Хотелось бы увидеть новые старые, возможности в антивирусе.
#1
Отправлено 11 Сентябрь 2008 - 21:53
Относительно сложная командная строка у веба (её кстати вирусы практически никогда не блокируют, чем можно пользоваться) упростить бы её немного что бы по умолчанию не только сканировать диски, но и предлагать лечение, лечит все, лечить, пропустить, пропустить все.
И сложное пожелание ещё. Судя по поведению антивируса он может обходить часть "ошибок" вызваных вирусом с целью принудительно средсвами ОС снять иполняемые модули (вызвать в них ошибку). Хотелось бы усилить такое хорошее качество. Правда это как мне кажется перекликается с первым пожеланием.
Хотелось бы во время процедуры лечения/поиска иметь контроль антивирусом над реестром, дабы выключенные вручную вирусы не возвращались в автозагрузку следом.
И последнее хотелось бы иметь возможность делать "поведенческий анализ файлов" т.е. что-то ввиде эвристики способной обнаружить к примеру слежение за клавиатурой, мышкой...
Хотелось бы иметь также возможност следить за тем что делает подозрительный файл т.е. если есть у человека подозрение на вирус, то взять такой файл под контроль и следить за тем куда он обращается, что делает и где он грузится ОС.
Часть пожеланий наверное фантастика, но часть надеюсь будет реализованна.
#2
Отправлено 11 Сентябрь 2008 - 21:58
#3
Отправлено 11 Сентябрь 2008 - 22:04
В принципе все эти пожелания у меня для борьбы с незнакомыми вирусами. Они мне уже просто надоели, хотя достают и не долго, на все админы ленивые от природы :)
#4
Отправлено 11 Сентябрь 2008 - 22:06
#5
Отправлено 11 Сентябрь 2008 - 22:14
Поэтому нужно проводить разумную политику администрирования средствами ОС.
" целью принудительно средсвами ОС снять иполняемые модули (вызвать в них ошибку)."
И полетят клином стая BSOD
-------------------------------------------
http://mrbelyash.narod.ru
Искренне Ваш,мистер Беляш
#6
Отправлено 11 Сентябрь 2008 - 23:01
Только-только отказались от этого. :) Возможность осталась на уровне инишника.Сейчас мне кажется данную функцию нелишним было бы возродить.
Вы документацию читали? ;) В комстроке настраивается ВСЁ, что Вы перечислили. :)Относительно сложная командная строка у веба
Синих экранов давно не видели? :)Хотелось бы усилить такое хорошее качество.
Соответствующая ветка реестра блокируется, если там что-то было найдено. :)Хотелось бы во время процедуры лечения/поиска иметь контроль антивирусом над реестром, дабы выключенные вручную вирусы не возвращались в автозагрузку следом.
ИМХО, было бы некисло детектить c:windowssvchost.exe или c:windowssystem32ntos.exe как suspicious - вот это был бы самый сильный поведенческий анализ. :)
---
С уважением,
Borka.
#7
Отправлено 12 Сентябрь 2008 - 08:44
Шифрование можно ввести ключ менять ремя от времени. Даже если без шифрования, как мне кажется большинсво вирусов отслеживает всё таки расширение и что-то кроме имени файла при запуске. По крайне мере далеко не все ловятся на переименование екзешника сканера.Переименование базы мало что даст для штатного антивируса-ведь можно прочитать в *.ini новую маску
#8
Отправлено 12 Сентябрь 2008 - 08:46
Если ничего не делать то и боли не будет головной, но такой вариант тоже неподходит. Можно обзавестись дестком разных утилит и в каждой копаться, а можно это сделать более централизованно.Это лишняя головная боль разработчикам и саппорту. Не нужна такая штука. Есть FileMon и RegMon ;-)
#9
Отправлено 12 Сентябрь 2008 - 08:56
Н етолько читал но и пользовался, потому и возникла такая просьба. Упростить. Сампроцесс сканирования задаётся к примеру параметром c: но для лечения нужны дополнительные параметры.Вы документацию читали? ;) В комстроке настраивается ВСЁ, что Вы перечислили. :)
а разница что синий экран, что вылет антивируса (сканера) в процессе запуска? Ввести в ини в ручную прописываемый параметр на всякие разные случаи, может и поможет ведь.Синих экранов давно не видели? :)
А если не найдено? Найдёно человеком, а антивируе ещё не вкурсе что это вирус? Во сдесь комплек работ по новому вирусу мог бы неплохо помочь нейтрализовать и выловить спокойно вирь.Соответствующая ветка реестра блокируется, если там что-то было найдено. :)
вот эжта зараза http://www.virustotal.com/ru/analisis/dcf1...933a6b48d06a274 (отосылал уже)
спокойно глушит сканер антивируса, последний вылетает с ошибкой при запуске.
Удаление из реестра новых вирусв в ручную можно иной раз сравнить с игрой кто первее. выбирается отмена загрузки к примеру из автоконфига или реетра и нажимается кнопка перезагрузки :) Если вирус не успел себя прописать опять, то он не загрузится. Это конечно уже самый крайний случай, но работает. Была бы блокировка реестра с подтверждением измениний пользователем было бы куда удобнее.
#11
Отправлено 12 Сентябрь 2008 - 16:13
#12
Отправлено 12 Сентябрь 2008 - 16:23
-------------------------------------------
http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш
#13
Отправлено 12 Сентябрь 2008 - 16:58
Это можно сделать и сейчас, если очень хочется.Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске) и указать в сканере новую маску баз. Сейчас мне кажется данную функцию нелишним было бы возродить.
