Andrew

Проверка заблокированных (sharing/lock) файлов

В этой теме 55 сообщений

Ramzes13

Как на счет проведения теста с Нод32?

Очень интересно посмотреть на результаты этого высокотехнологичного продукта :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ramzes13

Как на счет проведения теста с Нод32?

Очень интересно посмотреть на результаты этого высокотехнологичного продукта :-)

Вот так всегда, как кричать что Нод рулез так пожалуйста, а как внести свою лепту в общее дело так сразу в кусты.

Что-то не видно Рамзеса :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Видимо не дождемся от Ramzes13 теста ... :cry:

Ну что ж, сделал сам.

Nod32 версия 2.5, настроен на максимальную проверку (включены все эвристики, сканирвоание архивов, SFX и т.д., по умолчанию все это выключено кстати, видимо чтобы быстрее работало :-))

ОС - Windows XP SP2.

Вот результат - ошибка ввода/вывода. Тест провален.

nod32_1.JPG

post-4-1139829897.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проверил еще Kaspersky Internet Security 6.0 build 278 на Windows XP SP1 - результат отрицательный, видимо на SP1 эта штука тоже на работает. :?

Скриншот не выкладываю - картинка идентична той, что выше была.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я так и не понял, каспер ловит?

пока есть подозрения что на xp sp2 ловит.. Независимые тестеры это ещё не проверили...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

весч весьма нужная, вопрос.. при сканировании сетевых ресурсов какая будет реакция?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
весч весьма нужная, вопрос.. при сканировании сетевых ресурсов какая будет реакция?

А на сеть это не распостраняется - иметь прямой доступ к телу на удалённой машине ... это такая дыра с секрьюрити операционки что...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что-то мне кажется.. я бы попросил модератора убрать сообщение выше, так как это не совсем так.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Провел этот тест с KIS 6.0 build 278 на машине, где до этого был Nod32, т.е. на Windows XP SP2.

Andrew, работает, адская штука :pray:

Происходит детектирование EICAR, после чего выводится сообщение, что файл будет удален после перезагрузки компа.

kis_locked.PNG

kis_locked1.PNG

post-4-1139839141.png

post-1-1139839141.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Провел этот тест с KIS 6.0 build 278 на машине, где до этого был Nod32, т.е. на Windows XP SP2.

Andrew, работает, адская штука :pray:

Происходит детектирование EICAR, после чего выводится сообщение, что файл будет удален после перезагрузки компа.

тело погруженное в жидкость, выпивает столько жидкости пока не утонет... ЗАРАБОТАЛО :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

возникает вопрос, какие ограничения при проверке файлов вшиты в антивирус..

Я имею ввиду имеет ли антивирус доступ к файлам залоченным операционной системой?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
возникает вопрос, какие ограничения при проверке файлов вшиты в антивирус..

Я имею ввиду имеет ли антивирус доступ к файлам залоченным операционной системой?

Ммм, можно уточнить вопрос? Какие файлы ты имеешь ввиду под залоченными операционной системой? То что её нужно она открывает до старта антивируса и он их не проверяет. Служебные файлы нтфс сама файловая система не даст...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в том то и дело, что спорный вопрос как у вас это происходит..

так как системные файлы фактически лочатся не нтфс, а системными процессами, а точнее всё равно какими процессами..

Выходит, что антивирус при определённых обстоятельствах может иметь к ним доступ.. Например доступ на редактирование журналов регистраций :) Или я ошибаюсь?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в том то и дело, что спорный вопрос как у вас это происходит..

так как системные файлы фактически лочатся не нтфс, а системными процессами, а точнее всё равно какими процессами..

Выходит, что антивирус при определённых обстоятельствах может иметь к ним доступ.. Например доступ на редактирование журналов регистраций :) Или я ошибаюсь?

По идее, если подходить с чистоформальной стороны: антивирус использует драйвер: файловый-фильтр. После чего ни о какой защиты от антивируса нет. Кроме того, антивирус обычно работает с администраторскими привилегиями, что то же не способствует прятанью от него данных...

Так что антивирус может иметь доступ к таким файлам. За КИС/КАВ я могу сказать - принудительно ограничен доступ ко всем файлам только на чтение. При лечении файл открывается через стандартную функцию с правами пользователя - откроется так откроется...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

работа файлового-фильтра, в том случае ограничивается обработкой запрашиваемых файлов, но не уже запущенных..

антивирус запускается не под правами администратора, а под правами system, что значительно выше.

Или вы хотитет сказать, что система обращается к своим файлам через антивирус?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот тут я согласен с Брокером.

Какую технологию используют антивирус Касперского при реализации этой фичи... Так же интересны последствия использования данной технологии ...

Sony тоже хотела как лучше, а получилось ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот тут я согласен с Брокером.

Какую технологию используют антивирус Касперского при реализации этой фичи... Так же интересны последствия использования данной технологии ...

Sony тоже хотела как лучше, а получилось ...

Сони хотела другого - денег и побольше, как лучше она и не думала.

Последствия - обнаружение уже запущенных зверушек.

Насчет того как это сделано - не думаю что об этом стоит говорить, должны же быть секреты :)

RootkitsRevealer сканирует ntfs напрямую читая диск.. никого это не пугает, хотя смысл тот же...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

Отключить - пока нет, завтра спрошу :)

Лицензии как таковой нет - есть тестирование на xp logo, но там не описывается можно ли антивирусу так поступать или нет. Задача тестов проверить что антивирус не мешает системе и другим программам.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хм, тогда есть возможность корректно отключить данную функцию?

Добавлено спустя 57 секунд:

интересно так же, получит ли каспер лицензию от микрософта..

Отключить - пока нет, завтра спрошу :)

Лицензии как таковой нет - есть тестирование на xp logo, но там не описывается можно ли антивирусу так поступать или нет. Задача тестов проверить что антивирус не мешает системе и другим программам.

вообще наличие данной технологии, это как применение DoS в анализе на устойчивость, на свой страх и риск.. Алгоритм сам по себе, весьма, неустойчивый и как показывает практика не на всех версиях ОС алгоритм работает и более того возможна ситуация, когда система посчитает, что файл кем-то занят и выдать голубой экран :)))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вообще наличие данной технологии, это как применение DoS в анализе на устойчивость, на свой страх и риск.. Алгоритм сам по себе, весьма, неустойчивый и как показывает практика не на всех версиях ОС алгоритм работает и более того возможна ситуация, когда система посчитает, что файл кем-то занят и выдать голубой экран :)))

Абсолютно некорректное высказывание - запросы выдаются стандартными средствами ос и могут привести к синему экрану только если установлены сторонние драйвера, не поддерживающие все тонкости операционки.

Согласен, работает только на xp sp2/сервер 2003...кажется это очень большой парк машин :) зачем их лишать такой вкусной вещи ради унификации с неподдерживаемыми Майкрософтом версиями операционок?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
могут привести к синему экрану только если установлены сторонние драйвера, не поддерживающие все тонкости операционки

именно этими единичными случаями кишат все форумы..

моё мнение, данная функция должна включаться исключительно при осмотрах, по требованию пользователя..

Тем более, что формально она нужна только неопытному домашнему юзеру..

Абсолютно некорректное высказывание

давайте обсудим его некорректность.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен, работает только на xp sp2/сервер 2003...кажется это очень большой парк машин зачем их лишать такой вкусной вещи ради унификации с неподдерживаемыми Майкрософтом версиями операционок?

Согласен, если есть возможность предоставить этой группе пользователей более широкие возможности защиты - ее надо реализовывать.

Фича безусловно нужная и полезная.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS