Перейти к содержанию
Andrew

Проверка заблокированных (sharing/lock) файлов

Recommended Posts

AM_Bot

Ramzes13

Как на счет проведения теста с Нод32?

Очень интересно посмотреть на результаты этого высокотехнологичного продукта :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Ramzes13

Как на счет проведения теста с Нод32?

Очень интересно посмотреть на результаты этого высокотехнологичного продукта :-)

Вот так всегда, как кричать что Нод рулез так пожалуйста, а как внести свою лепту в общее дело так сразу в кусты.

Что-то не видно Рамзеса :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Видимо не дождемся от Ramzes13 теста ... :cry:

Ну что ж, сделал сам.

Nod32 версия 2.5, настроен на максимальную проверку (включены все эвристики, сканирвоание архивов, SFX и т.д., по умолчанию все это выключено кстати, видимо чтобы быстрее работало :-))

ОС - Windows XP SP2.

Вот результат - ошибка ввода/вывода. Тест провален.

nod32_1.JPG

post-4-1139829897.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

я так и не понял, каспер ловит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проверил еще Kaspersky Internet Security 6.0 build 278 на Windows XP SP1 - результат отрицательный, видимо на SP1 эта штука тоже на работает. :?

Скриншот не выкладываю - картинка идентична той, что выше была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
я так и не понял, каспер ловит?

пока есть подозрения что на xp sp2 ловит.. Независимые тестеры это ещё не проверили...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

весч весьма нужная, вопрос.. при сканировании сетевых ресурсов какая будет реакция?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
весч весьма нужная, вопрос.. при сканировании сетевых ресурсов какая будет реакция?

А на сеть это не распостраняется - иметь прямой доступ к телу на удалённой машине ... это такая дыра с секрьюрити операционки что...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

что-то мне кажется.. я бы попросил модератора убрать сообщение выше, так как это не совсем так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Провел этот тест с KIS 6.0 build 278 на машине, где до этого был Nod32, т.е. на Windows XP SP2.

Andrew, работает, адская штука :pray:

Происходит детектирование EICAR, после чего выводится сообщение, что файл будет удален после перезагрузки компа.

kis_locked.PNG

kis_locked1.PNG

post-4-1139839141.png

post-1-1139839141.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Провел этот тест с KIS 6.0 build 278 на машине, где до этого был Nod32, т.е. на Windows XP SP2.

Andrew, работает, адская штука :pray:

Происходит детектирование EICAR, после чего выводится сообщение, что файл будет удален после перезагрузки компа.

тело погруженное в жидкость, выпивает столько жидкости пока не утонет... ЗАРАБОТАЛО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

возникает вопрос, какие ограничения при проверке файлов вшиты в антивирус..

Я имею ввиду имеет ли антивирус доступ к файлам залоченным операционной системой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
возникает вопрос, какие ограничения при проверке файлов вшиты в антивирус..

Я имею ввиду имеет ли антивирус доступ к файлам залоченным операционной системой?

Ммм, можно уточнить вопрос? Какие файлы ты имеешь ввиду под залоченными операционной системой? То что её нужно она открывает до старта антивируса и он их не проверяет. Служебные файлы нтфс сама файловая система не даст...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

в том то и дело, что спорный вопрос как у вас это происходит..

так как системные файлы фактически лочатся не нтфс, а системными процессами, а точнее всё равно какими процессами..

Выходит, что антивирус при определённых обстоятельствах может иметь к ним доступ.. Например доступ на редактирование журналов регистраций :) Или я ошибаюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
в том то и дело, что спорный вопрос как у вас это происходит..

так как системные файлы фактически лочатся не нтфс, а системными процессами, а точнее всё равно какими процессами..

Выходит, что антивирус при определённых обстоятельствах может иметь к ним доступ.. Например доступ на редактирование журналов регистраций :) Или я ошибаюсь?

По идее, если подходить с чистоформальной стороны: антивирус использует драйвер: файловый-фильтр. После чего ни о какой защиты от антивируса нет. Кроме того, антивирус обычно работает с администраторскими привилегиями, что то же не способствует прятанью от него данных...

Так что антивирус может иметь доступ к таким файлам. За КИС/КАВ я могу сказать - принудительно ограничен доступ ко всем файлам только на чтение. При лечении файл открывается через стандартную функцию с правами пользователя - откроется так откроется...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

работа файлового-фильтра, в том случае ограничивается обработкой запрашиваемых файлов, но не уже запущенных..

антивирус запускается не под правами администратора, а под правами system, что значительно выше.

Или вы хотитет сказать, что система обращается к своим файлам через антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

А вот тут я согласен с Брокером.

Какую технологию используют антивирус Касперского при реализации этой фичи... Так же интересны последствия использования данной технологии ...

Sony тоже хотела как лучше, а получилось ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
А вот тут я согласен с Брокером.

Какую технологию используют антивирус Касперского при реализации этой фичи... Так же интересны последствия использования данной технологии ...

Sony тоже хотела как лучше, а получилось ...

Сони хотела другого - денег и побольше, как лучше она и не думала.

Последствия - обнаружение уже запущенных зверушек.

Насчет того как это сделано - не думаю что об этом стоит говорить, должны же быть секреты :)

RootkitsRevealer сканирует ntfs напрямую читая диск.. никого это не пугает, хотя смысл тот же...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

Отключить - пока нет, завтра спрошу :)

Лицензии как таковой нет - есть тестирование на xp logo, но там не описывается можно ли антивирусу так поступать или нет. Задача тестов проверить что антивирус не мешает системе и другим программам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

Отключить - пока нет, завтра спрошу :)

Лицензии как таковой нет - есть тестирование на xp logo, но там не описывается можно ли антивирусу так поступать или нет. Задача тестов проверить что антивирус не мешает системе и другим программам.

вообще наличие данной технологии, это как применение DoS в анализе на устойчивость, на свой страх и риск.. Алгоритм сам по себе, весьма, неустойчивый и как показывает практика не на всех версиях ОС алгоритм работает и более того возможна ситуация, когда система посчитает, что файл кем-то занят и выдать голубой экран :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
вообще наличие данной технологии, это как применение DoS в анализе на устойчивость, на свой страх и риск.. Алгоритм сам по себе, весьма, неустойчивый и как показывает практика не на всех версиях ОС алгоритм работает и более того возможна ситуация, когда система посчитает, что файл кем-то занят и выдать голубой экран :)))

Абсолютно некорректное высказывание - запросы выдаются стандартными средствами ос и могут привести к синему экрану только если установлены сторонние драйвера, не поддерживающие все тонкости операционки.

Согласен, работает только на xp sp2/сервер 2003...кажется это очень большой парк машин :) зачем их лишать такой вкусной вещи ради унификации с неподдерживаемыми Майкрософтом версиями операционок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
могут привести к синему экрану только если установлены сторонние драйвера, не поддерживающие все тонкости операционки

именно этими единичными случаями кишат все форумы..

моё мнение, данная функция должна включаться исключительно при осмотрах, по требованию пользователя..

Тем более, что формально она нужна только неопытному домашнему юзеру..

Абсолютно некорректное высказывание

давайте обсудим его некорректность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Согласен, работает только на xp sp2/сервер 2003...кажется это очень большой парк машин зачем их лишать такой вкусной вещи ради унификации с неподдерживаемыми Майкрософтом версиями операционок?

Согласен, если есть возможность предоставить этой группе пользователей более широкие возможности защиты - ее надо реализовывать.

Фича безусловно нужная и полезная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×