Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Я же не говорю, что "умение лечить" (особенно в случае секретарш с одминскими правами) не нужно - всего лишь утверждается его архитектурная независимость по отношению к функции обнаружения и, зачастую, отсутствие необходимости в данном функционале 08.01.09 22:55 Число просмотров: 4706
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 09.01.09 00:17 Количество правок: 5
|
> > ИМХО основная функция AV - предотвращение заражения ИС,
> > причём будет он это делать - сигнатурами, эвристикой,
> > череззаяйца - никого волновать не должно, тут важен
> > результат.
> Никакая технология не даёт 100% гарантии противодействия.
+100, а вот в обсуждаемых результатах - 100%. Уже одно это свидетельствует о том, что методика-таки оторвана от реальности
> Но если после обнаружения активного вируса (путём
> обновления сигнатур, к примеру), не получается у антивируса
> пролечить хост -- грош ему цена.
хе-хе, не составляет труда набыдлокодить расползуху, которая будет, скажем, пририсовывать к попавшимся jpg водяной знак в виде разноцветной %опы случайного размера. Всем лекарям такой заразы - грош-цена, тут возможно только исключить попадание хрени в ИС, либо максимально локализовать эпидемию путём блокировки размножения.
> > А к умению хорошо лечить последствия она совершенно ортогональна
> Да-да, пусть АВ "ортогонально" плохо лечит -- были
> преценденты, когда умирали системные файлы венды в
> результате кривого лечения и проч. эффекты, вплоть до
> невозможности загрузки машины ;-)
subj. AV логически делится на "подсистемы обнаружения" (тут сигнатуры+эвристика, может использоваться и в сканере и в мониторе) и "подсистемы реагирования на вирус" (тут блокировка доступа и дальнейшие действия: удаление вируса из объекта или удаление объекта). И если у нас есть чистый таз, то поставив AV с высоким показателем обнаружения и включив в реагировании только блокировку доступа, можно быть с точностью до показателя обнаружения уверенным в здоровье хоста.
Для лечения уже зараженного хоста нужна некая "подсистема лечения", которая в общем случае ортогональна первым двум (другие сигнатуры, другая подсистема реагирования), и её эффективная реализация, ИМХО, самая проблематичная, а, при наличии компетентного одмина, система является не только лишней, но и зачастую приносящей убыток (> вплоть до невозможности загрузки машины). И в случае высоких рисков, связанных с потерей данных, "нельзя поручать машине то, что может сделать человек" (цэ, тока наоборот). В случае же домашнего компьютера \ сети малого офиса функция лечения просто необходима, потому в большинстве small business-oriented продуктах она и есть :)
В более-менее адекватных информационных средах разделение прав и грамотная настройка ОС блокирует по крайней мере руткиты, + "подсистема реагирования" бьёт заразу на подлёте, а если зараза-таки прорвалась - админ без премии и в ужасе всё лечит, + если не первый раз - смена вендора AV = показатель неэффективности данного AV в данной ситуации, антиреклама, потеря части дохода производителем и прочий для него бэд.
Современные комбайны объединяют в себе все три подсистемы + маленькая тележка бонусов разной степени нужности, полезности и кривизны реализации, соответственно можно выбрать тот, который лучше всего подходит для решенияконкретнойзадачи + обеспечивает тебе маскимальное сальдо.
-----
Всё это я к чему: спор о том, у какого взрослого дорогого антивируса мощнее и краснее залупа не имеет смысла без привязки к конкретной ситуации инсталляции продукта.
Методикой оценки эффективности AV в любойданнойситуации является только прямая оценка эффективности вданнойситуации.
Все эти "общепринятые" методики типа обсуждаемой - некий тестовый случай, который может произойти только в рамках проведения тестирования и нигде и никогда больше, выводы они дают сугубо приблизительные и не позволяющие твёрдо опираться на них при реальном планировании с учётом их практически 100%ной ангажированности.
Их результаты хороши либо в случае первоначального ознакомления, либо в случае рекламы продукта заказчику\13летней девочке (тут на каждый продукт найдётся свой тест, что не может не радовать)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
