Перейти к содержимому


Фото
- - - - -

Тестовый вирус eicar


  • Please log in to reply
55 ответов в этой теме

#21 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 12 Май 2019 - 10:38

Давайте перейдём к сути, к защите компьютера. Существует ещё одно действие с файлом - переименование файла. В текущих реалиях Windows, оно на безопасности компьютера никак не сказывается. Поэтому, на такое действие - реакции нет. Что разумно. А вот разумно ли не реагировать на создание файла мгновенно? Мне кажется, что нет.


Сообщение было изменено АВаТар: 12 Май 2019 - 10:38


#22 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 347 Сообщений:

Отправлено 12 Май 2019 - 11:22

А вот разумно ли не реагировать на создание файла мгновенно? Мне кажется, что нет.

Мгновенно — это когда файл создан, но в него ещё ничего не записано?



#23 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 12 Май 2019 - 12:01

По завершении записи в созданный файл, естественно.



#24 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 347 Сообщений:

Отправлено 12 Май 2019 - 12:47

По завершении записи в созданный файл, естественно.

И как узнать, что запись завершена? Программа, ведущая запись, может ещё долго удерживать его открытым, но ничего не писать.

#25 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 12 Май 2019 - 13:13

Просто следить за закрытием, и всё. Пока файл не закрыт, это всё равно (почти), что его нет. Далее, мои познания в области работы Windows с различными ФС, заканчиваются. Возможно, каких-то нюансов я не знаю. Но почему бы вам не объяснить, почему предлагаемой проверки не было сделано?



#26 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 347 Сообщений:

Отправлено 12 Май 2019 - 13:32

Пока файл не закрыт, это всё равно (почти), что его нет.

Как же нет, его уже можно выполнить. (Кажется, в винде ведь тоже так? Я в ней не силён.)



#27 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 661 Сообщений:

Отправлено 12 Май 2019 - 14:11

А вот разумно ли не реагировать на создание файла мгновенно? Мне кажется, что нет.
Раньше, несколько лет назад, DrWeb реагировал мгновенно и в результате получали жуткие тормоза, например при проверке файла twain.log при сканировании.

#28 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 12 Май 2019 - 14:36

Dmitry Mikhirev, На выполнении же стоит проверка?... Ну, тут он и будет проверен!

AndreyKa, twain.log образуется постоянным (пере)открытием-закрытием с добавлением порции данных в конец файла? Как-то дубово сделано, ведь можно было бы вместо всего этого вызывать "сброс данных на носитель" (хотя, зачем?). Ну да ладно, такой случай действительно создаёт серьёзные тормоза... В таком случае, что нам остаётся, какие варианты? Либо в Исключения, либо проверка через некоторый эмпирический таймаут. Что, видимо, и сделано.



#29 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 347 Сообщений:

Отправлено 12 Май 2019 - 16:20

На выполнении же стоит проверка?... Ну, тут он и будет проверен!

Ну вот, теперь можно вернуться к вопросу

разумно ли не реагировать на создание файла мгновенно?


#30 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 12 Май 2019 - 16:49

Возврат к этой точке разговора высвечивает один возможный сценарий. Файл со своим содержимым создаётся на некотором носителе, и тут же этот носитель извлекается, либо отсоединяется от системы. Тогда он останется непроверенным, и его могут запустить там, где нет антивируса. Видимо, это и есть то самое искусство компромисса (о котором так долго говорили разработчики)...

Ладно, если других вариантов культурного выхода из этой ситуации нет, я тоже склоняюсь к компромиссу.



#31 SergSG

SergSG

    The Master

  • Posters
  • 12 073 Сообщений:

Отправлено 12 Май 2019 - 20:31

Возврат к этой точке разговора высвечивает один возможный сценарий. Файл со своим содержимым создаётся на некотором носителе, и тут же этот носитель извлекается, либо отсоединяется от системы. Тогда он останется непроверенным, и его могут запустить там, где нет антивируса. Видимо, это и есть то самое искусство компромисса (о котором так долго говорили разработчики)...

Ладно, если других вариантов культурного выхода из этой ситуации нет, я тоже склоняюсь к компромиссу.

Когда файл создается, он пустой и в нем нечего проверять. К тому же он может быть создан с монопольным доступом и пока он не будет закрыт к нему не будет доступа. Отслеживать запись в файл тоже фигня, т.к. писаться может кусочками вплоть до одного байта. Остается только проверять после закрытия, как и делалось с twain.log.

 

Если вернуться к сабжу, тестовый файл должен иметь расширение exe или com и должен быть запущен на выполнение. В качестве бонуса еще на копирование может срабатывать. Реагировать на txt файл он как бы совсем не обязан.

 

Да и вообще, по большому счету, eicar - это фикция, оставшаяся со времен доса.



#32 pig

pig

    Бредогенератор

  • Helpers
  • 10 650 Сообщений:

Отправлено 12 Май 2019 - 20:39

тестовый файл должен иметь расширение exe или com и должен быть запущен на выполнение.

Функция CreateProcess на расширение чихала с высокой колокольни.
Почтовый сервер Eserv тоже работает с Dr.Web

#33 SergSG

SergSG

    The Master

  • Posters
  • 12 073 Сообщений:

Отправлено 12 Май 2019 - 20:43

 

тестовый файл должен иметь расширение exe или com и должен быть запущен на выполнение.

Функция CreateProcess на расширение чихала с высокой колокольни.

 

Да на него вообще все чихали. Но по спецификации это один из признаков тестового вируса.



