информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Блокировка российских аккаунтов... 
 Отзыв сертификатов ЦБ РФ, ПСБ,... 
 Памятка мирным людям во время информационной... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Я же не говорю, что "умение лечить" (особенно в случае секретарш с одминскими правами) не нужно - всего лишь утверждается его архитектурная независимость по отношению к функции обнаружения и, зачастую, отсутствие необходимости в данном функционале 08.01.09 22:55  Число просмотров: 3906
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 09.01.09 00:17  Количество правок: 5
<"чистая" ссылка>
> > ИМХО основная функция AV - предотвращение заражения ИС,
> > причём будет он это делать - сигнатурами, эвристикой,
> > череззаяйца - никого волновать не должно, тут важен
> > результат.
> Никакая технология не даёт 100% гарантии противодействия.
+100, а вот в обсуждаемых результатах - 100%. Уже одно это свидетельствует о том, что методика-таки оторвана от реальности

> Но если после обнаружения активного вируса (путём
> обновления сигнатур, к примеру), не получается у антивируса
> пролечить хост -- грош ему цена.
хе-хе, не составляет труда набыдлокодить расползуху, которая будет, скажем, пририсовывать к попавшимся jpg водяной знак в виде разноцветной %опы случайного размера. Всем лекарям такой заразы - грош-цена, тут возможно только исключить попадание хрени в ИС, либо максимально локализовать эпидемию путём блокировки размножения.
> > А к умению хорошо лечить последствия она совершенно ортогональна
> Да-да, пусть АВ "ортогонально" плохо лечит -- были
> преценденты, когда умирали системные файлы венды в
> результате кривого лечения и проч. эффекты, вплоть до
> невозможности загрузки машины ;-)
subj. AV логически делится на "подсистемы обнаружения" (тут сигнатуры+эвристика, может использоваться и в сканере и в мониторе) и "подсистемы реагирования на вирус" (тут блокировка доступа и дальнейшие действия: удаление вируса из объекта или удаление объекта). И если у нас есть чистый таз, то поставив AV с высоким показателем обнаружения и включив в реагировании только блокировку доступа, можно быть с точностью до показателя обнаружения уверенным в здоровье хоста.
Для лечения уже зараженного хоста нужна некая "подсистема лечения", которая в общем случае ортогональна первым двум (другие сигнатуры, другая подсистема реагирования), и её эффективная реализация, ИМХО, самая проблематичная, а, при наличии компетентного одмина, система является не только лишней, но и зачастую приносящей убыток (> вплоть до невозможности загрузки машины). И в случае высоких рисков, связанных с потерей данных, "нельзя поручать машине то, что может сделать человек" (цэ, тока наоборот). В случае же домашнего компьютера \ сети малого офиса функция лечения просто необходима, потому в большинстве small business-oriented продуктах она и есть :)
В более-менее адекватных информационных средах разделение прав и грамотная настройка ОС блокирует по крайней мере руткиты, + "подсистема реагирования" бьёт заразу на подлёте, а если зараза-таки прорвалась - админ без премии и в ужасе всё лечит, + если не первый раз - смена вендора AV = показатель неэффективности данного AV в данной ситуации, антиреклама, потеря части дохода производителем и прочий для него бэд.
Современные комбайны объединяют в себе все три подсистемы + маленькая тележка бонусов разной степени нужности, полезности и кривизны реализации, соответственно можно выбрать тот, который лучше всего подходит для решенияконкретнойзадачи + обеспечивает тебе маскимальное сальдо.
-----
Всё это я к чему: спор о том, у какого взрослого дорогого антивируса мощнее и краснее залупа не имеет смысла без привязки к конкретной ситуации инсталляции продукта.
Методикой оценки эффективности AV в любойданнойситуации является только прямая оценка эффективности вданнойситуации.
Все эти "общепринятые" методики типа обсуждаемой - некий тестовый случай, который может произойти только в рамках проведения тестирования и нигде и никогда больше, выводы они дают сугубо приблизительные и не позволяющие твёрдо опираться на них при реальном планировании с учётом их практически 100%ной ангажированности.
Их результаты хороши либо в случае первоначального ознакомления, либо в случае рекламы продукта заказчику\13летней девочке (тут на каждый продукт найдётся свой тест, что не может не радовать)
<beginners> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach