57 ответов в этой теме

[Алексс]

Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске) и указать в сканере новую маску баз. Сейчас мне кажется данную функцию нелишним было бы возродить.
Относительно сложная командная строка у веба (её кстати вирусы практически никогда не блокируют, чем можно пользоваться) упростить бы её немного что бы по умолчанию не только сканировать диски, но и предлагать лечение, лечит все, лечить, пропустить, пропустить все.

И сложное пожелание ещё. Судя по поведению антивируса он может обходить часть "ошибок" вызваных вирусом с целью принудительно средсвами ОС снять иполняемые модули (вызвать в них ошибку). Хотелось бы усилить такое хорошее качество. Правда это как мне кажется перекликается с первым пожеланием.


Хотелось бы во время процедуры лечения/поиска иметь контроль антивирусом над реестром, дабы выключенные вручную вирусы не возвращались в автозагрузку следом.
И последнее хотелось бы иметь возможность делать "поведенческий анализ файлов" т.е. что-то ввиде эвристики способной обнаружить к примеру слежение за клавиатурой, мышкой...
Хотелось бы иметь также возможност следить за тем что делает подозрительный файл т.е. если есть у человека подозрение на вирус, то взять такой файл под контроль и следить за тем куда он обращается, что делает и где он грузится ОС.

Часть пожеланий наверное фантастика, но часть надеюсь будет реализованна.

[v.martyanov]

Ну как бы так сказать... Вот выберет человек вирус и скажет: "а покажи-ка мне, мил друг, что этот процесс делает". И получает он 20 страниц логов за 5 секунд. И что он с ними будет делать? :-)

[Алексс]

Это проблема того кто выбрал такую возможность. Может он поймёт что это вирь и отошлёт его. если ничего не понимает, то и смотреть не будет и включать опцию не будет.
В принципе все эти пожелания у меня для борьбы с незнакомыми вирусами. Они мне уже просто надоели, хотя достают и не долго, на все админы ленивые от природы :)

[v.martyanov]

Это лишняя головная боль разработчикам и саппорту. Не нужна такая штука. Есть FileMon и RegMon ;-)

[mrbelyash]

Переименование базы мало что даст для штатного антивируса-ведь можно прочитать в *.ini новую маску.
Поэтому нужно проводить разумную политику администрирования средствами ОС.

" целью принудительно средсвами ОС снять иполняемые модули (вызвать в них ошибку)."
И полетят клином стая BSOD
-------------------------------------------

http://mrbelyash.narod.ru
Искренне Ваш,мистер Беляш

[Borka]

Сейчас мне кажется данную функцию нелишним было бы возродить.

Только-только отказались от этого. :) Возможность осталась на уровне инишника.

Относительно сложная командная строка у веба

Вы документацию читали? ;) В комстроке настраивается ВСЁ, что Вы перечислили. :)

Хотелось бы усилить такое хорошее качество.

Синих экранов давно не видели? :)

Хотелось бы во время процедуры лечения/поиска иметь контроль антивирусом над реестром, дабы выключенные вручную вирусы не возвращались в автозагрузку следом.

Соответствующая ветка реестра блокируется, если там что-то было найдено. :)

ИМХО, было бы некисло детектить c:windowssvchost.exe или c:windowssystem32ntos.exe как suspicious - вот это был бы самый сильный поведенческий анализ. :)

---
С уважением,
Borka.

[Алексс]

Переименование базы мало что даст для штатного антивируса-ведь можно прочитать в *.ini новую маску

Шифрование можно ввести ключ менять ремя от времени. Даже если без шифрования, как мне кажется большинсво вирусов отслеживает всё таки расширение и что-то кроме имени файла при запуске. По крайне мере далеко не все ловятся на переименование екзешника сканера.

[Алексс]

Это лишняя головная боль разработчикам и саппорту. Не нужна такая штука. Есть FileMon и RegMon ;-)

Если ничего не делать то и боли не будет головной, но такой вариант тоже неподходит. Можно обзавестись дестком разных утилит и в каждой копаться, а можно это сделать более централизованно.

[Алексс]

Вы документацию читали? ;) В комстроке настраивается ВСЁ, что Вы перечислили. :)

Н етолько читал но и пользовался, потому и возникла такая просьба. Упростить. Сампроцесс сканирования задаётся к примеру параметром c: но для лечения нужны дополнительные параметры.

Синих экранов давно не видели? :)

а разница что синий экран, что вылет антивируса (сканера) в процессе запуска? Ввести в ини в ручную прописываемый параметр на всякие разные случаи, может и поможет ведь.

Соответствующая ветка реестра блокируется, если там что-то было найдено. :)

А если не найдено? Найдёно человеком, а антивируе ещё не вкурсе что это вирус? Во сдесь комплек работ по новому вирусу мог бы неплохо помочь нейтрализовать и выловить спокойно вирь.
вот эжта зараза http://www.virustotal.com/ru/analisis/dcf1...933a6b48d06a274 (отосылал уже)
спокойно глушит сканер антивируса, последний вылетает с ошибкой при запуске.
Удаление из реестра новых вирусв в ручную можно иной раз сравнить с игрой кто первее. выбирается отмена загрузки к примеру из автоконфига или реетра и нажимается кнопка перезагрузки :) Если вирус не успел себя прописать опять, то он не загрузится. Это конечно уже самый крайний случай, но работает. Была бы блокировка реестра с подтверждением измениний пользователем было бы куда удобнее.

