48 ответов в этой теме

[Silver_klop]

Я как раз и писал, как обойти такую проверку при предложенном Stalker4 алгоритме.

пока из ваших постов, я вижу только 3 возможных варианта и во всех алгоритм работает при условии, что угроза известна:

1. исполняемый файл с измененным расширением прикидывается (для примера) логом.

при таком варианте проверка первых нескольких мегабайт выявит подлог.
(такой вариант антивирус может и сейчас спокойно пропустить если не известен вирус.)

2. когда внутри лог файла инжектирован исполняемый файл/библиотека/драйвер

такой файл не сможет выполниться сам, для его работы потребуется "головной фай", переходящий по определенному смещению.
файловый антивирус поймает головной фай, а если нет, то поймает вирус в памяти.
(такой вариант антивирус может и сейчас спокойно пропустить, если неизвестен головной файл или сам вирус)

3. когда в лог файл записан "каким-то кодом" исполняемый файл/библиотека/драйвер

для такого варианта потребуется интерпретатор.
файловый антивирус поймает интерпретатор, а если нет, то поймает вирус в памяти.
(такой вариант антивирус может и сейчас спокойно пропустить, если интерпретатор не известен или неизвестен сам вирус)

Сообщение было изменено Silver_klop: 21 Март 2012 - 12:08

[VVS]

Silver_klop, почитайте, пожалуйста, этот топик, начиная с http://forum.drweb.com/index.php?showtopic=307930&view=findpost&p=589931 - тогда Вы будете в курсе, о чём идёт речь.

[Silver_klop]

Silver_klop, почитайте, пожалуйста, этот топик, начиная с http://forum.drweb.com/index.php?showtopic=307930&view=findpost&p=589931 - тогда Вы будете в курсе, о чём идёт речь.

я то как раз понимаю о чем идет речь. и я читал этот топик.
только вот:

Интересно, а можно ли DrWeb (SpiderGuard) научить определять такие вот файлы (логи, файлы настройки типа ini, xml) в которые могут часто писать программы и автоматом исключать их из проверки ?

как его будут учить, какие проверки будут проводиться и подробно расписанного алгоритма тут нет.. поэтому есть место для полета фантазии.
В ваших постах есть только слово "Не нужно", подразумевая, что это будет плохо работать (или не будет работать вовсе).. ни каких рассуждений и объяснений почему.
Имхо как раз нужно и можно, сделать, так чтоб это работало и работало нормально.

PS:

В качестве примера:
Скопируйте в какой-нибудь каталог notepad.exe и создайте и запустите в этом каталоге cmd следующего содержания:

if exist notepad.exe ren notepad.exe notepad.txt
start notepad.txt

Скопируйте в какой-нибудь каталог notepad.exe и создайте и запустите в этом каталоге txt следующего содержания:

if exist notepad.exe ren notepad.exe notepad.txt
start notepad.txt

и попробуйти при его помощи запустить notepad.exe

или переименовать notepad.exe в notepad.txt и запустить последний без cmd и bat файлов.

мне кажется так просто, это сделать у вас не получится

Сообщение было изменено Silver_klop: 21 Март 2012 - 12:46

[VVS]

Silver_klop, жаль, что Вы так и не поняли, о чём идёт речь.

[Silver_klop]

Silver_klop, жаль, что Вы так и не поняли, о чём идёт речь.

Напишите пожалуйста вы, возможно после вашего разъяснения я пойму о чем идет речь.

[Stalker4]

Угу...
Пишем сперва в начало файла эту характерную структуру, потом, 100500 раз открываем и закрываем файл, записывая в него остальное тело вируса, а напоследок пишем в начало этого файла начальную часть вируса...

Такой вариант конечно возможен, но раз кто то таких хитрым образом формирует файл с телом вируса, следовательно этот "кто то" тоже является вирусом (или его частью). И следовательно либо веб этого "кто то" знает и убьет его либо он его не знает и тогда уже не важно будет веб действовать по моему алгоритму или нет.
Кроме того, даже в случае если на диске успешно сформировался файл с телом вируса, то тоже ничего страшного нет, пока его не запустят. А если его запустят на выполнение, то тогда его веб (SpiderGuard) и прибьет без проблем в соответствии с опцией "Проверять работающие программы и модули".

Опять же, я ведь не утверждаю, что предложенный мною вариант решения этой проблемы самый лучший. Если разработчики смогут придумать более лучший вариант, то честь им и хвала.

А решать ее нужно, ведь большое число жалоб на тормоза веба от простых пользователей как раз и связанны с тем, что некая программу что то активно пишет в свой файл (лог, настройки и т.п.), а SpiderGuard добросовестно все это постоянно проверяет из за чего и возникают тормоза на компе.

