Результаты теста антивирусов на лечение активного заражения (февраль 2010)

[EAlekseev]

EAlekseev, спасибо, ты меня улыбнул. Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN.

Сертификатов и ЭЦП есть далеко не у всех программ. Тем более на большинство программ постоянно выходят исправления. Правила хэшей пролетают по той же причине. Остаются лишь правила пути (по Microsoft-овской терминологии). Что такое KSN - не в курсе (пользуюсь корпоративной версией 6.0.3.837).

Врядли вы придумали нечто более новое, чем Microsoft ещё в Windows 2000 (Software Restriction Policies).

[Umnik]

ЭЦП есть далеко не у всех программ

Угу. Но у многих. Из моих - почти у всех, просто я не привык пользоваться говном, написанным на коленке.

Тем более на большинство программ постоянно выходят исправления

Не имет значения. 7zip любой новой версии в релизе попадает в Доверенные по ЭЦП.

Остаются лишь правила пути (по Microsoft-овской терминологии)

Это что?

Что такое KSN - не в курсе

кроме прочего, это то, что пихает приложения в разные группы ХИПС со стороны серверов ЛК без действий со стороны пользователя.

[пользователь]

Это что?

EAlekseev решил блеснуть интеллектом - он рассказывает про правила пути Software Restriction Policies.

Он, считает, что ЛК может единственным способом добавлять программы в доверенные - по пути, куда она установилась.

То есть, если запускается файл C:\Program Files\7-Zip\7z.exe, то он по правилу пути должен попасть в доверенные.

При этом он даже не догадывается, что такое KSN, но своим мнением он с нами уже поделился.

Он даже не подозревает, что хеши доверенных приложений можно получить прямо с серверов ЛК при обнюхивании или в процессе дальнейшей работы.

[Umnik]

То есть, если запускается файл C:\Program Files\7-Zip\7z.exe, то он по правилу пути должен попасть в доверенные.

Я надеялся, что он как раз не про это Однако же... Верх секурности

[пользователь]

Я надеялся, что он как раз не про это Однако же... Верх секурности

Я не вижу другого толкования

Все разом: и "правила хэшей", и "правила пути", и "Software Restriction Policies" в одном сообщении...

[EAlekseev]

Он даже не подозревает, что хеши доверенных приложений можно получить прямо с серверов ЛК при обнюхивании или в процессе дальнейшей работы.

И это говорит компания, допускающая большое количество ложных срабатываний при детекте. Очень сомневаюсь, что ЛК знает все программные продукты и утилиты, использующиеся по всему миру, и тем более своевременно отслеживает все исправления к ним. Если процентов 10 распространенных программ накроете - и то счастье.

 

 

Я надеялся, что он как раз не про это Однако же... Верх секурности

Для тех, кто в танке. - Если пользователи работают под ограниченной учетной записью и используются политика "всё запрещено, кроме явно разрешенного", то при установке всех программ в %ProgramFiles% правило пути будет абсолютно безопасным и безглючным. В отличии от правил хэшей, которые меняются при любом обновлении программ или выходе новых версий.

[пользователь]

И это говорит компания, допускающая большое количество ложных срабатываний при детекте. Очень сомневаюсь, что ЛК знает все программные продукты и утилиты, использующиеся по всему миру, и тем более своевременно отслеживает все исправления к ним. Если процентов 10 распространенных программ накроете - и то счастье.

Давайте, брызгайте ядом и дальше. Вы делаете мне смешно

 

Если пользователи работают под ограниченной учетной записью и используются политика "всё запрещено, кроме явно разрешенного", то при установке всех программ в %ProgramFiles% правило пути будет абсолютно безопасным и безглючным. В отличии от правил хэшей, которые меняются при любом обновлении программ или выходе новых версий.

Для тех, кто в танке - мы обсуждаем домашний антивирус. А как известно любому опытному админу - подавляющее большинство домашников не только работают под админом, но и отключают UAC. Так что, ваше сообщение - в топку, как бессмысленное и бесполезное.

Изменено 10 февраля, 2010 пользователем пользователь

[Lacoste]

Я так понял сегодня день юмористов? Куда не загляни, сплошные перлы... Камеди клаб...

[Ummitium]

У продуктов ЛК вирусная база в 3 раза больше базы DrWeb, или я не туда смотрел?

 

У ЛК 3464513 записей, а у вебовцев - 1037713

[Umnik]

И что? Эти цифры мало значения имеют.

Изменено 12 февраля, 2010 пользователем Umnik

[Ummitium]

И что? Эти цифры мало значения имеют.

Дима, а размер баз от этого тоже не зависит?

[C. Tantin]

Высказывания о возможности 100% защиты в теории реально доставляют А говорить о том, что есть сейчас - можно с определённой долей вероятности, т.е. эти "100% защиты" будут ими с какой-то долей вероятности

 

Я уже молчу о туче специализированного софта, написанного "на коленке" и имеющего кучу багов, например открытый интерфейс плагинов позволяет обойти любые ограничения, если хост-процесс может запуститься.

[overman]

очередной + в копилку ЛК

[Umnik]

Дима, а размер баз от этого тоже не зависит?

Размер зависит больше от формата

открытый интерфейс плагинов позволяет обойти любые ограничения, если хост-процесс может запуститься.

Именно если. А при настройках на скрине процесс не запустится.

[C. Tantin]

Именно если. А при настройках на скрине процесс не запустится.

Неверно. Подразумевается, что хост-процесс может запуститься, и запускался раньше, а вредонос - в плагине. Т.е. не какое-то новое ПО заражается, а уже рабочая программа с открытым интерфейсом плагинов "подхватывает" заражённый плагин. Тут ни ЭЦП не поможет, ни группа в ХИПСе... эвристик, разве что....