[Pavel Plotnikov]

Рендомные названия баз используются в CureIt!
--
С уважением, Pavel

[v.martyanov]

Задача антивируса - бороться с заразой, а не давать пользователю подробную сводку по активности процессов в системе. Если нужны такого рода сведения - нужно проводить зачастуюдовольно сложную лабораторную работу. Результаты большинство пользователей все равно не сможет понять. Вы требуете от врача рассказа о метаболизме произвольно съеденного куска пищи?

[mrbelyash]

+1
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[userr]

Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске) и указать в сканере новую маску баз. Сейчас мне кажется данную функцию нелишним было бы возродить.

Это можно сделать и сейчас, если очень хочется.

Относительно сложная командная строка у веба (её кстати вирусы практически никогда не блокируют, чем можно пользоваться)

Поясните свою мысль. Если вирус блокирует запуск exe-файла сканера причём здесь командная строка ?

упростить бы её [командную строку] немного что бы по умолчанию не только сканировать диски, но и предлагать лечение, лечит все, лечить, пропустить, пропустить все.

А точнее, чего Вы хотите? лечить - "/cu". Как можно одновременно "лечит все" и "пропустить все" ? Или речь идёт о работе со списком инфиц. файлов в окне сканера, если таких файлов много ?

[mrbelyash]

Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске) и указать в сканере новую маску баз. Сейчас мне кажется данную функцию нелишним было бы возродить.Это можно сделать и сейчас, если очень хочется.

КаГ?
Ну ведь не сложно написать:
-поиск по расширению
-поиск по 3 первым символам файла
-поиск по (ищем процесс в памяти и смотрим каталог откуда он запускается....А процессы то одни и те же....)
-смотрим drweb32.ini


"Вспомнились ещё досовские версии антивируса, когда можно было произвольно переименовывать антивирусные базы (по маске)"
Разве что в LiveCD,да и то...смысл?



-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[Алексс]

Это можно сделать и сейчас, если очень хочется.

Хочется. И хочется упавлять этим центализованно с серверной части.

Если вирус блокирует запуск exe-файла сканера причём здесь командная строка ?

вирусы как правило не блокируют запуск консольного сканера, большинсво просто отвыкли от коммандной строки. Таким образом можно как минимум выявить в каком файле вирус и в дальнейшем тем или иным способом нейтрализовать.

речь идёт о работе со списком инфиц. файлов в окне сканера, если таких файлов много ?

Хотелось бы иметь подтверждение лечить или нет. Бывают ложные срабатывания, хотя и редко. Бывает просто нужно данный файл оставить пока на месте, всякое бывает, а гибкость никогда не мешает.

[Алексс]

Разве что в LiveCD,да и то...смысл?

Есть вирусы (пару веток я сдесь видел как минимум) которые блокируют не сам антивирус, а только его базы, блокируется любой доступ к базам, в файолвом менеджере получается ошибка контрольной суммы.
Переименование произвольным можно избежать такой напасти и не пребегать к лайв сд, пользоваться ресурсами сети... и эффективно бороться такими вирусами.

[userr]

Хочется. И хочется упавлять этим центализованно с серверной части.

Ой. У персонального drweb нет никакой "серверной части". Если Вы хотите поговорить про ESuite, это в соответствующей ветке. Там довольно много отличий.

вирусы как правило не блокируют запуск консольного сканера, большинсво просто отвыкли от коммандной строки.

Ай. Оба сканера, и gui, и консольный могут принимать параметры в командной строке (у gui их даже больше) и работать в пакетном режиме. Хотите обсуждать консольный сканер drwebwcl.exe - так и пишите.
drwebwcl.exe не содержит антируткит механизма, его возможности в борьбе с активными вирусами гораздо меньше. Но иногда, конечно, и он полезен.

Хотелось бы иметь подтверждение лечить или нет. Бывают ложные срабатывания, хотя и редко.

Ох. ложные срабатывания (FP) Вы сами "на глаз" определять будете? Так это в режиме Report изначально сделано - имеете список найденной заразы и сами определяете, что лечить, что нет. В автоматическом режиме что делать? Давно реализован Move - FP можно потом достать из карантина. Давно обсуждается опция - сохранять в карантине копии файлов после Cure(Delete).

[Bargain Buddy]

Есть вирусы (пару веток я сдесь видел как минимум) которые блокируют не сам антивирус, а только его базы

Переименование произвольным можно избежать такой напасти и не пребегать к лайв сд

Ну не надо быть таким наивным, чтобы считать, что вирусописателей, вознамерившихся бороться с базами антивиря, можно обмануть такой туфтой, как их переименовыванием.

[Pavel Plotnikov]

Пока, как временная мера, получается.
--
С уважением, Pavel

[Алексс]

Давно реализован Move - FP можно потом достать из карантина.

А если файл занят в этот момент, то он удаляется при перезагрузке, в карантин не попадает ведь?

Давно обсуждается опция - сохранять в карантине копии файлов после Cure(Delete).

Годится и это.

Если Вы хотите поговорить про ESuite, это в соответствующей ветке. Там довольно много отличий.

Значить загляну ещё и туда. в обычной версии это будет тоже не лишним.

Оба сканера, и gui, и консольный могут принимать параметры в командной строке (у gui их даже больше) и работать в пакетном режиме.

Это хорошо, но он блокируется частенько.
Речь шла о drwebwcl.exe извините что не сразу написал файлик.

его возможности в борьбе с активными вирусами гораздо меньше.

Это заметно, но он тоже на кое-что способен :) и это хорошо.

Ох. ложные срабатывания (FP) Вы сами "на глаз" определять будете?

Ну отправлял же тикет с ложным срабатыванием. Иной раз это можно сделать на глаз довольно легко в случае не работоспособности drweb32w.exe сканер остаётся иной раз вариантом под рукой который работает, но вот списка с предложениями он уже не выдаёт.