Поясните свою мысль. Если вирус блокирует запуск exe-файла сканера причём здесь командная строка ?Относительно сложная командная строка у веба (её кстати вирусы практически никогда не блокируют, чем можно пользоваться)
А точнее, чего Вы хотите? лечить - "/cu". Как можно одновременно "лечит все" и "пропустить все" ? Или речь идёт о работе со списком инфиц. файлов в окне сканера, если таких файлов много ?упростить бы её [командную строку] немного что бы по умолчанию не только сканировать диски, но и предлагать лечение, лечит все, лечить, пропустить, пропустить все.
#14
Отправлено 12 Сентябрь 2008 - 17:06
Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске) и указать в сканере новую маску баз. Сейчас мне кажется данную функцию нелишним было бы возродить.Это можно сделать и сейчас, если очень хочется.
КаГ?
Ну ведь не сложно написать:
-поиск по расширению
-поиск по 3 первым символам файла
-поиск по (ищем процесс в памяти и смотрим каталог откуда он запускается....А процессы то одни и те же....)
-смотрим drweb32.ini
"Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске)"
Разве что в LiveCD,да и то...смысл?
-------------------------------------------
http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш
#15
Отправлено 12 Сентябрь 2008 - 20:17
Хочется. И хочется упавлять этим центализованно с серверной части.Это можно сделать и сейчас, если очень хочется.
вирусы как правило не блокируют запуск консольного сканера, большинсво просто отвыкли от коммандной строки. Таким образом можно как минимум выявить в каком файле вирус и в дальнейшем тем или иным способом нейтрализовать.Если вирус блокирует запуск exe-файла сканера причём здесь командная строка ?
Хотелось бы иметь подтверждение лечить или нет. Бывают ложные срабатывания, хотя и редко. Бывает просто нужно данный файл оставить пока на месте, всякое бывает, а гибкость никогда не мешает.речь идёт о работе со списком инфиц. файлов в окне сканера, если таких файлов много ?
#16
Отправлено 12 Сентябрь 2008 - 20:22
Есть вирусы (пару веток я сдесь видел как минимум) которые блокируют не сам антивирус, а только его базы, блокируется любой доступ к базам, в файолвом менеджере получается ошибка контрольной суммы.Разве что в LiveCD,да и то...смысл?
Переименование произвольным можно избежать такой напасти и не пребегать к лайв сд, пользоваться ресурсами сети... и эффективно бороться такими вирусами.
#17
Отправлено 12 Сентябрь 2008 - 20:54
Ой. У персонального drweb нет никакой "серверной части". Если Вы хотите поговорить про ESuite, это в соответствующей ветке. Там довольно много отличий.Хочется. И хочется упавлять этим центализованно с серверной части.
Ай. Оба сканера, и gui, и консольный могут принимать параметры в командной строке (у gui их даже больше) и работать в пакетном режиме. Хотите обсуждать консольный сканер drwebwcl.exe - так и пишите.вирусы как правило не блокируют запуск консольного сканера, большинсво просто отвыкли от коммандной строки.
drwebwcl.exe не содержит антируткит механизма, его возможности в борьбе с активными вирусами гораздо меньше. Но иногда, конечно, и он полезен.
Ох. ложные срабатывания (FP) Вы сами "на глаз" определять будете? Так это в режиме Report изначально сделано - имеете список найденной заразы и сами определяете, что лечить, что нет. В автоматическом режиме что делать? Давно реализован Move - FP можно потом достать из карантина. Давно обсуждается опция - сохранять в карантине копии файлов после Cure(Delete).Хотелось бы иметь подтверждение лечить или нет. Бывают ложные срабатывания, хотя и редко.
#18
Отправлено 12 Сентябрь 2008 - 21:00
Есть вирусы (пару веток я сдесь видел как минимум) которые блокируют не сам антивирус, а только его базы
Ну не надо быть таким наивным, чтобы считать, что вирусописателей, вознамерившихся бороться с базами антивиря, можно обмануть такой туфтой, как их переименовыванием.Переименование произвольным можно избежать такой напасти и не пребегать к лайв сд
#20
Отправлено 12 Сентябрь 2008 - 21:20
А если файл занят в этот момент, то он удаляется при перезагрузке, в карантин не попадает ведь?Давно реализован Move - FP можно потом достать из карантина.
Годится и это.Давно обсуждается опция - сохранять в карантине копии файлов после Cure(Delete).
Значить загляну ещё и туда. в обычной версии это будет тоже не лишним.Если Вы хотите поговорить про ESuite, это в соответствующей ветке. Там довольно много отличий.
Это хорошо, но он блокируется частенько.Оба сканера, и gui, и консольный могут принимать параметры в командной строке (у gui их даже больше) и работать в пакетном режиме.
Речь шла о drwebwcl.exe извините что не сразу написал файлик.
Это заметно, но он тоже на кое-что способен :) и это хорошо.его возможности в борьбе с активными вирусами гораздо меньше.
Ну отправлял же тикет с ложным срабатыванием. Иной раз это можно сделать на глаз довольно легко в случае не работоспособности drweb32w.exe сканер остаётся иной раз вариантом под рукой который работает, но вот списка с предложениями он уже не выдаёт.Ох. ложные срабатывания (FP) Вы сами "на глаз" определять будете?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых