166 ответов в этой теме

[autopsy_nj]

Konstantin Yudin

A silent mode kogda razrshena set' tol'ko podpisanym softinam, ili iz white list nel'zya vklyucht'? Podstavlyaete Vy, sestrenku zheny mladsey... ili kak tam

[MakRos-78]

Podstavlyaete Vy, sestrenku zheny mladsey... ili kak tam

Читать нужно всё, а не выборочно:

я щас провожу опыт дома. у жены сестренка младшая

[Konstantin Yudin]

A silent mode kogda razrshena set' tol'ko podpisanym softinam, ili iz white list nel'zya vklyucht'? Podstavlyaete Vy, sestrenku zheny mladsey... ili kak tam

это эксперимент. потом все закрою. :)

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.

[autopsy_nj]

Вот тут хочется конкретизировать. "Не в таком виде", ясно. Вопрос, в каком? Дело в том что DrWeb уже долго говорит, так, а отсюда второй вопрос: DrWeb уже придумал как, и это секрет, либо просто есть такие правильные мысли, а как это сделать никто не знает? :)

[Snow_Irbis]

Ничего не понял,так будет оно в Вебе в ближайшее время илди нет?

[Valery Ledovskoy]

Ничего не понял,так будет оно в Вебе в ближайшее время илди нет?

Пока что ищется ответ на вопрос: "Зачем оно, если другие технологии, уже работающие в Dr.Web, куда эффективнее?".

--
Стать нашим партнёром просто: ICQ# 152737478
Задать вопрос про Dr.Web ещё проще: http://support.drweb.com/new/feedback

[v.martyanov]

Слюшай, дарагой, да?! Чукча не читатель, чукча - писатель? Тема эта уже ноднократно поднималась.

Чтобы примерно понять что такое автозагрузка, предлагаю в качестве домашнего задания перечислить те "объекты" в системе, через которые она осуществляется.

[Lamazz]

Hips бы в Dr.Web иметь ... ммм
было бы приятное дополнение

[Anton_G]

Ничего не понял,так будет оно в Вебе в ближайшее время илди нет?

Пока что ищется ответ на вопрос: "Зачем оно, если другие технологии, уже работающие в Dr.Web, куда эффективнее?".

Валерий, а какая технология в Докторе Вебе может помешать установить драйвер? А запустить его?
А украсть пароли от почты/аськи?
А пропатчить файлы где-нить в system32?
А может что-нибудь попроще вы сигнатурами сделать можете - скажем такую ерунду, как словить попытку прописаться в автозагрузке?
Вы подскажите, где мне галочки поставить, а то как то не очень у меня получается, ну не детектится оно хоть тресни!

Вам никто не говорил случайно, что детект эвристика порядка 30% - это очень неплохой детект, где-нить 50% - это вообще отличный.
Но этот уровень для "наблюдательной системы", коей являются разного рода HIPS\проактивные защиты является фактически точкой отсчета?
Вон на АМ тесты недавние- HIPS выступающий вне конкурса, не имеющий на борту вообще никаких технологий, кроме собственно самого себя взял что-то вроде 97% вредоносного программного обеспечения.



А хотите я программки дам на "посмотреть" - которыми это запросто проверить можно? Программки естественно безопасные - потому сигнатурно Ваша организация их ну никак не задетектит, дабы от пользователей потом не отбиваться.

[Valery Ledovskoy]

Вон на АМ тесты недавние- HIPS выступающий вне конкурса, не имеющий на борту вообще никаких технологий, кроме собственно самого себя взял что-то вроде 97% вредоносного программного обеспечения.

Это говорит о несовершенстве методологии тестирования. Судя по тестам на активное заражение, например, HIPS не помогает вылечить систему в 97% случаев, даже если есть соответствующая сигнатура, и судя по этому же тесту, нам это и не нужно

Валерий, а какая технология в Докторе Вебе может помешать установить драйвер? А запустить его?
А украсть пароли от почты/аськи?
А пропатчить файлы где-нить в system32?

Организуя антивирусную защиту, можно пойти различными путями. В Dr.Web за последние 2 версии - 4.44 и 5.0 в движке появилось сразу 2 несигнатурные технологии - поиск похожестей Origins Tracing и, как мне кажется, ещё более эффективная технология для современных типов угроз - автоматический распаковщик FLY-CODE. Могу сказать, что даже при остутствии HIPS эти технологии себя показывают на уровне продуктов с HIPS. Думаю, мы это увидим и в ближайшем тестировании

Только я бы не стал безоговорочно верить любым тестированиям антивирусов (и других около-антивирусных продуктов) в их сегодняшнем виде. В них всех есть несколько серьёзных нерешённых проблем, которые практически перечёркивают все полученные результаты. Т.е. что-то посчитали, но если подходить строго, получаемые данные использовать нельзя. Можно лишь ознакомиться с полученными результатами для интереса и в качестве тренировки найти ошибки в методологии, в подсчёте результатов, в отсутствии указания точности полученных результатов и пр.

Кстати, в последнее время были проведены несколько широко разошедшиехся по СМИ тестов HIPS. Так вот результаты этих различных тестов очень мало коррелируют друг с другом. Встаёт вопрос - а судьи кто?

Тем не менее, технология HIPS заслуживает внимания. И, думаю, в наших продуктах мы тоже её увидим со временем.

[Anton_G]

Валерий, я охотно вам верю, и надеюсь увидеть ее в продуктах питерской конторы

Вопрос был вызван лиш формулировкой:

Пока что ищется ответ на вопрос: "Зачем оно, если другие технологии, уже работающие в Dr.Web, куда эффективнее?".

которая вызывает встеречные вопросы:

Встаёт вопрос - а судьи кто?

- или иныными словами - не считаете же вы себя судьей в последней инстанции?

А также вызывает недоумение утверждение:

Это говорит о несовершенстве методологии тестирования. Судя по тестам на активное заражение, например, HIPS не помогает вылечить систему в 97% случаев, даже если есть соответствующая сигнатура, и судя по этому же тесту, нам это и не нужно

Потому как я скромно считал раньше, что HIPS вообще неспособен изличить что-бы-то-ни-было по причине остутствия в нем этих лечащих механизмов изначально. Напомню, что чистый HIPS предназначен для профилактики ангины, а не лечения ее в сверх-короткие сроки.

[mrbelyash]

Вопрос
HIPS кому нужен?
-профи?Врядли...т.к. профи сами с усами
-домохозяйке?Боже упаси.
-продвинутому пользователю?В данном случае защита стремится тоже к нулю
-администратору крупной организации?

А не проще просчитать рынок?Что нужней сейчас больше всего.....Антивирус для домашнего пользователя,с простейшими настройками и простеньким интерфейсом,ИМХО


Как там у Крылова в басне?

[Pavel Plotnikov]

Напомню, что чистый HIPS предназначен для профилактики ангины, а не лечения ее в сверх-короткие сроки.

Профилактика ангины -- это сильно.

[Konstantin Yudin]

Валерий, а какая технология в Докторе Вебе может помешать установить драйвер? А запустить его?
А украсть пароли от почты/аськи?
А пропатчить файлы где-нить в system32?

не тешьте себя, любой маломальски продвинутый троян/руткит обходит все эти хипсы. естественно об этом не трубят... идея с хипсами, анализаторами, зонами дверия, и т.п. да, интересная, но она еще не развита, реализация у любого вендора через одно место..захучим тут перехучим для надежности тут, глядишь не пролезет, а драйвера как запускались так и заускаются, а пароли дык вообще на раз два..., даже трафик не заметят. зато рекламы навешано про эти хипсы, прям панацея от всех бед...

[AlexanderShad]

А мне вот лично так называемая "проактивная защита" не нравится, исходя из опыта.. она порой очень мешает, уж через чур подозрительная... что касается технологии origin, то тут как говорится респект... не видно не слышно и при необходимости выручает, тоже исходя из опыта...
ну это сугубо мое личное мнение

[Valery Ledovskoy]

- или иныными словами - не считаете же вы себя судьей в последней инстанции?

Однозначно нет. Я тоже человек, могу ошибаться.

Потому как я скромно считал раньше, что HIPS вообще неспособен изличить что-бы-то-ни-было по причине остутствия в нем этих лечащих механизмов изначально. Напомню, что чистый HIPS предназначен для профилактики ангины, а не лечения ее в сверх-короткие сроки.

Да, выразился несколько неточно. Но HIPS не обеспечивает защиту в 97% случаев. Это явное завышение. Это говорит о том, что выбранный набор сэмплов для тестирования был нерепрезентативным.

origin, то тут как говорится респект... не видно не слышно и при необходимости выручает, тоже исходя из опыта...

А "Возможно, Trojan.Packed.такой-то встречали?". Это как раз тот FLY-CODE. Тоже частенько выручает. Хотя, думаю, весь потенциал его мы увидим/узнаем только после выхода в релиз ES/AV-Desk 5.0 (вирлаб, готовься)

[Malex]

А "Возможно, Trojan.Packed.такой-то встречали?". Это как раз тот FLY-CODE. Тоже частенько выручает. Хотя, думаю, весь потенциал его мы увидим/узнаем только после выхода в релиз ES/AV-Desk 5.0 (вирлаб, готовься)

Не знаю к кому вопрос, но текущие реагирование вирлаба оставляет желать лучшего. Почему? Это Вам лучше известно.
Но не дело это, когда ты новый сэмп засылаешь и на него не реагируют (хотя ты являешься лицензионным подписчиком что IMHO вообще никак не должно влиять (впрочем и не влияет)). Потом ты постишь номера необработанных тикетов в тему и вот процесс начинает идти, но то ли от большого количества тикетов или ещё от чего обрабатывается только 50-65% сэмплов - почта заваливается благодарностями о добавлении новых вирусов в базу и снова молчание. А что же дальше? Постить номера необработанных тикетов в последние посты топика? И, главное, ладно, если бы постил какую-нибудь ерунду музейную, но ведь бросаю актуальные часто встречающиейся в лесах Беларуси и частности Минска сэмплы.
В общем это грустно.
А что дальше? После выхода ES/AV-Desk 5.0 будет обрабатываться только каждый десятый сэмпл?

[Valery Ledovskoy]

А что дальше? После выхода ES/AV-Desk 5.0 будет обрабатываться только каждый десятый сэмпл?

Как Вы понимаете, форма http://support.drweb.com/sendvirus и форум - общедоступные для всех ресурсы, даже и вообще не для наших легальных пользователей. И у этого есть свои плюсы, конечно. Но если речь идёт об актуальных проблемах с активным заражением в сети предприятия, то можно попробовать как-то поднять приоритет данной проблемы.
Можно вспомнить, например, что лицензионные пользователи имеют возможность обращаться в техподдержку.
С недавнего времени в техподдержке даже появился особый раздел по вирусным заражениям, который отделили от технических вопросов.
Так вот если там написать сообщение, что были найдены "живые" на просторах Беларуси в настоящее время сэмплы, которые требуют незамедлительной обработки, а также приложить, собственно, эти сэмплы, то реакция существенно ускоряется.

Следует принять во внимание тот факт, что когда таким образом отправляются десятки сэмплов, то часто выясняется, что далеко не все из сэмплов являются срочными. Существует тролли, которые шлют в вирлаб кучи досовских битых сэмплов (к примеру) с криками о том, что если "это" не добавить срочно в базу, то сорвётся купол небесный и разнесёт все компьютеры

Думаю, что Ваш случай - не такой. Я просто о том, что не нужно злоупотреблять такими возможностями, тогда будет и скорость, и качество, и отношение

[mrbelyash]

С недавнего времени в техподдержке даже появился особый раздел по вирусным заражениям, который отделили от технических вопросов.

Угу,а до этого тех.поддержку можно было только через шамана найти
Я сравнил тех.поддержку Агнитума и тех.поддержку ДрВеб...
Агнитум честно говорит,что на рассмотрение проблемы может потребоваться 10 суток и как правило на 1 или 2 сутки отвечает и выдает решение....могу привести тикеты и ответы на них....А ответ из суппорта drweb принимается в течении суток,а потом умирает....Как правило,на 3-4 сутки я их закрывал (уточну...именно вопросы по технической стороне)....Вы можете их посмотреть у себя...
Суппортом не удовлетворён...
Единственное радует В.Мартьянов

[Valery Ledovskoy]

Агнитум честно говорит,что на рассмотрение проблемы может потребоваться 10 суток и как правило на 1 или 2 сутки отвечает и выдает решение....могу привести тикеты и ответы на них....А ответ из суппорта drweb принимается в течении суток,а потом умирает....Как правило,на 3-4 сутки я их закрывал (уточну...именно вопросы по технической стороне)....Вы можете их посмотреть у себя...
Суппортом не удовлетворён...

Про закрытые запросы сообщать не надо. Но вот в следующий раз если запрос зависнет, то пишите о нём в фидбэк (в моей подписи ссылка) и приводите номер зависшего запроса. Всякое может быть. Ответственный за запрос сотрудник может заболеть или ещё что. Каждый случай необходимо рассматривать отдельно В техподдержке же не роботы поди работают. И проблемы у пользователя бывают такие, что необходимо потратить значительное время на поиск решения. Например, иногда требуется воспроизведение проблемы в тестлабе, исправление ошибки в компоненте и т.д.