#34 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 754 Сообщений:

Отправлено 13 Май 2019 - 06:26

Когда файл создается, он пустой и в нем нечего проверять. К тому же он может быть создан с монопольным доступом и пока он не будет закрыт к нему не будет доступа. Отслеживать запись в файл тоже фигня, т.к. писаться может кусочками вплоть до одного байта. Остается только проверять после закрытия, как и делалось с twain.log.

Эта мысль (проверять после закрытия) уже была сказана ранее.

И как узнать, что запись завершена? Программа, ведущая запись, может ещё долго удерживать его открытым, но ничего не писать.

Просто следить за закрытием, и всё.

Про twain.log было сказано ещё больше. Видимо, вы как-то пропустили. Было высказано предположение, что дикие тормоза с этим файлом были вызваны множественными действиями программы в цикле: открыть - идти_в_конец - писать_кусок_данных[маленький] - закрыть. Как такой случай обрабатывать? По моему, только эмпирически.



#35 SergSG

SergSG

    The Master

  • Posters
  • 12 073 Сообщений:

Отправлено 13 Май 2019 - 17:54

 

Просто следить за закрытием, и всё.

Про twain.log было сказано ещё больше. Видимо, вы как-то пропустили. Было высказано предположение, что дикие тормоза с этим файлом были вызваны множественными действиями программы в цикле: открыть - идти_в_конец - писать_кусок_данных[маленький] - закрыть. Как такой случай обрабатывать? По моему, только эмпирически.

Зачем каждый раз закрывать файл - непонятно. Тем более, файл, как таковой никак не закрывается, просто винда сбрасывает Handle.



#36 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 946 Сообщений:

Отправлено 14 Май 2019 - 15:57

Просто следить за закрытием, и всё.

Про twain.log было сказано ещё больше. Видимо, вы как-то пропустили. Было высказано предположение, что дикие тормоза с этим файлом были вызваны множественными действиями программы в цикле: открыть - идти_в_конец - писать_кусок_данных[маленький] - закрыть. Как такой случай обрабатывать? По моему, только эмпирически.

Зачем каждый раз закрывать файл - непонятно. Тем более, файл, как таковой никак не закрывается, просто винда сбрасывает Handle.

С++, объекты на стеке, RAII, тупость, параноя. выбирай любой. первые три сейчас кругом, думают открытие файла это быстро и можно объекты создавать и разрушать на каждый чих. тем временем открытие это затратно и главное синхронно.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#37 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 946 Сообщений:

Отправлено 14 Май 2019 - 15:58

сохраните в блокноте с расширением com. с другим расширением ловить не будет

Ловит.
[CL,LO] C:\users\user\desktop\новый текстовый документ.txt - infected with EICAR Test File (NOT a Virus!)
[CL,LO] C:\users\user\desktop\новый текстовый документ.txt - incurable, quarantined (68B 3857/0ms) [C:\windows\system32\notepad.exe:4240:64]

да, ловит.
но у меня не сразу, 10 сек примерно, видимо от размера очереди на проверку зависит.

Не совсем верно, просто он проверяется с низким приоритетом, т.к. его никто не отрывает/не запускает.
Вот, там выше так и написано LO - LOw

все так. это реализовано в 2010 году еще.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#38 SergSG

SergSG

    The Master

  • Posters
  • 12 073 Сообщений:

Отправлено 14 Май 2019 - 19:50

 

 

Про twain.log было сказано ещё больше. Видимо, вы как-то пропустили. Было высказано предположение, что дикие тормоза с этим файлом были вызваны множественными действиями программы в цикле: открыть - идти_в_конец - писать_кусок_данных[маленький] - закрыть. Как такой случай обрабатывать? По моему, только эмпирически.

Зачем каждый раз закрывать файл - непонятно. Тем более, файл, как таковой никак не закрывается, просто винда сбрасывает Handle.

 

С++, объекты на стеке, RAII, тупость, параноя. выбирай любой. первые три сейчас кругом, думают открытие файла это быстро и можно объекты создавать и разрушать на каждый чих. тем временем открытие это затратно и главное синхронно.

И долго. Закрытие еще куда не шло, а открытие вообще.

Может и паранойя, но скорее просто глупость - типа, привыкли писать как попало, ПК нонче мощные, справятся.



#39 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 240 Сообщений:

Отправлено 14 Май 2019 - 20:10

Возврат к этой точке разговора высвечивает один возможный сценарий. Файл со своим содержимым создаётся на некотором носителе, и тут же этот носитель извлекается, либо отсоединяется от системы. Тогда он останется непроверенным, и его могут запустить там, где нет антивируса. Видимо, это и есть то самое искусство компромисса (о котором так долго говорили разработчики)...
Ладно, если других вариантов культурного выхода из этой ситуации нет, я тоже склоняюсь к компромиссу.

Можно не торопиться извлекать, у меня получилось проработать весь день и файл оставался незамеченным.
Версия Сервера Dr.Web 12.00.0 (07-08-2019 05:00:00)
Linux 4.14.119-200.el7.x86_64 x86_64; ; glibc 2.17

#40 SergSG

SergSG

    The Master

  • Posters
  • 12 073 Сообщений:

Отправлено 14 Май 2019 - 20:13

 

Возврат к этой точке разговора высвечивает один возможный сценарий. Файл со своим содержимым создаётся на некотором носителе, и тут же этот носитель извлекается, либо отсоединяется от системы. Тогда он останется непроверенным, и его могут запустить там, где нет антивируса. Видимо, это и есть то самое искусство компромисса (о котором так долго говорили разработчики)...
Ладно, если других вариантов культурного выхода из этой ситуации нет, я тоже склоняюсь к компромиссу.

Можно не торопиться извлекать, у меня получилось проработать весь день и файл оставался незамеченным.

Он com-exe? Фоновая проверка (на руткиты) включена.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых