Перейти к содержимому


Фото
- - - - -

Мониторинг активности в доктор вебе


  • Please log in to reply
95 ответов в этой теме

#1 Anmawe

Anmawe

    Member

  • Posters
  • 115 Сообщений:

Отправлено 18 Март 2015 - 23:00

В Касперском есть мониторинг активности , который по заявлению ЛК умеет обнаруживать процесс шифрования, завершать работу шифровальщика после того, как он зашифровал всего лишь 3-5 файлов, и восстанавливать файлы из резервной копии. До того, как файл зашифрован, создается резервная копия файла.

 

Хорошо бы добавить в Доктор веб Мониторинг активности (или что-то максимально похожее, с откатом действий вредоносной программы) . Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам. 

 

Предполагается ли появление такого компонента в докторе ? 



#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 699 Сообщений:

Отправлено 18 Март 2015 - 23:05

мониторинг активности у нас уже две версии существует. у нас детект на 6-10 файле.
в чем вопрос то? вы компетентны в функционале ЛК, чтобы можно по обсуждать тему предметно?

Сообщение было изменено Konstantin Yudin: 19 Март 2015 - 10:37

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 VVS

VVS

    The Master

  • Moderators
  • 17 185 Сообщений:

Отправлено 18 Март 2015 - 23:20

В Касперском есть мониторинг активности , который по заявлению ЛК умеет обнаруживать процесс шифрования, завершать работу шифровальщика после того, как он зашифровал всего лишь 3-5 файлов, и восстанавливать файлы из резервной копии. До того, как файл зашифрован, создается резервная копия файла.

 

Хорошо бы добавить в Доктор веб Мониторинг активности (или что-то максимально похожее, с откатом действий вредоносной программы) . Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам. 

Хорошо бы хоть немного ознакомиться с функционалом DrWeb, чтобы не предлагать реализовать то, что было реализовано ещё в прошлой версии. :ph34r:


Сообщение было изменено VVS: 18 Март 2015 - 23:20

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 VVS

VVS

    The Master

  • Moderators
  • 17 185 Сообщений:

Отправлено 18 Март 2015 - 23:21

в чем вопрос то? вы компетентны в функционале ЛК, чтобы можно по обсуждать тему предметно?

Надеюсь, что более компетентен, чем в том, что касается функционала DrWeb. :facepalm:


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#5 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 560 Сообщений:

Отправлено 19 Март 2015 - 00:37

Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам.


А в огороде бузина... (с)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 Anmawe

Anmawe

    Member

  • Posters
  • 115 Сообщений:

Отправлено 02 Апрель 2015 - 15:58

у нас детект на 6-10 файле.

 

На вашем сайте и форуме не нашел подробное описание вашего мониторинга активности, делается ли откат.

 

http://products.drweb.ru/technologies/preventive_protection/ -  здесь про откат не написано.

 

1. Когда у доктор веба детект наступает на 6-10 файле, эти зашифрованные файлы так и останутся зашифрованными, или нет ? Восстановить эти файлы надо из защищаемых резервных копий, если была включена защита от потери данных? Я правильно понял?

 

На сайте ЛК написано 

 

 можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

 

Умеет ли ли антивирус Доктор веб делать вышенаписанное ?


Сообщение было изменено Anmawe: 02 Апрель 2015 - 15:59


#7 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 02 Апрель 2015 - 16:27

1. Правильно

2. Не умеет и считает не нужным.


Сообщение было изменено HHH: 02 Апрель 2015 - 16:28


#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 02 Апрель 2015 - 16:34

Кстати реестр :ph34r: ,можно ассоциации сменить.

А ну да, КЮ все равно похерит реализацию.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 provayder

provayder

    Poster

  • Posters
  • 1 604 Сообщений:

Отправлено 02 Апрель 2015 - 16:59

можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

сам проверял этот механизм, работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны



#10 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 560 Сообщений:

Отправлено 02 Апрель 2015 - 17:07

2. Не умеет и считает не нужным.

Кто здесь?  :ph34r:


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 SergSG

SergSG

    The Master

  • Posters
  • 11 693 Сообщений:

Отправлено 02 Апрель 2015 - 17:52

 

2. Не умеет и считает не нужным.

Кто здесь?  :ph34r:

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?



#12 VVS

VVS

    The Master

  • Moderators
  • 17 185 Сообщений:

Отправлено 02 Апрель 2015 - 18:10

 

 

2. Не умеет и считает не нужным.

Кто здесь?  :ph34r:

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?

 

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым. :(


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 SergSG

SergSG

    The Master

  • Posters
  • 11 693 Сообщений:

Отправлено 02 Апрель 2015 - 18:21

 

 

 

2. Не умеет и считает не нужным.

Кто здесь?  :ph34r:

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?

 

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым. :(

 

Ну, на небольшие файлики еще можно копии делать, а вот на крупняк - врядли.



#14 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 829 Сообщений:

Отправлено 02 Апрель 2015 - 20:31

А можно научить превентивку блокировать удаление теневых копий?



#15 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 02 Апрель 2015 - 20:36

А можно научить превентивку блокировать удаление теневых копий?

 

можно, но через лет 5

А всего-то ключ реестра для начала.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#16 ShadowHat

ShadowHat

    Member

  • Posters
  • 286 Сообщений:

Отправлено 02 Апрель 2015 - 22:33

можно, но через лет 5

А всего-то ключ реестра для начала.

 

Хорошо, что не правкой .ini-файла :ph34r:



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 699 Сообщений:

Отправлено 03 Апрель 2015 - 00:24

2. Не умеет и считает не нужным.

Кто здесь?  :ph34r:

А что, умеет? Явно заявлений об этом нигде не встречал.
Хотя, было бы логично, но вот насколько реализуемо?

Роман намекает на второй пункт.

А можно научить превентивку блокировать удаление теневых копий?

как это соотносится с защитой системы?

Кстати реестр :ph34r: ,можно ассоциации сменить.
А ну да, КЮ все равно похерит реализацию.

чего? я тебя иногда вообще не понимаю. иногда получается... но чаще первое.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 699 Сообщений:

Отправлено 03 Апрель 2015 - 00:25

можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

сам проверял этот механизм, работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

в 100% откат не возможен. такова архитектура ОС. там столько подводных камней, особенно с отложенной записью секций.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#19 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 699 Сообщений:

Отправлено 03 Апрель 2015 - 00:27

>можно запросто восстановить систему до её оригинального, незараженного состояния

да да да, бредни маркетологов. у них все просто и запросто. иди сначала контекст сопоставь с процессом, когда часть операций делается отложенно из ядра от лица системы...

Сообщение было изменено Konstantin Yudin: 03 Апрель 2015 - 00:27

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#20 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 829 Сообщений:

Отправлено 03 Апрель 2015 - 08:38

А можно научить превентивку блокировать удаление теневых копий?

как это соотносится с защитой системы?

Шифровальщики давно уже выполняют vssadmin delete shadows до/после шифрования. Тогда возможно восстановление файлов из подходящей теневой копии. Ну а защита превентивки в том, чтобы пресечь удаление копий.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых