Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Полностью согласен 23.12.02 13:23 Число просмотров: 1987
Автор: amirul <Serge> Статус: The Elderman
|
Тоже работаю без монитора.
И довольно немногие вирусы и трояны из тех кого я знаю могут работать не вызывая у меня подозрений.
Кроме всего прочего я периодически бываю в SoftIce, который не пользуется NtQuerySystemInformation-ом, и отличия в его видении процессов по proc и видении таскманагера бросаются в глаза. Хотя ни разу и не попадалось :-), но думаю бросились бы :-)
Ко всему прочему, я довольно долго занимаюсь компами и примерно (только примерно, потому как и на старуху бывает проруха) знаю как распространяются вирусы. И пока что работаю надежнее монитора. :-)
Я некоторое время работал с кейлоггерами и другими троянами и понял, что монитор (да и сканер) опаздывают примерно на неделю (а то и больше), и если они не отловили руткит на входе, то уже и не отловят (хороший руткит - плохой я и так увижу).
А окончательно подорвала мою веру в сигнатурный анализ статейка на уинц-е. Старючий нетбус преобразовался так, что продолжил запускаться, но авп с новыми базами на него начхать. Слышал, что авп такие изменения уже ловит. Но это же только идея - развивать ее можно чуть ли не до бесконечности.
Еще, реально такие анализаторы защищиют только от скрипткиддисов, а от них я и сам защищусь.
ЗЫ: Получилось несколько сумбурно, но идея понятна. Мониторы опасны хотя бы тем, что дают иллюзию защищенности, не давая реальной защищенности. Возвращаясь к сексу с презервативом. Если не предохраняться, то, образно говоря, сначала подумаешь, потом потребуешь справку из вендиспансера, потом еще раз подумаешь, а потом откажешься. А если считаешь, что защищен, то подхватишь или бытовой сифилис, или трихомоноз, или в самый неподходящий момент защита сломается, или тебя заразят специально для тебя разработанным вирусом, которому на такие способы предохранения начхать :-)
|
<miscellaneous>
|
2 HandleX 21.12.02 12:10
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
|
И неужели Ты не боишься подцепить вирус?
(Это следует из Твоих рассуждений в топике про Бат. Там Ты явно охаял все ав-мониторы.)
Или тебе инфы на компе не жалко?
А если юзерь без ведома твоего запустит "гадость"?
Востанновить можно, но лучше предупредить ситуацию.
|
|
Добавлю крылатой фразой 23.12.02 17:10
Автор: Step <Step Alex> Статус: Member
|
Любой АВ монитор - это нервы каждый день
Любой вирус - это адреналин раз в пол-года :-)
|
|
Ну, у меня так всё складывается… 22.12.02 20:57
Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 22.12.02 21:12 Количество правок: 1
|
> И неужели Ты не боишься подцепить вирус? Боюсь.
> (Это следует из Твоих рассуждений в топике про Бат. Там Ты > явно охаял все ав-мониторы.) Охаял. Может это дело привычки. Я без них работаю, привык к ТАКОЙ скорости работе компа. Если ставлю ав-монитор, то ячувствуюпадение скорости. Я ведь секс с презервативом не просто так привёл для сравнения ;-) Там ведь тоже самое.
> Или тебе инфы на компе не жалко? Жалко. Но, наверное дома ценность моей инфы не такая, чтобы ставить монитор. А на работе... Да гори оно там всё огнём! ;-)))))))
> А если юзерь без ведома твоего запустит "гадость"? > Востанновить можно, но лучше предупредить ситуацию. Я давно не даю лазить на машине чужим под админом. Это пока спасает. Мне сейчас 27 лет, 10 лет я работаю c ВТ. Я чувствую на машине вирусную активность, пусть это и звучит немного сверхестественно ;-)
|
| |
Полностью согласен 23.12.02 13:23
Автор: amirul <Serge> Статус: The Elderman
|
Тоже работаю без монитора.
И довольно немногие вирусы и трояны из тех кого я знаю могут работать не вызывая у меня подозрений.
Кроме всего прочего я периодически бываю в SoftIce, который не пользуется NtQuerySystemInformation-ом, и отличия в его видении процессов по proc и видении таскманагера бросаются в глаза. Хотя ни разу и не попадалось :-), но думаю бросились бы :-)
Ко всему прочему, я довольно долго занимаюсь компами и примерно (только примерно, потому как и на старуху бывает проруха) знаю как распространяются вирусы. И пока что работаю надежнее монитора. :-)
Я некоторое время работал с кейлоггерами и другими троянами и понял, что монитор (да и сканер) опаздывают примерно на неделю (а то и больше), и если они не отловили руткит на входе, то уже и не отловят (хороший руткит - плохой я и так увижу).
А окончательно подорвала мою веру в сигнатурный анализ статейка на уинц-е. Старючий нетбус преобразовался так, что продолжил запускаться, но авп с новыми базами на него начхать. Слышал, что авп такие изменения уже ловит. Но это же только идея - развивать ее можно чуть ли не до бесконечности.
Еще, реально такие анализаторы защищиют только от скрипткиддисов, а от них я и сам защищусь.
ЗЫ: Получилось несколько сумбурно, но идея понятна. Мониторы опасны хотя бы тем, что дают иллюзию защищенности, не давая реальной защищенности. Возвращаясь к сексу с презервативом. Если не предохраняться, то, образно говоря, сначала подумаешь, потом потребуешь справку из вендиспансера, потом еще раз подумаешь, а потом откажешься. А если считаешь, что защищен, то подхватишь или бытовой сифилис, или трихомоноз, или в самый неподходящий момент защита сломается, или тебя заразят специально для тебя разработанным вирусом, которому на такие способы предохранения начхать :-)
|
| | |
Полностью согласен 23.12.02 18:08
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
|
Расуждаю:
1) С АВ монитором Вы не уверены что не подцепите вирус более нового поколения.
но "с легкостью отрежете все остальные". И мешать работе они Вам не будут.
Почти все вирусы отсылающие Ваши данные по байтику в период подключения к и-нет тоже будут подавлены.
2) Без АВ монитора Вы вообще "беззащитны" и любой вирус сможет подхватить Вас.
Я не уверен, что вирусы нового поколения пишутся "корявыми программистами" и что эти вирусы как-то себя явно проявят(с коэффициентом поджирания памяти 0,1) во время своего "дела". И о вирусной активности Вы врядли заметите.
3) АВ монитор жрет память(особенно АВП). Что касается небезызвестного drweb'a,
который старается не жрать память, а он ее скажу Вам прямо совсем почти и не жрет. Как мне известно обрабатывает только определенные вызовы функций, что значительно снижает уровень его активности на машине. Подумаешь пару байт в невыгружаемом пуле. А для машин с оперативой больше 64Mb и хорошо настроеной ОС
на них эта пара байт - есть машинный 0. Зато выполнен пункт 1).
Сумбурно, но факт.
А сравнение с "Сексом" есть неверное с точки зрения "клиента".
Она - твой партнер. Она не заражена(это должно быть установлено). => Ты не будешь заражен как ни крути(ну можно постараться конечно, но это для уродов), но рискуешь стать папой. Так что презерватив здесь не будет в роли "АВ монитора"
а будет в роли "деструктора дочернего ядра программы"!
|
| | | |
Дело не в памяти. Дело вот в чём... 24.12.02 07:10
Автор: HandleX <Александр М.> Статус: The Elderman
|
Количество команд, которые приходится выполнять процессору при работе с файлами увеличевается раза в 1,5-2, зависит от настроек монитора. Винты и так штука не быстрая, а мы их ещё потормозим медленной работой ядра. Поэтому чувствуется, что ни говори. Ощущение вроде того, что отключили Bus mastering, и это отчасти правильное ощущение, поскольку те данные, которые раньше тупо тащились в буфер аппаратурой шины и отдавались приложению, начинают проверяться монитором с использованием CPU.
Вот такие дела.
|
| | | |
Дело привычки 23.12.02 19:25
Автор: amirul <Serge> Статус: The Elderman
|
Отсутствие монитора кроме всего прочего приучает к осторожности. От сканеров отказываться все-таки не стоит (пока) и перед запуском чего-либо в обязательном порядке проверять что.
Про новые вирусы (даже не нового поколения - никаких нововведений не требуется, нужно только чтоб он не был похож на уже известные; при этом можно сразу и посмотреть похож ли - базы общедоступны) я и не писал, что их создают корявые программисты. Просто, если уж я захочу заразить кого-нить - напишу специально для него и проверю, словит ли мой новый вирус хоть один из известных мониторов.
Про активность - как раз не имеется в виду использование памяти или количество потоков в эксплорере - я вряд ли смогу хотя бы примерно сказать сколько того или другого должно быть в здоровой системе. Но большинству вирусов необходимо запуститься хоть раз - в этом я им помогать не буду. Бровсер и мэйлер можно настроить так, чтоб и не мешали и не велись на большинство атак. А вот пользователь который кликает на все подряд в надежде, что его защитит монитор имеет гораздо больше шансов подцепить заразу, чем я. Ну а если появится атака на клиента, которая сама загрузит и запустит файл, так во первых это все-таки в большинстве случаев заметно, а во вторых от нее и монитор не защитит.
|
| | | | |
Тут определенный тип атаки 24.12.02 09:52
Автор: VeloCiRaptor Статус: Незарегистрированный пользователь
|
1)
>Просто, если уж я захочу заразить кого-нить - напишу специально для него >и проверю, словит ли мой новый вирус хоть один из известных мониторов
Ты делаешь атаку типа P->P и явно собираешь инфу по типу ОС, и ПО на машине жертвы для написания вируса(К примеру,на *niх платформу виндошный вирус не позарится). Так что АВ тут не поможет уж ничем. :v)
А когда Ты не набрал врагов в и-нете, то шанс нарваться на добряка-х
очень мал. Среди узеров с твоим провайдером на серваке тучи бродят с открытыми портами и незаклепаными дырками и добрый-х не будет утруждать себя "на проход к Тебе на тачку, если рядом есть заначка!"
2) Тебе не обязательно запускать все в надежде запустить вирус. И не обязательно ждать доброго атаккера. К примеру 2 месяца назад я очень хорошо подорвался на сайте lola.ru, где добрый ActiveX мне обработал реестр, засунул двоих троянцов и изуродовал эксплорер до неузнаваемости. АВП только хрюкнул.
3) Можно атаковать и без ActiveX. На хтмл-страничке в меты прописывают новый фонт, и как ни странно этот фонт усеру на машину пропишется и встанет. Чувствуешь? Там и вирус может быть.
И каково будет Тебе если Ты уже обнаружил вирусную активность?
Мало того что неприятно, так virus и убивать еще надо. Зачем лишний раз убивать стариков-вирусов, если монитор их просто блокирует и закрывает к ним доступ(про новые вирусы я ничего не говорю!).
|
| | | | | |
В принципе согласен, но 24.12.02 15:00
Автор: amirul <Serge> Статус: The Elderman
|
Это просто два разных подхода. Можно блокировать старые malware мониторами, а можно читать секьюрити рассылки (хотя бы ту же rsn). У последнего подхода, кстати, есть один большой плюс: не так часто появляются принципиально новые классы атак. И если я знаю, что ActiveX опасен, а Java в принципе не очень, то я и настрою все соответствующим образом (по крайней мере перед посещением warez и adult сайтов). Если я знаю что под админом ходить в нет вредно - я создам рестриктед юзера и т.д.. Ну вообще-то я этого не делаю: во-первых лень, во-вторых на основании трезвой оценки риска и возможных потерь. Кроме того не стоит пользоваться mainstream-овыми клиентами (если уж на то пошло и ОС-ями тоже :-) ). Если бы у того же Bat-а были бы продажи M$ OE, думаю, в нем бы тоже находили дыры и с той же регулярностью. При всей моей нелюбви к M$ и к БГ лично - программеры там не лохи, даже больше скажу они одни из лучших - но это тема отдельного разговора.
Короче, одной настройкой я могу обрубить целый класс атак (и известных эксплоитов и еще не написанных).
А в случае с АВМ: даже если он отрежет сотню известных атак на одну и ту же дыру. 101-я совсем свежая - пролезет. Если использовать эвристиков - себе дороже - будет материться на анекдоты про вовочку на максимальном уровне, и впустую жрать ресурсы (немалые) на более низком. Вот только пользователю АВМ ничего неизвестно (в общем случае, так как АВ никаких рекомендаций не дают) о том куда именно ломятся все эти вирусы. Кроме того большинство АВ блокируют не использование самой дыры, а запуск уже скачанного и готового к действию трояна на локальной машине
ЗЫ: p2p атаки имхо самые опасные. И даже не потому, что при грамотном проведении почти 100% гарантия, а потому, что если человек взялся меня ломать, то соответственно ему чего-то нужно такое, что скорее всего принесет мне финансовый ущерб (это может быть направлено как на то, чтоб у меня чего-то не было, так и на то чтоб что-то было не только у меня). А обычные черные шапки в худшем случае сопрут аську или отформатят винт - недосуг им разбираться кто именно им попался (исходя из того, что я попадусь в толпе юзверей позорных, с которых и взять то нечего)
|
|
|