информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыЗа кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Так все же в курсе, что антималвар на протяжении долгого времени грязно пеаред это самое УГ - зачем вводить молодёжь в заблуждение? :) 05.01.09 10:27  Число просмотров: 5820
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 05.01.09 10:30  Количество правок: 1
<"чистая" ссылка>
<beginners>
Вопрос про вирус 19.12.08 09:35  
Автор: рпав111 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Кто-нибудь слышал про вирус, который уничтожает процессы в произвольном порядке ? А в рузельтате вырубает и саму систему ?
Стоит винда SP3 с нодом.
Ита-а-а-Г... Подведём итоги? Всем низачёт, кроме одного производителя, сами разберётесь (по ссылке), кто он... :-D 04.01.09 20:13   [Ustin]
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>


Большинство антивирусов — УГ, и им пора на отдых -))
Так все же в курсе, что антималвар на протяжении долгого времени грязно пеаред это самое УГ - зачем вводить молодёжь в заблуждение? :) 05.01.09 10:27  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 05.01.09 10:30  Количество правок: 1
<"чистая" ссылка>
Там внизу комментарии людей из контор-производителей УГ, которые оказались не на первых строчках — дык они говорят о том, что тесты объективные. 05.01.09 21:45  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Результаты тестов anti-malware однозначно необъективные. 09.01.09 15:32  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 09.01.09 18:06  Количество правок: 1
<"чистая" ссылка>
Результаты тестов anti-mailware однозначно необъективные.
Заявляю это с поной уверенностью.

Многие, кто прочел методологию проведения сравнительных тестов, со мной согласятся.
Для тех, кто не согласен, могу дать развернутый комментарий.
Я с тобой согласен, но развернутый комментарий увидеть интересно 09.01.09 21:10  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Независимых тестов не бывает (это я как краевед говорю) 06.01.09 05:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А значит все тесты субъективные.
Вот к примеру тесты, в которых авира на первом месте
http://www.av-comparatives.org/seiten/ergebnisse_2008_08.php
http://www.virusbtn.com/news/2008/09_02

Видел еще несколько таких табличек и везде авира первое-второе место, в твоем же тесте у авиры всего 20%. С другой стороны можно предположить, что это тест именно лечения, а не обнаружения - здесь уже каждый решает для себя, что ему важнее: всегда быть предупрежденным и предпринимать действия самостоятельно или знать о меньшем количестве угроз, зато уметь их все полечить автоматически.
Бывает свежий вирь проскользнёт на тачку, где не часто обновляются AV сигнатуры -- и превед. И потом слабо верится, что тот, кто прекрасно лечит, сможет прохлопать вторжение виря. 06.01.09 12:52  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Не совсем понял, как связано лечение и определение по сигнатурам\эвристика :) 06.01.09 13:13  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 06.01.09 13:14  Количество правок: 1
<"чистая" ссылка>
Amirul разделяет их и говорит, что каждый может выбирать, что ему важнее -- детектировать на стадии вторжения и "не пущать", или фиг с ним, можно и пропустить, но зато потом качественно вылечить -)) 06.01.09 13:35  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 06.01.09 13:43  Количество правок: 1
<"чистая" ссылка>
Но ИМХО "хорошо детектировать, но плохо лечить" -- не дело, потому что можно заразиться и не вылечиться при простейшем сценарии -- на тачке давно не обновлялись сигнатуры, вирус проник. Тут появился тырнет, сигнатуры обновились, а вирусы нынче злобные, лезут в ядро и маскируются всяко, и приехали -- антивирь, остро заточенный на "детектирование вторжения", будет слеп и глух, так как вирь уже в ядре. К примеру. А может и орать, и возмущаться, и что-то там удалять-перемещать в карантин, и пытаться "удалить при след. перезагрузке" -- и так каждый раз после каждой перезагрузки быть бессильным против зверья -))
А в сабжевом тестировании антивири натравливали на уже заражённые хосты, и многие так не смогли победить всяких руткитов и зомби-клиентов, коих развелось немерянное количество.
Итог: плох тот антивирус, который хорошо детектирует и блокирует вирус на стадии вторжения, но плохо лечит.
У меня антивирусов вообще долгое время не стояло никаких - и ничего 06.01.09 14:38  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
В смысле проверял с новейшими базами со свежеустановленной системы все "унаследованные" файлы - заразы не было. А всего лишь и требуется запускать всякое непонятное файло только в виртуалке и желательно смотреть как после этого ведет себя виртуалка.
Сейчас антивирь стоит, но никакой проактивщины и монитора - только сканер. То есть мне от АВ нужно даже не детектирование и блокирование, а только детектирование. Лечение не нужно в любом случае. Если у кого то будет возможность протащить лично к тебе на комп вирус (ну запускаешь ты там всякие невразумительные файлы даже не попытавшись разобраться), то ни сигнатур ни алгоритмов лечения естественно не будет. Просто потому, что нормальному вирусу даже руткита не надо. Ты вот к примеру знаешь названия всех драйверов, которые нужны системе? А название всех dll-ок, хостящихся в svchost-е? А названия всех плагинов эксплорера? Есть СОТНИ мест, их которых можно преспокойно запускаться и даже не пытаться скрываться, ибо сам факт попытки сокрытия выдает тебя гораздо больше, чем факт автостарта. Если вирус будет писан лично под тебя, то естественно он не будет обнаружен даже если никаких руткитовых приемов использоваться не будет (естественно потому, что он попадет в "дикую природу" и не будет исследован специалистами АВ-компаний). Если же вирус уже в дикой природе, то лаг максимум 1-2 недели. Вот и не запускай не в виртуалке ничего, что появилось в инете раньше чем 2 недели назад при этом регулярно обновляй базы (с нынешними каналами антивирусные обновления "весят" просто до смешного мало). Сложно?

А методика тестирования у антималвара весьма смешная. Из ВСЕЙ базы вирусов (150к, ага) выбраны полтора десятка, причем выбраны совершенно волюнтаристски. При этом СОВЕРШЕННО СЛУЧАЙНО вебер умеет обнаруживать и лечить их все, а ни один из конкурентов не умеет. И это конечно же никак не связано с тем, что антималварь издавна рекламирует дрвеб - испытание то НЕЗАВИСИМОЕ, ага.
Ну, на самом деле есть механизм image signing verification 08.01.09 01:29  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 08.01.09 02:10  Количество правок: 4
<"чистая" ссылка>
> Ты вот к примеру
> знаешь названия всех драйверов, которые нужны системе? А
> название всех dll-ок, хостящихся в svchost-е? А названия
> всех плагинов эксплорера? Есть СОТНИ мест, их которых можно
> преспокойно запускаться и даже не пытаться скрываться, ибо
> сам факт попытки сокрытия выдает тебя гораздо больше, чем
> факт автостарта.
subj и программа autoruns с опцией "hide signed entries", которая чудесно показывает все сто мест, откуда идёт загрузка.
ИМХО, эта программа должна, среди прочих (procexp, RootkitRevealer, AVZ на края), использоваться при диагностике в первую очередь (хотя если друг\брат\почти жена сидит в центре сертификации, можно будет подписать вредный драйвер, но 1) будет стоить нормальных денег, т.к 2) если дело выйдет наружу, будет международный (в прямом смысле) скандал с компрометацией ЦС, и 3) задача всё равно имеет решение, более долгое, но достаточно тривиальное - сравнение полного списка драйверов на своём и априори чистом тазу).
На своей машине, где хранится очень_ценная_инфа, профилактические подозрения должны возникать периодически :) - к вопросу вируса, писанного "под тебя". А если уж совсем "правильно", то для предотвращения заражением вирусом_для_тебя, ИМХО, при среднем уровне технической грамотности достаточно придерживаться правил "антисоциальноинженерной гигиены" (aka настроить систему, не допускать врагов к компу, менять пароли и проч).

> Вот и не запускай не в виртуалке ничего, что появилось в инете раньше чем 2 недели назад при этом регулярно обновляй базы (с нынешними каналами антивирусные обновления "весят" просто до смешного мало). Сложно?
Не согласен :) У меня, например, канал 38400бит\с (номинально, а там - как сложится - в меньшую сторону) с оплатой 4.50р за метр, и даже не по причине бедности, а по причине отсутствия возможности установки альтернативы.
И в частности по этому не вижу смысла ставить себе АВ.

> А методика тестирования у антималвара весьма смешная. Из
> ВСЕЙ базы вирусов (150к, ага) выбраны полтора десятка,
> причем выбраны совершенно волюнтаристски. При этом
> СОВЕРШЕННО СЛУЧАЙНО вебер умеет обнаруживать и лечить их
> все, а ни один из конкурентов не умеет. И это конечно же
> никак не связано с тем, что антималварь издавна рекламирует
> дрвеб - испытание то НЕЗАВИСИМОЕ, ага.
Угу. Особенно веселит результат 100%, который при реальной работе системы не может получиться, потому что не может получиться никогда
Я тоже долгое время не пользовался антивирусами. Но времена меняются, и из всего зоопарка поставил самого "лёгкого", ИМХО, конечно. 07.01.09 10:45  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 07.01.09 14:10  Количество правок: 1
<"чистая" ссылка>
> А методика тестирования у антималвара весьма смешная. Из
> ВСЕЙ базы вирусов (150к, ага) выбраны полтора десятка,
> причем выбраны совершенно волюнтаристски. При этом
> СОВЕРШЕННО СЛУЧАЙНО вебер умеет обнаруживать и лечить их
> все, а ни один из конкурентов не умеет. И это конечно же
> никак не связано с тем, что антималварь издавна рекламирует
> дрвеб - испытание то НЕЗАВИСИМОЕ, ага.
1) Каждый тест у них это заранее оговоренная методика. ЗАРАНЕЕ. Включая список вирусов, которые будут использоваться в тесте. Методика долго обсуждается у них на форуме, и потом по ней производят тестирование.
2) Вирусы выбраны злобные и распространённые, то что некоторые антивирусы не умеют их лечить -- большой косяк.
3) Если некоторые производители следят за антималваром и готовятся к их тестам -- это издержки открытости методики, другие производители могут делать то же самое.
Класс! А как быть с вирусами, которые ещё не дошли до списка, из которого формируется список вирусов для тестирования?? Пыль в глаза да и только... 08.01.09 01:33  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 08.01.09 01:53  Количество правок: 2
<"чистая" ссылка>
> ЗАРАНЕЕ. Включая список вирусов, которые будут использоваться в тесте
subj.
При должном упорстве для подготовки к тестам по такой методике достаточно ОДНОГО незаурядного технаря, который кроме батников в жызни ничего не писал.
Он выдаст по одному батнику на каждый вирус (батники запускаются из-пiд WinPE для общности случая), или по скрипту для AVZ.
Да, умение лечить\противодействовать заразе (симптоматическое лечение, как гавноколдрекс, с которого 1х температура через день) - это хорошо, против ничего не имею, но это может сделать и грамотный админ\эникейщик. ИМХО основная функция AV - предотвращение заражения ИС, причём будет он это делать - сигнатурами, эвристикой, череззаяйца - никого волновать не должно, тут важен результат. А к умению хорошо лечить последствия она совершенно ортогональна
Пля... Придумай свою методологию тестирования антивирусных продуктов. И посмотрим, насколько её признают объективной -) 08.01.09 13:01  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 08.01.09 13:08  Количество правок: 3
<"чистая" ссылка>
> ИМХО основная функция AV - предотвращение заражения ИС,
> причём будет он это делать - сигнатурами, эвристикой,
> череззаяйца - никого волновать не должно, тут важен
> результат.
Никакая технология не даёт 100% гарантии противодействия. Но если после обнаружения активного вируса (путём обновления сигнатур, к примеру), не получается у антивируса пролечить хост -- грош ему цена.
> А к умению хорошо лечить последствия она совершенно ортогональна
Да-да, пусть АВ "ортогонально" плохо лечит -- были преценденты, когда умирали системные файлы венды в результате кривого лечения и проч. эффекты, вплоть до невозможности загрузки машины ;-)
Я же не говорю, что "умение лечить" (особенно в случае секретарш с одминскими правами) не нужно - всего лишь утверждается его архитектурная независимость по отношению к функции обнаружения и, зачастую, отсутствие необходимости в данном функционале 08.01.09 22:55  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 09.01.09 00:17  Количество правок: 5
<"чистая" ссылка>
> > ИМХО основная функция AV - предотвращение заражения ИС,
> > причём будет он это делать - сигнатурами, эвристикой,
> > череззаяйца - никого волновать не должно, тут важен
> > результат.
> Никакая технология не даёт 100% гарантии противодействия.
+100, а вот в обсуждаемых результатах - 100%. Уже одно это свидетельствует о том, что методика-таки оторвана от реальности

> Но если после обнаружения активного вируса (путём
> обновления сигнатур, к примеру), не получается у антивируса
> пролечить хост -- грош ему цена.
хе-хе, не составляет труда набыдлокодить расползуху, которая будет, скажем, пририсовывать к попавшимся jpg водяной знак в виде разноцветной %опы случайного размера. Всем лекарям такой заразы - грош-цена, тут возможно только исключить попадание хрени в ИС, либо максимально локализовать эпидемию путём блокировки размножения.
> > А к умению хорошо лечить последствия она совершенно ортогональна
> Да-да, пусть АВ "ортогонально" плохо лечит -- были
> преценденты, когда умирали системные файлы венды в
> результате кривого лечения и проч. эффекты, вплоть до
> невозможности загрузки машины ;-)
subj. AV логически делится на "подсистемы обнаружения" (тут сигнатуры+эвристика, может использоваться и в сканере и в мониторе) и "подсистемы реагирования на вирус" (тут блокировка доступа и дальнейшие действия: удаление вируса из объекта или удаление объекта). И если у нас есть чистый таз, то поставив AV с высоким показателем обнаружения и включив в реагировании только блокировку доступа, можно быть с точностью до показателя обнаружения уверенным в здоровье хоста.
Для лечения уже зараженного хоста нужна некая "подсистема лечения", которая в общем случае ортогональна первым двум (другие сигнатуры, другая подсистема реагирования), и её эффективная реализация, ИМХО, самая проблематичная, а, при наличии компетентного одмина, система является не только лишней, но и зачастую приносящей убыток (> вплоть до невозможности загрузки машины). И в случае высоких рисков, связанных с потерей данных, "нельзя поручать машине то, что может сделать человек" (цэ, тока наоборот). В случае же домашнего компьютера \ сети малого офиса функция лечения просто необходима, потому в большинстве small business-oriented продуктах она и есть :)
В более-менее адекватных информационных средах разделение прав и грамотная настройка ОС блокирует по крайней мере руткиты, + "подсистема реагирования" бьёт заразу на подлёте, а если зараза-таки прорвалась - админ без премии и в ужасе всё лечит, + если не первый раз - смена вендора AV = показатель неэффективности данного AV в данной ситуации, антиреклама, потеря части дохода производителем и прочий для него бэд.
Современные комбайны объединяют в себе все три подсистемы + маленькая тележка бонусов разной степени нужности, полезности и кривизны реализации, соответственно можно выбрать тот, который лучше всего подходит для решенияконкретнойзадачи + обеспечивает тебе маскимальное сальдо.
-----
Всё это я к чему: спор о том, у какого взрослого дорогого антивируса мощнее и краснее залупа не имеет смысла без привязки к конкретной ситуации инсталляции продукта.
Методикой оценки эффективности AV в любойданнойситуации является только прямая оценка эффективности вданнойситуации.
Все эти "общепринятые" методики типа обсуждаемой - некий тестовый случай, который может произойти только в рамках проведения тестирования и нигде и никогда больше, выводы они дают сугубо приблизительные и не позволяющие твёрдо опираться на них при реальном планировании с учётом их практически 100%ной ангажированности.
Их результаты хороши либо в случае первоначального ознакомления, либо в случае рекламы продукта заказчику\13летней девочке (тут на каждый продукт найдётся свой тест, что не может не радовать)
Хочу напомнить еще один факт 09.01.09 00:28  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Для всех wild вирусов, эпидемия которых настолько резкая, что АВ-вендоры не успевают найти и проапдейтить у своих клиентов сигнатуры (а значит вирус проникает на машину несмотря на включенный у секретарши АВ-монитор) выпускаются standalone лечилки. Причем выпускаются чуть ли не каждым вендором по отдельности. Таким образом, лучше иметь высокий процент обнаружения и защиты на периметре, но если нравится как лечит тот же вебер - можно скачать его лечилку.
Натравливаешь его на 10к случайно отобранных вирусов 08.01.09 13:19  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Смотришь количество обнаружений. Все.
Можно конечно натравить и на всю базу вирусов + все полиморфы по несколько экземпляров, но вряд ли там результат будет сильно отличаться. Закон больших чисел, понимаешь

