Перейти к содержимому


Фото
- - - - -

Почему DrWeb противоречит сам себе?


  • Please log in to reply
10 ответов в этой теме

#1 snav

snav

    Member

  • Posters
  • 134 Сообщений:

Отправлено 08 Апрель 2017 - 20:55

Уже несколько раз сталкивался со странной ситуацией. DrWeb перемещает файл в карантин и говорит, что файл инфицирован DPH:Trojan.Inject.2. Открываю карантин, жму повторную проверку - DrWeb говорит, что угроз не обнаружено и восстанавливает файл. Как это понимать? У Dr.Web раздвоение личности?



#2 VVS

VVS

    The Master

  • Moderators
  • 17 521 Сообщений:

Отправлено 08 Апрель 2017 - 21:08

Бага, которую не могут устранить уже очень давно.

В карантин файл помещает эвристика, а перепроверка производится по базам.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 MakRos-78

MakRos-78

    Advanced Member

  • Posters
  • 502 Сообщений:

Отправлено 08 Апрель 2017 - 21:09

Нет. Просто DPH это срабатывани эвристики по поведению (гуард), а проверка в карантине - просто сигнатурно (сканер).

#4 WSK

WSK

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 08 Апрель 2017 - 21:13

Уже несколько раз сталкивался со странной ситуацией. DrWeb перемещает файл в карантин и говорит, что файл инфицирован DPH:Trojan.Inject.2. Открываю карантин, жму повторную проверку - DrWeb говорит, что угроз не обнаружено и восстанавливает файл. Как это понимать? У Dr.Web раздвоение личности?

Dr.Web Process Heuristic (DPH) — технология реального времени, которая защищает от новых, наиболее актуальных вредоносных программ, разработанных с расчетом на не обнаружение традиционными сигнатурными и эвристическими механизмами, которые ещё не поступили на анализ в антивирусную лабораторию, а значит, неизвестны вирусной базе Dr.Web на момент проникновения в систему.



#5 TASS

TASS

    Advanced Member

  • Posters
  • 822 Сообщений:

Отправлено 09 Апрель 2017 - 07:40

Бага, которую не могут устранить уже очень давно.

В карантин файл помещает эвристика, а перепроверка производится по базам.

VVS, а в чем суть бага? Эвристик перебдел или сканер недобдел?


Глядя на мир, нельзя не удивляться! ©


#6 VVS

VVS

    The Master

  • Moderators
  • 17 521 Сообщений:

Отправлено 09 Апрель 2017 - 08:25

Не, бага совсем в другом - нужно отключить проверку по базам файлов, помещённых в карантин эвристиком.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 782 Сообщений:

Отправлено 11 Апрель 2017 - 09:53

VVS, там весь карантин надо перефигачивать, чтобы по нормальному было. Сущностей стало много, а формат карантина старый.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 TASS

TASS

    Advanced Member

  • Posters
  • 822 Сообщений:

Отправлено 11 Апрель 2017 - 14:37

Не, бага совсем в другом - нужно отключить проверку по базам файлов, помещённых в карантин эвристиком.

Хм. Но ежели, например, сегодня после утреннего скорого Сапсана из Петрограда утреннего обновления в базе отсутствует запись, соответствующая детекту эвристика, то с вечерним обновлением эта запись может и приехать! И проверка файла в карантине завершится детектом малвари. Зачем проверку отключать!?

Извините, не уловил суть баги.


Сообщение было изменено TASS: 11 Апрель 2017 - 14:38

Глядя на мир, нельзя не удивляться! ©


#9 VVS

VVS

    The Master

  • Moderators
  • 17 521 Сообщений:

Отправлено 11 Апрель 2017 - 15:24

Ну это IMHO решается легко:

Если был детект эвристика И нет детекта по базе, то оставлять детект эвристика.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#10 TASS

TASS

    Advanced Member

  • Posters
  • 822 Сообщений:

Отправлено 11 Апрель 2017 - 20:46

Ну это IMHO решается легко:

Если был детект эвристика И нет детекта по базе, то оставлять детект эвристика.

С этим согласен.

Я о другом: я таки не понял, зачем отключать проверку по базам файлов, помещённых в карантин эвристиком?

Чтобы такие файлы в карантине вообще не проверять или проверять по-другому?

 

P.S. Эвристик безошибочен, от слова всегда?


Глядя на мир, нельзя не удивляться! ©


#11 VVS

VVS

    The Master

  • Moderators
  • 17 521 Сообщений:

Отправлено 11 Апрель 2017 - 20:50

 

Ну это IMHO решается легко:

Если был детект эвристика И нет детекта по базе, то оставлять детект эвристика.

С этим согласен.

Я о другом: я таки не понял, зачем отключать проверку по базам файлов, помещённых в карантин эвристиком?

Чтобы не было так, как написано в 1-ом сообщении.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых