42 ответов в этой теме

[Afalin]

- Совсем не обязательно спамить, достаточно просто в таблице "найденных угроз" указать имя и категорию - "непроверен".

Так он проверен, только похожее на контейнер нечто не контейнер, по мнению движка. А похожим он может на 9000 контейнеров из 100500 поддерживаемых.

Либо движок просто не знает такого контейнера, и потому не знает, что про него вообще что-то нужно говорить.

В итоге ворнинги либо не реализуемы, либо просто бесполезны (а бесполезный ворнинг вреден, если он в 99% – фолс).

 

Что же касается необходимости поддержки каких-то конкретных видов контейнеров – Константин уже написал.

[VVS]

Что-то есть сомнения, что рядовой пользователь обрадуется непонятному спаму, с которым непонятно, что делать.

Полагаете, рядовой пользователь больше обрадуется установке вредоносного кода после того, как сканер сделал вид, что проверил пакет, и отрапортовал, что там все в порядке?

В подавляющем большинстве случаев – да.

Я не думаю, что сильно обрадуется.
 
Сценарий:
Я скачал сетап, проверил его сканером / Куреитом и отдал на флешке для установки на спец-ПК

Сразу после этого тебя и/или того, кто будет устанавливать, следует лишить допуска и уволить по статье ТК.

[SergSG]

 

- Совсем не обязательно спамить, достаточно просто в таблице "найденных угроз" указать имя и категорию - "непроверен".

Так он проверен, только похожее на контейнер нечто не контейнер, по мнению движка. А похожим он может на 9000 контейнеров из 100500 поддерживаемых.

Либо движок просто не знает такого контейнера, и потому не знает, что про него вообще что-то нужно говорить.

Если Доктор обманулся - это дело житейское. Но ведь он вообще не информирует о непроверенных объектах.

 

>C:\Users\Serg\Desktop\Малварь.rar is RAR archive

C:\Users\Serg\Desktop\Малварь.rar - Ok
C:\Users\Serg\Desktop\Малварь.rar - archive

 

Total 4717223 bytes in 1 file scanned
There are no infected objects detected

Сообщение было изменено SergSG: 10 Июнь 2020 - 20:48

[SergSG]

Сразу после этого тебя и/или того, кто будет устанавливать, следует лишить допуска и уволить по статье ТК.

Это штатная процедурина.

[VVS]

Сразу после этого тебя и/или того, кто будет устанавливать, следует лишить допуска и уволить по статье ТК.

Это штатная процедурина.

Штатная процедура - получить в 1-ом отделе (или как он нынче называется) флэшку и записать на неё дистрибутив, предварительно сравнив его контрольную сумму с имеющимся у тебя на руках сертификатом...

Сообщение было изменено VVS: 10 Июнь 2020 - 20:54

[SergSG]

 

 

Сразу после этого тебя и/или того, кто будет устанавливать, следует лишить допуска и уволить по статье ТК.

Это штатная процедурина.

Штатная процедура - получить в 1-ом отделе (или как он нынче называется) флэшку и записать на неё дистрибутив, предварительно сравнив его контрольную сумму с имеющимся у тебя на руках сертификатом...

Это слишком навороченный вариант. Такое не всегда требуется.

Да фиг с ним - поставить / распаковать на ПК без АВ и выхода в сеть.

Сообщение было изменено SergSG: 10 Июнь 2020 - 21:03

[IlyaS]

Н-да, раньше использовал курейт для периодической проверки серверов с кучей файлов и другим антивирусом, отсылал фолсы, а оказывается курейт действовал по своему разумению.

[basid]

"Отсылал фолсы" и "хочу, чтобы проверялись все контейнеры" - две большие разницы. Ну или четыре маленькие.

[Afalin]

 

 

- Совсем не обязательно спамить, достаточно просто в таблице "найденных угроз" указать имя и категорию - "непроверен".

Так он проверен, только похожее на контейнер нечто не контейнер, по мнению движка. А похожим он может на 9000 контейнеров из 100500 поддерживаемых.

Либо движок просто не знает такого контейнера, и потому не знает, что про него вообще что-то нужно говорить.

Если Доктор обманулся - это дело житейское. Но ведь он вообще не информирует о непроверенных объектах.

 

>C:\Users\Serg\Desktop\Малварь.rar is RAR archive

C:\Users\Serg\Desktop\Малварь.rar - Ok
C:\Users\Serg\Desktop\Малварь.rar - archive

 

Total 4717223 bytes in 1 file scanned
There are no infected objects detected

Если это нормальный рар, в нём нормальная малварь, но она внутри не детектится, то это, подозреваю, самый обыкновенный баг, а не попытки скрыть что-то от пользователя.

[Konstantin Yudin]

Скорее не включена проверка архивов

[Afalin]

Если при выключенной проверке архивов он говорит Ok и не проверяет, а при включенной – проверяет и находит сусликов, то было бы логично, если б SR_FILE_IGNORED прилетел из SE.

[SergSG]

Если это нормальный рар, в нём нормальная малварь, но она внутри не детектится, то это, подозреваю, самый обыкновенный баг, а не попытки скрыть что-то от пользователя.

Если:

- отключена проверка архивов / сетапов,

- установлен пароль на объект,

- несколько вложений архивов,

- файл занят другим приложением,

- не хватает прав

Сканер пишет что всё ОК, хотя по сути он ничего и не проверил.

 

Вот пример архив в архиве (проверка архивов включена):

>C:\Users\Serg\Desktop\Малварь.zip is ZIP archive
C:\Users\Serg\Desktop\Малварь.zip\Малварь.rar - Ok
C:\Users\Serg\Desktop\Малварь.zip - Ok
C:\Users\Serg\Desktop\Малварь.zip - archive - 21ms, 4710966 bytes

[basid]

"Чёнетакто?"

Нашёл архив, заглянул внутрь, нашёл вложенный архив, который проверился как файл, без распаковки. Ничего не нашёл -> Ok

[Konstantin Yudin]

Чтобы понять что не ок, нужно знать как должно быть. Если ты не понимаешь что это архив и как с ним работать кроме как ок ничего и не написать, сам файл то проверился сигнатурами. Тут все честно.
На ошибки доступа ок не напишется, не перегибай

Сообщение было изменено Konstantin Yudin: 11 Июнь 2020 - 16:31

[Konstantin Yudin]

Можно добавить только замечание Арсения, но это вроде как не по спекам, сходу не помню. Апи и как реагировать на те или иные объекты придумали лет 30 назад, так что тут все по канонам.

[Konstantin Yudin]

Не, игноре мы слать тут не можем. Мы ведь ничего не игнорируем, объект проверен, а вот игноре мы должны сдать уже на объекты внутри, что невозможно.

[SergSG]

Чтобы понять что не ок, нужно знать как должно быть. Если ты не понимаешь что это архив и как с ним работать кроме как ок ничего и не написать, сам файл то проверился сигнатурами. Тут все честно.

Костя, я прекрасно это всё понимаю и какого то супер решения, чтоб всё было хорошо тут в принципе не существует. Но кое что из перечисленного выше можно было бы наверно сделать при желании. Например - нет прав, нет доступа, отключена проверка, запаролен архив. Наверно и другие случаи есть, когда движок не смог, но ничего об этом не сказал.

 

 

На ошибки доступа ок не напишется, не перегибай

Да, в логе F:\8.05.20\38.bin - read error - 0ms, 0 bytes, а вот в интерфейсе всё чисто.

Вроде как всё правильно - угроз не обнаружено. Но ведь ничего и не проверено, а пишет проверен 1.

 

 Read_Error1.png   9,54К   0 Скачано раз

Сообщение было изменено SergSG: 11 Июнь 2020 - 17:53

[Konstantin Yudin]

За гуи ничего не скажу, не пользуюсь

[Dmitry Mikhirev]

Сразу после этого тебя и/или того, кто будет устанавливать, следует лишить допуска и уволить по статье ТК.

Это штатная процедурина.

Качать из недоверенного источника неведомо что? Согласен с VVS.

[SergSG]

Вот если бы Вы согласились с тем, что обманывать пользователя не хорошо и CureIt / Scaner пора бы слегка актуализировать под современные реалии сетапов / архивов, а заодно и их фейс привести в адекватное состояние - вот это бы реально удивило. А так...

 

Там, где используется сценарий описанный VVS, АВ стараются не ставить - от них вреда больше, чем от вирусов.

А там, где требования попроще, юзер наивно верит, что если сканер пишет "вирусов не обнаружено", значит всё ОК. Ему и в голову не приходит, что сканер мог такое написать ничего не проверив.