> Никакая технология не даёт 100% гарантии противодействия.
> Но если после обнаружения активного вируса (путём
> обновления сигнатур, к примеру), не получается у антивируса
> пролечить хост -- грош ему цена.
Неправда ваша. Самые взрослые и дорогие антивирусы - серверные - ВООБЩЕ не лечат. Даже не пытаются. Заблокировали и дело с концом. В антивирусе САМОЕ ГЛАВНОЕ - сканер, остальное - фигня для 13-летних девочек.

> > А к умению хорошо лечить последствия она совершенно
> ортогональна
> Да-да, пусть АВ "ортогонально" плохо лечит -- были
> преценденты, когда умирали системные файлы венды в
> результате кривого лечения и проч. эффекты, вплоть до
> невозможности загрузки машины ;-)
Ну да, пусть вообще не лечит. Главное чтоб не пускала заразу. В принципе можно не пускать заразу и без всяких АВ, но для этого надо иметь довольно высокую квалификацию. С АВ монитором не пускать заразу может даже секретарша. Ну и что там лечить?
Вопрос по поручению 13-летних девочек к убеленному гуру ))) 08.01.09 18:52  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> Смотришь количество обнаружений. Все.
> Можно конечно натравить и на всю базу вирусов + все
> полиморфы по несколько экземпляров, но вряд ли там
> результат будет сильно отличаться. Закон больших чисел,
> понимаешь
>
> > Никакая технология не даёт 100% гарантии
> противодействия.
> > Но если после обнаружения активного вируса (путём
> > обновления сигнатур, к примеру), не получается у
> антивируса
> > пролечить хост -- грош ему цена.
> Неправда ваша. Самые взрослые и дорогие
> антивирусы - серверные - ВООБЩЕ не лечат. Даже не пытаются.
> Заблокировали и дело с концом. В антивирусе САМОЕ ГЛАВНОЕ -
> сканер, остальное - фигня для 13-летних девочек.
Ты хочешь сказать, что во взрослых и дорогих антивирусах именно сканер, который запускается время от времени по определению, блокирует вирусы в момент их проникновения?? 8-0 Девочки попросили узнать, "почему?". Неужели великие и всевидящие создатели "взрослых и дорогих" заранее знают когда должен запуститься сканер? Значит джедаи - не выдумка?
>
> > > А к умению хорошо лечить последствия она
> совершенно
> > ортогональна
> > Да-да, пусть АВ "ортогонально" плохо лечит -- были
> > преценденты, когда умирали системные файлы венды в
> > результате кривого лечения и проч. эффекты, вплоть до
> > невозможности загрузки машины ;-)
> Ну да, пусть вообще не лечит. Главное чтоб не пускала
> заразу. В принципе можно не пускать заразу и без всяких АВ,
> но для этого надо иметь довольно высокую квалификацию. С АВ
> монитором не пускать заразу может даже секретарша. Ну и что
> там лечить?
Лечить ту заразу, которая не была опознана монитором по сигнатуре или несовершенным (к сожалению других пока нет) эвристическим/поведенческим анализатором.
Конечно знают. На серверах не так часто появляются новые... 08.01.09 20:46  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> попросили узнать, "почему?". Неужели великие и всевидящие
> создатели "взрослых и дорогих" заранее
> знают когда должен запуститься сканер? Значит джедаи - не
> выдумка?
Конечно знают. На серверах не так часто появляются новые файлы и все пути появления этих файлов хорошо известны. Вот они то и сканируются. Кстати, сейчас практически все даунлоад менеджеры, торрент и email-клиенты и пр. умеют интегрироваться со сканером для проверки новоприбывших файлов.

> Лечить ту заразу, которая не была опознана
> монитором по сигнатуре или
> несовершенным (к сожалению других пока нет)
> эвристическим/поведенческим анализатором.
Как ты себе это представляешь. Вообще то лечат обычно только то, метод лечения чего точно известен. То есть монитор/сканер ~100% уверен в наличии конкретного вируса. Как ты собираешься пролечивать вирус, для которого неизвестна не только сигнатура, но и эвристик дает неуверенный результат?
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach