Перейти к содержанию

Результаты теста антивирусов на лечение активного заражения (февраль 2010)


Рекомендуемые сообщения

EAlekseev, спасибо, ты меня улыбнул. ;) Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN.

Сертификатов и ЭЦП есть далеко не у всех программ. Тем более на большинство программ постоянно выходят исправления. Правила хэшей пролетают по той же причине. Остаются лишь правила пути (по Microsoft-овской терминологии). Что такое KSN - не в курсе (пользуюсь корпоративной версией 6.0.3.837).

Врядли вы придумали нечто более новое, чем Microsoft ещё в Windows 2000 (Software Restriction Policies).

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 93
  • Created
  • Последний ответ

Top Posters In This Topic

  • Umnik

    21

  • apq

    13

  • Lacoste

    10

  • rabbit

    9

Top Posters In This Topic

Popular Posts

Симантек когда-то был хорош, потом они забили на развитие лечение (типа не главное) и практически перестали развивать технологии. А Аваст купил Гмер и в итоге значительно подтянулся в лечении.

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной п

Posted Images

ЭЦП есть далеко не у всех программ

Угу. Но у многих. Из моих - почти у всех, просто я не привык пользоваться говном, написанным на коленке.

Тем более на большинство программ постоянно выходят исправления

Не имет значения. 7zip любой новой версии в релизе попадает в Доверенные по ЭЦП.

Остаются лишь правила пути (по Microsoft-овской терминологии)

Это что?

Что такое KSN - не в курсе

кроме прочего, это то, что пихает приложения в разные группы ХИПС со стороны серверов ЛК без действий со стороны пользователя.

Ссылка на сообщение
Поделиться на другие сайты
Это что?

EAlekseev решил блеснуть интеллектом - он рассказывает про правила пути Software Restriction Policies.

Он, считает, что ЛК может единственным способом добавлять программы в доверенные - по пути, куда она установилась.

То есть, если запускается файл C:\Program Files\7-Zip\7z.exe, то он по правилу пути должен попасть в доверенные.

При этом он даже не догадывается, что такое KSN, но своим мнением он с нами уже поделился.

Он даже не подозревает, что хеши доверенных приложений можно получить прямо с серверов ЛК при обнюхивании или в процессе дальнейшей работы.

Ссылка на сообщение
Поделиться на другие сайты
То есть, если запускается файл C:\Program Files\7-Zip\7z.exe, то он по правилу пути должен попасть в доверенные.

Я надеялся, что он как раз не про это ;) Однако же... Верх секурности :lool:

Ссылка на сообщение
Поделиться на другие сайты
Я надеялся, что он как раз не про это ;) Однако же... Верх секурности :(

Я не вижу другого толкования:lool:

Все разом: и "правила хэшей", и "правила пути", и "Software Restriction Policies" в одном сообщении...

Ссылка на сообщение
Поделиться на другие сайты
Он даже не подозревает, что хеши доверенных приложений можно получить прямо с серверов ЛК при обнюхивании или в процессе дальнейшей работы.

И это говорит компания, допускающая большое количество ложных срабатываний при детекте. Очень сомневаюсь, что ЛК знает все программные продукты и утилиты, использующиеся по всему миру, и тем более своевременно отслеживает все исправления к ним. Если процентов 10 распространенных программ накроете - и то счастье.

 

 

Я надеялся, что он как раз не про это ;) Однако же... Верх секурности :lool:

Для тех, кто в танке. - Если пользователи работают под ограниченной учетной записью и используются политика "всё запрещено, кроме явно разрешенного", то при установке всех программ в %ProgramFiles% правило пути будет абсолютно безопасным и безглючным. В отличии от правил хэшей, которые меняются при любом обновлении программ или выходе новых версий.

Ссылка на сообщение
Поделиться на другие сайты
И это говорит компания, допускающая большое количество ложных срабатываний при детекте. Очень сомневаюсь, что ЛК знает все программные продукты и утилиты, использующиеся по всему миру, и тем более своевременно отслеживает все исправления к ним. Если процентов 10 распространенных программ накроете - и то счастье.

Давайте, брызгайте ядом и дальше. Вы делаете мне смешно ;)

 

Если пользователи работают под ограниченной учетной записью и используются политика "всё запрещено, кроме явно разрешенного", то при установке всех программ в %ProgramFiles% правило пути будет абсолютно безопасным и безглючным. В отличии от правил хэшей, которые меняются при любом обновлении программ или выходе новых версий.

Для тех, кто в танке - мы обсуждаем домашний антивирус. А как известно любому опытному админу - подавляющее большинство домашников не только работают под админом, но и отключают UAC. Так что, ваше сообщение - в топку, как бессмысленное и бесполезное.

Изменено пользователем пользователь
Ссылка на сообщение
Поделиться на другие сайты

У продуктов ЛК вирусная база в 3 раза больше базы DrWeb, или я не туда смотрел? :o

 

У ЛК 3464513 записей, а у вебовцев - 1037713

Ссылка на сообщение
Поделиться на другие сайты

Высказывания о возможности 100% защиты в теории реально доставляют :o А говорить о том, что есть сейчас - можно с определённой долей вероятности, т.е. эти "100% защиты" будут ими с какой-то долей вероятности :)

 

Я уже молчу о туче специализированного софта, написанного "на коленке" и имеющего кучу багов, например открытый интерфейс плагинов позволяет обойти любые ограничения, если хост-процесс может запуститься.

Ссылка на сообщение
Поделиться на другие сайты
Дима, а размер баз от этого тоже не зависит?

Размер зависит больше от формата :o

открытый интерфейс плагинов позволяет обойти любые ограничения, если хост-процесс может запуститься.

Именно если. А при настройках на скрине процесс не запустится. :)

Ссылка на сообщение
Поделиться на другие сайты
Именно если. А при настройках на скрине процесс не запустится.
Неверно. Подразумевается, что хост-процесс может запуститься, и запускался раньше, а вредонос - в плагине. Т.е. не какое-то новое ПО заражается, а уже рабочая программа с открытым интерфейсом плагинов "подхватывает" заражённый плагин. Тут ни ЭЦП не поможет, ни группа в ХИПСе... эвристик, разве что....
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...