджера карантина - не трогаем.

[HHH]

"Спец. сигнатуре" - звучит круто, конечно. Еще могу предложить - по взмаху волшебной палочки, по волшебному слову, и другие методы =)

Собственно вариантов два - либо все недетектируемые файлы, либо определенный файл.
Как вы будете этот файл идентифицировать дело десятое. Либо напишете сигнатуру (всё равно ведь пишете для отключения фолса), либо это будет некая совокупность признаков
(имя, размер SHA512). Тут мне с вами спорить тяжело. Мне MD5 + имя достаточно, а вам может и нет

Ну тоже, на каком основании мы восстанавливаем файлы без детекта из карантина? Может я их там специально коплю...

У файла есть пометка, кто положил его в карантин пользователь или Spider. Так что нажитое непосильным трудом останется при вас.

Прямо так и запишем в документацию - "после исправления ложного срабатывания, файл будет автоматически восстановлен из карантина. Может быть."

Можно и написать
"Если до этого файл не восстановлен другими способами (из резервной копии, восстановление системы, переустановкой программы и т.п.)"

[HHH]

фолс может быть на разных файлах. Особенно, если эвристика

В моём изначальном варианте решение о восстановлении принимает аналитик и выдает команду на восстановление конкретного файла (файлов), которые он проверил и признал безвредными.

[maxic]

HHH, это вне компетенции аналитика, я считаю. Аналитик определяет, опасен файл или нет, дает ему классификацию. Каким боком аналитик к восстановлению из карантина?

[HHH]

Аналитик подтвердил, что этот конкретный файл чист. А раз чист, то можно восстанавливать.
Хотя по сути вы правы насчет компетенции.

[Пол Банки]

да нет вопросов, было бы желание.