[VVS]

Угу...
Пишем сперва в начало файла эту характерную структуру, потом, 100500 раз открываем и закрываем файл, записывая в него остальное тело вируса, а напоследок пишем в начало этого файла начальную часть вируса...

Такой вариант конечно возможен, но раз кто то таких хитрым образом формирует файл с телом вируса, следовательно этот "кто то" тоже является вирусом (или его частью). И следовательно либо веб этого "кто то" знает и убьет его либо он его не знает и тогда уже не важно будет веб действовать по моему алгоритму или нет.

А может быть это ещё неизвестный Доктору загрузчик пытается записать уже известный Доктору вирус?

Кроме того, даже в случае если на диске успешно сформировался файл с телом вируса, то тоже ничего страшного нет, пока его не запустят. А если его запустят на выполнение, то тогда его веб (SpiderGuard) и прибьет без проблем в соответствии с опцией "Проверять работающие программы и модули".

Т.е., с Вашей точки зрения, проверка создаваемых/изменяемых файлов на диске вообще не нужна?
Ведь "если его запустят на выполнение, то тогда его веб (SpiderGuard) и прибьет без проблем".

[Пол Банки]

А решать ее нужно, ведь большое число жалоб на тормоза веба от простых пользователей как раз и связанны с тем, что некая программу что то активно пишет в свой файл (лог, настройки и т.п.), а SpiderGuard добросовестно все это постоянно проверяет из за чего и возникают тормоза на компе.

поднималось не раз. подсчитать кол-во обращений к файлу вроде бы не сложно. автоматически добавлять в исключения нельзя - тоже сошлись на этом. а вручную домохозяйка не сможет отличить, что можно добавлять в исключения, а что нет. алгоритмизировать создание шаблонов исключений по образцу своих уже созданных правил исключений - отказались в одном из обсуждения. видимо понимая, что это никто релизовывать и не собирается.

Сообщение было изменено сергейка: 21 Март 2012 - 15:03

[Silver_klop]

алгоритмизировать создание шаблонов исключений по образцу своих уже созданных правил исключений - отказались в одном из обсуждения. видимо понимая, что это никто релизовывать и не собирается.

вот так понятно.. просто не хотим мучатся.. ..

Тогда есть предложение попрощ:
Вести вывод предупреждения/оповещения гуарда: "такой-то файлик (путь/файл) был проверен ХХ раз" (или что-то подобное) . Предполагается выводить данное сообщение при достижении определенного количества проверок подряд (или в течении какого-то времени). включать данную функцию при помощи установленной галочки в настройках. таким способом можно быстро находить файлы которые могут существенно тормозить работу системы.

как вам такое предложение?

Сообщение было изменено Silver_klop: 21 Март 2012 - 15:30

[maxic]

Вести вывод предупреждения/оповещения гуарда: "такой-то файлик (путь/файл) был проверен ХХ раз" (или что-то подобное) . Предполагается выводить данное сообщение при достижении определенного количества проверок подряд (или в течении какого-то времени). включать данную функцию при помощи установленной галочки в настройках. таким способом можно быстро находить файлы которые могут существенно тормозить работу системы.

как вам такое предложение?

Да никак. Что тупикал юзер ответит? Ткнет куда-то без понимания происходящего.

[Silver_klop]

Да никак. Что тупикал юзер ответит? Ткнет куда-то без понимания происходящего.

так никакого действия не произойдет. это предполагается просто как напоминалка/информировалка для понимающих пользователей, а по умолчанию эта функция будет выключена.

Проходят ли продукты Др.Веб перед релизом тестирование на домохозяйках?

Сообщение было изменено Silver_klop: 21 Март 2012 - 16:15

[Borka]

как вам такое предложение?

Был преложен самый простой вариант - вывод статистики: вот этот файл проверяется чаще всех, а вот этот - дольше всех. Но примерно так же, как и

отказались в одном из обсуждения. видимо понимая, что это никто релизовывать и не собирается. ©

в том же виде и осталось...

[VVS]

как вам такое предложение?

Был преложен самый простой вариант - вывод статистики: вот этот файл проверяется чаще всех, а вот этот - дольше всех.

И как это поможет, если нужно исключить что-то типа
C:\documents and settings\**\application data\microsoft\windows\themes\custom.theme
C:\documents and settings\**\мои документы\cpupview.ini
C:\documents and settings\**\ntuser.dat
C:\documents and settings\**\ntuser.dat.log
C:\users\nizameeva.r.\mappdata\local\temp\**\Storage*
C:\windows\system32\spool\printers\*.spl

Ну и т.п., примеров на форуме много...

[Borka]

как вам такое предложение?

Был преложен самый простой вариант - вывод статистики: вот этот файл проверяется чаще всех, а вот этот - дольше всех.

И как это поможет, если нужно исключить что-то типа
C:\documents and settings\**\application data\microsoft\windows\themes\custom.theme
C:\documents and settings\**\мои документы\cpupview.ini
C:\documents and settings\**\ntuser.dat
C:\documents and settings\**\ntuser.dat.log
C:\users\nizameeva.r.\mappdata\local\temp\**\Storage*
C:\windows\system32\spool\printers\*.spl
Ну и т.п., примеров на форуме много...

Ну, мы же не увидим в логе никаких "*" и "**", мы увидим конкретные файлы, которые и надо будет исключить. А оптимизировать исключения это уже другая задача.

[VVS]

как вам такое предложение?

Был преложен самый простой вариант - вывод статистики: вот этот файл проверяется чаще всех, а вот этот - дольше всех.

И как это поможет, если нужно исключить что-то типа
C:\documents and settings\**\application data\microsoft\windows\themes\custom.theme
C:\documents and settings\**\мои документы\cpupview.ini
C:\documents and settings\**\ntuser.dat
C:\documents and settings\**\ntuser.dat.log
C:\users\nizameeva.r.\mappdata\local\temp\**\Storage*
C:\windows\system32\spool\printers\*.spl
Ну и т.п., примеров на форуме много...

Ну, мы же не увидим в логе никаких "*" и "**", мы увидим конкретные файлы, которые и надо будет исключить. А оптимизировать исключения это уже другая задача.

Вот именно, что не увидишь.
А некоторые принтеры/сканеры и просто проги создают файлы со случайным или частично случайным именем в каталоге со случайным или частично случайным именем.
Причём эти имена меняются от запуска к запуску.
Ну и что тебе в такой ситуации даст эта статистика?
Я уже в той теме писАл - IMHO эта статистика будет интересна только тем, кто и без неё по логу сможет разобраться с исключениями.

Сообщение было изменено VVS: 21 Март 2012 - 17:09

[Пол Банки]

И как это поможет, если нужно исключить что-то типа
C:\documents and settings\**\application data\microsoft\windows\themes\custom.theme
C:\documents and settings\**\мои документы\cpupview.ini
C:\documents and settings\**\ntuser.dat
C:\documents and settings\**\ntuser.dat.log
C:\users\nizameeva.r.\mappdata\local\temp\**\Storage*
C:\windows\system32\spool\printers\*.spl

так вот вам и был задан вопрос: можете ли вы глядя на свой список исключений формализовать алгоритм подсказки одного из трех пунктов?
http://forum.drweb.com/index.php?showtopic=296975&view=findpost&p=576084

[Borka]

как вам такое предложение?

Был преложен самый простой вариант - вывод статистики: вот этот файл проверяется чаще всех, а вот этот - дольше всех.

И как это поможет, если нужно исключить что-то типа
C:\documents and settings\**\application data\microsoft\windows\themes\custom.theme
C:\documents and settings\**\мои документы\cpupview.ini
C:\documents and settings\**\ntuser.dat
C:\documents and settings\**\ntuser.dat.log
C:\users\nizameeva.r.\mappdata\local\temp\**\Storage*
C:\windows\system32\spool\printers\*.spl
Ну и т.п., примеров на форуме много...

Ну, мы же не увидим в логе никаких "*" и "**", мы увидим конкретные файлы, которые и надо будет исключить. А оптимизировать исключения это уже другая задача.

Вот именно, что не увидишь.
А некоторые принтеры/сканеры и просто проги создают файлы со случайным или частично случайным именем в каталоге со случайным или частично случайным именем.
Причём эти имена меняются от запуска к запуску.
Ну и что тебе в такой ситуации даст эта статистика?
Я уже в той теме писАл - IMHO эта статистика будет интересна только тем, кто и без неё по логу сможет разобраться с исключениями.

То есть как это? Я таки увижу стопицот проверок
C:\documents and settings\borka\application data\microsoft\windows\themes\custom.theme
и
C:\documents and settings\borka\мои документы\cpupview.ini
равно как и twain.log в системном темпе.
ntuser.dat и так можно не трогать - винда к нему доступ не дасть.
Насчет storage* - это не проверка md-файла от 1с ли?
Насчет спулера - сходу не скажу, нужно посмотреть логи.
В итоге - для половины примеров создание эксклудов упрощается. Даже если для трети файлов, то уже хорошо.
И да - лично я заморачиваться с масками не стал бы вообще. Есть путь - есть экскуд.

[VVS]

Ну, мы же не увидим в логе никаких "*" и "**", мы увидим конкретные файлы, которые и надо будет исключить. А оптимизировать исключения это уже другая задача.

Вот именно, что не увидишь.
А некоторые принтеры/сканеры и просто проги создают файлы со случайным или частично случайным именем в каталоге со случайным или частично случайным именем.
Причём эти имена меняются от запуска к запуску.
Ну и что тебе в такой ситуации даст эта статистика?
Я уже в той теме писАл - IMHO эта статистика будет интересна только тем, кто и без неё по логу сможет разобраться с исключениями.

То есть как это? Я таки увижу стопицот проверок
C:\documents and settings\borka\application data\microsoft\windows\themes\custom.theme
и
C:\documents and settings\borka\мои документы\cpupview.ini
равно как и twain.log в системном темпе.
ntuser.dat и так можно не трогать - винда к нему доступ не дасть.
Насчет storage* - это не проверка md-файла от 1с ли?

Вроде да.

Насчет спулера - сходу не скажу, нужно посмотреть логи.
В итоге - для половины примеров создание эксклудов упрощается. Даже если для трети файлов, то уже хорошо.
И да - лично я заморачиваться с масками не стал бы вообще. Есть путь - есть экскуд.

Я ж говорю - при каждом запуске прога создаёт файлы с разными именами в каталогах, которые тоже имеют разные имена.
И при каждом запуске такой проги эти файлы проверяются по 100500 раз.
Плюс к этому - на одном компе может быть несколько юзеров.
Плюс к этому - это может быть ES, в котором нужно задать исключения так, чтобы они работали для всех компов в сети (например, для 10 бухов, у которых у всех установлена 1С).
.........

[Borka]

Ну, мы же не увидим в логе никаких "*" и "**", мы увидим конкретные файлы, которые и надо будет исключить. А оптимизировать исключения это уже другая задача.

Вот именно, что не увидишь.
А некоторые принтеры/сканеры и просто проги создают файлы со случайным или частично случайным именем в каталоге со случайным или частично случайным именем.
Причём эти имена меняются от запуска к запуску.
Ну и что тебе в такой ситуации даст эта статистика?
Я уже в той теме писАл - IMHO эта статистика будет интересна только тем, кто и без неё по логу сможет разобраться с исключениями.

То есть как это? Я таки увижу стопицот проверок
C:\documents and settings\borka\application data\microsoft\windows\themes\custom.theme
и
C:\documents and settings\borka\мои документы\cpupview.ini
равно как и twain.log в системном темпе.
ntuser.dat и так можно не трогать - винда к нему доступ не дасть.
Насчет storage* - это не проверка md-файла от 1с ли?

Вроде да.

Тогда я, наверное, что-то пропустил. Исключение содержимого архивов/контейнеров по маске не было. В эксклуды ставится *.md, что решает проблему его местонахождения.

Насчет спулера - сходу не скажу, нужно посмотреть логи.
В итоге - для половины примеров создание эксклудов упрощается. Даже если для трети файлов, то уже хорошо.
И да - лично я заморачиваться с масками не стал бы вообще. Есть путь - есть экскуд.

Я ж говорю - при каждом запуске прога создаёт файлы с разными именами в каталогах, которые тоже имеют разные имена.
И при каждом запуске такой проги эти файлы проверяются по 100500 раз.
Плюс к этому - на одном компе может быть несколько юзеров.
Плюс к этому - это может быть ES, в котором нужно задать исключения так, чтобы они работали для всех компов в сети (например, для 10 бухов, у которых у всех установлена 1С).
.........

Энтерпрайз мы и не рассматриваем как бы. Если же "продвинуть" эвристик механизма статистики, то можно заставить его выводить и в виде готовой маски. Ну а уж если я пришел на комп, то я найду, как и что исключить.

[Silver_klop]

Вот именно, что не увидишь.
А некоторые принтеры/сканеры и просто проги создают файлы со случайным или частично случайным именем в каталоге со случайным или частично случайным именем.
Причём эти имена меняются от запуска к запуску.
Ну и что тебе в такой ситуации даст эта статистика?
Я уже в той теме писАл - IMHO эта статистика будет интересна только тем, кто и без неё по логу сможет разобраться с исключениями.

flood mode on
Ваша позиция понятна.. и я трактую ее так: "Это же надо делать.. Да и никому оно не нужно.. еще и голову ломать, как это делать.. ведь есть же сборщик логов.. и так устали пока его создавали.. Работает оно как-то.. ну и пускай себе работает.. ведь ничего не делать это же так просто.."
flood mode off

По существу: сейчас действительно есть сборщик логов, но разбираться в этих логах без пол литры никак нельзя.
кому будет интересна данная информация доподлинно не известно (возможно только тому типу людей о которых вы упомянули. а возможно и не только им..).
на форуме часто предлагается куча интересных/толковых и не очень идей.. но очень малое их количество (если не 1 из 1 000 000) воплощаются в продукте.. а по факту мы имеем AS-IS, что по нормальному звучит: "как получилось, таким и пользуйтесь.."

Сообщение было изменено Silver_klop: 21 Март 2012 - 20:34