Перейти к содержимому


Фото
- - - - -

Вопрос про превентивную защиту Dr.Web

Автор Никитa , июн 27 2023 16:43

  • Please log in to reply
11 ответов в этой теме

#1 Никитa

Никитa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 27 Июнь 2023 - 16:43

В Превентивной защите Dr.Web есть функция блокировки низкоуровневого доступа к диску (иными словами, блокировка доступа к MBR). Когда какие-то, к примеру, MBR-киллеры пытаются уничтожить MBR, Dr.Web блокирует эту операцию, но при этом не перемещает саму потенциально вредоносную программу в карантин как какой-нибудь "DPH:Trojan.KillMBR". Почему? 


Сообщение было изменено Никитa: 27 Июнь 2023 - 16:44

#2 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 686 Сообщений:

Отправлено 27 Июнь 2023 - 17:29

Потому что задача превентивной защиты - разрешить/запретить/спросить (в зависимости от настроек), а не заниматься детектом.


#3 Никитa

Никитa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 27 Июнь 2023 - 19:17

Потому что задача превентивной защиты - разрешить/запретить/спросить (в зависимости от настроек), а не заниматься детектом.

В таком случае, почему при попытке неизвестных вредоносных приложений изменить целостность других приложений эта операция не просто блокируется, а сама программа, пытавшаяся это сделать, помещается в карантин? Ведь "Целостность запущенных приложений" тоже находится в Превентивной защите (а если быть точнее, то в "Поведенченском анализе"). Как мне кажется, если бы Dr.Web детектировал проактивно такие MBR-киллеры, то было бы очень неплохо.


#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 686 Сообщений:

Отправлено 27 Июнь 2023 - 19:53

Если приложение детектится (антивирусным движком, а не превентивной защитой) как вредоносное - оно отправляется в карантин. Если детекта нет - то действие разрешается/запрещается/спрашивается, и всё.


#5 maxic

maxic

    Keep yourself alive

  • Moderators
  • 13 121 Сообщений:

Отправлено 27 Июнь 2023 - 21:31

Потому что задача превентивной защиты - разрешить/запретить/спросить (в зависимости от настроек), а не заниматься детектом.

Есть детекты и карантин именно превентивкой. И давно.


#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 615 Сообщений:

Отправлено 28 Июнь 2023 - 12:52

В Превентивной защите Dr.Web есть функция блокировки низкоуровневого доступа к диску (иными словами, блокировка доступа к MBR). Когда какие-то, к примеру, MBR-киллеры пытаются уничтожить MBR, Dr.Web блокирует эту операцию, но при этом не перемещает саму потенциально вредоносную программу в карантин как какой-нибудь "DPH:Trojan.KillMBR". Почему?

не совсем так. если пытаются писать заведо вредоносное, то инициатор отправялется в морг или убивается в зависимости от критериев. префикс детекта DDD:xxx

Сообщение было изменено Konstantin Yudin: 28 Июнь 2023 - 12:54

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 615 Сообщений:

Отправлено 28 Июнь 2023 - 12:55

превентивка состоит из тупого хипса, и поведенческого движка. первый только блокирует доступ к модификации чего то важного, второй отслеживает поведение учитывая в том числе и хипс алерты, и применяет действия в плоть до уничтожения если это поведение заведомо не легитимное.

В Превентивной защите Dr.Web есть функция блокировки низкоуровневого доступа к диску (иными словами, блокировка доступа к MBR). Когда какие-то, к примеру, MBR-киллеры пытаются уничтожить MBR, Dr.Web блокирует эту операцию, но при этом не перемещает саму потенциально вредоносную программу в карантин как какой-нибудь "DPH:Trojan.KillMBR". Почему?

не совсем так. если пытаются писать заведо вредоносное, то инициатор отправялется в морг или убивается в зависимости от критериев. префикс детекта DDD:xxx

аналогично и с реестрои и другими источниками

Сообщение было изменено Konstantin Yudin: 28 Июнь 2023 - 12:56

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 686 Сообщений:

Отправлено 28 Июнь 2023 - 23:24

префикс детекта DDD:xxx
...А в документации об этом уже есть? Еще год назад спрашивали.

https://forum.drweb.com/index.php?showtopic=335805


#9 Petrovic

Petrovic

    Member

  • Posters
  • 124 Сообщений:

Отправлено 29 Июнь 2023 - 12:14

превентивка состоит из тупого хипса

 

тупее не куда :facepalm:

семпл

hxxps://twitter.com/petrovic082/status/1674303336336576512

 

Spoiler

 

цп у инсталлера катаны аж от 27 июня прошлого года

так и не обновляют ничего


#10 Alexander007

Alexander007

    Foreign Doctor

  • Posters
  • 2 213 Сообщений:

Отправлено 29 Июнь 2023 - 12:37

Тикет этого сэмпл не попали в базу : 10874270.


Global Malware Hunting.

#11 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 686 Сообщений:

Отправлено 29 Июнь 2023 - 15:17

Alexander007, так Катана, вроде, позиционируется как несигнатурный антивирус... Ему ваши базы без надобности.


#12 Alexander007

Alexander007

    Foreign Doctor

  • Posters
  • 2 213 Сообщений:

Отправлено 29 Июнь 2023 - 15:34

Alexander007, так Катана, вроде, позиционируется как несигнатурный антивирус... Ему ваши базы без надобности.

Я, думаю Катана требует активное соединение - может быть ( идет речь о Dr.Web Cloud ) , но в облако и так не поступили :

 

msedge_3aCEnBrVrK.png ~ pixeldrain - считает белым , но не отреагировал на угрозу,  если бы среагировали как угрозу DrWeb:Heur.Ransom/MBR ( пример название угрозы) - как там разработчики назовет угрозы ( мне не известно ) .

 

И, Dr.Web Security Space - тоже не реагирует на эту угрозы.


Сообщение было изменено Alexander007: 29 Июнь 2023 - 15:36

Global Malware Hunting.

Назад к Общие вопросы
  1. Dr.Web forum
  2. Русские форумы
  3. Общие вопросы
  4. Privacy Policy
  5. Terms & Rules ·