247 ответов в этой теме

[run]

который бы определил наверняка, что явилось причиной изменения хостса - вирус или действия пользователя.

Он и не нужен тот интеллект, нужно желание что то делать а не забивать. Интеллект проявит пользователь, который понимает что делает, а именно изменил хост нажал охранять так как оно есть.

Это логичное поведение!

Это не логичное поведение и кто с этим сталкивался тот понимает. Ну как пример такой баян как обход запрета на обновления от майкрософт! Мы теперь боремся с не лицензионным софтом?
Ратуем за тотальную безопасность и открытым текстом говорим людям которые не хотят покупать лицензии на сотни программ фиг вам добавляйте hosts в исключения и заражайтесь, так теперь дела обстоят?
Ну про то что есть и легальные программы которые пользуются hosts, говорить не стоит.... Так где логика?

Сообщение было изменено run: 10 Январь 2013 - 09:23

[German AW]

добавляйте hosts в исключения и заражайтесь, так теперь дела обстоят?

Прочитайте внимательно мой предыдущий пост (ключевую фразу выделил жирным):

добавить его в исключения и заблокировать от случайных изменений

Т.е. правьте hosts как вам нужно, ставьте в исключения и включайте запрет на изменения. В результате Hosts такой, как нужно, АВ на него не ругается, и изменить его никто не сможет без вашего разрешения. Что еще нужно?

[run]

Что еще нужно?

Мне лично ничего. Но вот логику программы стоит поменять хотя бы для localhost.

Сообщение было изменено run: 10 Январь 2013 - 10:00

[German AW]

Но вот логику программы стоит поменять

Предложите пожалуйста ваш алгоритм поведения программы. Что должно происходить и в какой момент? (как в школе учили: "если/то/иначе" )
Я просто искренне пытаюсь понять, как оно должно выглядеть с точки зрения пользователей, которых не устраивает текущее поведение
А то все говорят: всё плохо, всё не так!
А как надо-то?

Сообщение было изменено German AW: 10 Январь 2013 - 10:06

[German AW]

Единственное, что могу предложить от себя в качестве усовершенствования - при первой попытке изменения Hosts выдать однократное предупреждающее сообщение, типа такого: "Заблокирована попытка изменения системного файла hosts. Изменить настройку прав доступа для редактирования данного файла Вы можете в настройках Dr.Web". И чтоб закрыть это сообщение можно было только крестиком (т.е. осознанно, прочитав), а не так, чтоб оно само исчезло, оставшись незамеченным.
Это на тот случай, если продвинутый пользователь хочет его изменить, но не может понять, почему не получается (АВ блокирует по умолчанию, но ничего не говорит об этом).
Ну и еще предупреждение в Хелп добавить: "Во избежание автоматического восстановления файла hosts антивирусом в исходное состояние, в случае намеренного изменения его содержимого пользователем, внесите его в исключения". Как-то так.

Сообщение было изменено German AW: 10 Январь 2013 - 10:23

[run]

Доверенные все спрашивают.

Блокнотик убран в группу не доверенные и как положено побрился.

[German AW]

Доверенные все спрашивают

А это не работа хипса случайно? У Доктора хипса сейчас нет, поэтому требовать этого функционала от текущего продукта нет смысла. Вот будет хипс, тогда и можно будет обсуждать его работу.

[run]

А это не работа хипса случайно?

Угу я примерно такое и ожидал, German AW проактивка-первентивка у доктора умеет выплевывать модальные окна? А зачичать ключи и пути?
Так что там нет и что есть то, и почему нет интерактивного режима и режима автомат?

Сообщение было изменено run: 10 Январь 2013 - 11:00

[German AW]

Так что там нет и что есть то, и почему нет интерактивного режима и режима автомат?

Я не разработчик и даже не программист. На вопрос: можно ли с текущими возможностями программы добавить функционал, о котором вы говорите - смогут ответить только разработчики.
Но я почему-то сомневаюсь в положительном ответе... Нужно дождаться полноценного хипса (или что там планируется в качестве альтернативы)

[run]

Нужно дождаться полноценного хипса (или что там планируется в качестве альтернативы)

Да уже все есть, надо только поменять политику партии и довести до ума то что есть.

[Pavel Plotnikov]

У Доктора хипса сейчас нет,

И никогда не будет.

[German AW]

И никогда не будет.

Но какой-то аналог планируется? (который, разумеется, будет лучше, чем HIPS )

[mrbelyash]

У Доктора хипса сейчас нет,

И никогда не будет.

Про файрвол тоже самое говорили..и чё?

------------






Да вариантов что предложить юзверю море....Не можете или не хотите реализовать?

[EvgenWL]

mrbelyash, +стопицот про фаер

[Pavel Plotnikov]

Да вариантов что предложить юзверю море

Из этого моря вариантов мы и выбрали текущий вариант.
Я не думаю, что данное окно станет лучше и понятней человеку, если туда добавить вариант "разрешить/не напоминать/до перезагрузки". Разве, что вам станет чуть удобней.

[Oleg2]

Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы

Одно другому не противоречит: "Изменения этого файла могут быть результатом работы вируса" - здесь всё верно. Однако к сожалению еще не изобрели искуственный интеллект, который бы определил наверняка, что явилось причиной изменения хостса - вирус или действия пользователя. Поэтому в целях безопасности необходимо исходить из худшего сценария - "модифицированный HOSTS файл считается зараженным файлом". Результат - хост исправлен. Это логичное поведение! Для пользователей, которые не подозревают о наличии такого файла в системе это единственно верное решение! А для продвинутых юзверей не должно составить никакого труда исправить hosts как нужно, добавить его в исключения и заблокировать от случайных изменений. Всё!
В чем вообще проблема? Что тут обсуждать?? Мне кажется, проблема выдумана там, где ее нет!

Простите, о каком искусственном интелекте идёт речь? Здесь тупая причинно-следственная связь:
1) Пользователь САМ включил режим "запрашивать подтверждения изменения файла hosts при
каждом изменении"?
ДА
2) Пользователь дал согласие на КАЖДЫЙ из этих запросов?
ДА

Где здесь искусственный интеллект нужен?
На каком основании Spider Guard обнуляет внесённые изменения?

Пользователь, который НЕ ЗНАЕТ о сущестовании файла HOSTS автоматически НЕ БУДЕТ включать
режим запроса. В этом случае - всё логично, надо блокировать все попытки изменения данного файла.
Только где нибудь в логах отражать это.

Пользователь который ЗНАЕТ о сущестовании файла HOSTS И ВКЛЮЧИЛ режим запроса
- понимает что он делает. Обнулять в этой ситуации внесённые в файл изменения автоматически
означает, что разработчики считают ВСЕХ пользователей законченными кретинами или обезьянами
с гранатой. По другому я это воспринять не могу.

[German AW]

Здесь тупая причинно-следственная связь:
1) Пользователь САМ включил режим "запрашивать подтверждения изменения файла hosts при
каждом изменении"?
ДА
2) Пользователь дал согласие на КАЖДЫЙ из этих запросов?
ДА
Где здесь искусственный интеллект нужен?
На каком основании Spider Guard обнуляет внесённые изменения?

На этом отрезке рассуждений вроде всё верно. Но при этом антивирусу придется после каждого изменения пользователем файла hosts "запоминать" его новое состояние (по CRC или еще как-то). Т.е. при следующей проверке АВ должен сверить текущее состояние файла с последним легитимным.
А теперь представьте, что в какой-то период пользователю по какой-либо причине пришлось отключить на время контроль за hosts. В этот период любые изменения файла не "запоминаются" антивирусом, и как следствие будут "вынесены" после возобновления контроля, даже если они были сделаны пользователем. И снова буду претензии пользователей - почему АВ удалил мои правки? Т.е. это решение не универсальное.
А вот включение hosts в исключения как раз и есть универсальное решение.

Можно было бы задать вопрос пользователю: Обнаружено изменение файла hosts -> Посмотреть содержимое -> Исправить/Игнорировать.
Вот только, боюсь, домохозяйку это введет в ступор.

Еще вариант: мега-хакер нашел вариант обхода защиты АВ (не знаю, на сколько это реально, но раз в год и палка стреляет ) и от имени пользователя сделал изменения hosts. Система при проверке патченого hosts промолчит. А это потенциальная уязвимость. Пользователь будет уверен, что всё в порядке, ведь АВ всё контролирует. А не деле его уже хакнули.

Сообщение было изменено German AW: 10 Январь 2013 - 15:04

[mrbelyash]

закончился ключ...защита будет работать?

изменился хост..подложили новый ключ

[lw12]

А сканер возвращает хостс в исходное? Сделал некие изменения в файле. сканер молчит. гуард пока молчит прошел уже час.

[Kinoman]

А сканер возвращает хостс в исходное? Сделал некие изменения в файле. сканер молчит. гуард пока молчит прошел уже час.

В сканере проверку на руткиты надо запустить.
Гвард тут ни при чем, это фоновое антируткит сканирование лечит.