Перейти к содержанию
Сергей Ильин

Межсетевой экран у Доктора Веба

Recommended Posts

Valery Ledovskoy
Извините что вклиниваюсь,

Это нужно было умудриться вклиниться в январе 2008 года в ветку, обсуждение которой было завершено в марте 2007 года. Не проще было новую тему создать? :)

будет ли в DrWeb v5 монитор реестра?

Будет. Только вот будет ли сразу же в первом релизе - неизвестно.

Разработки ведутся по многим направлениям, поэтому заранее загадать, что попадёт в релиз, а что нет - сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это нужно было умудриться вклиниться в январе 2008 года в ветку...

Да шутко енто было... А всё же ветка до сих пор не потеряла своей актуальности.

будет ли в DrWeb v5 монитор реестра?

Будет. Только вот будет ли сразу же в первом релизе - неизвестно...

Да это нужно было "вчера". Монитор реестра имеет прямое отношение к защите компьютера от вирусов, чем фаервол.

А не известна ли примерная дата выпуска беты v5? Год там, два? Или этому уже будут радоваться совсем другие существа под Windows 7? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А не известна ли примерная дата выпуска беты v5?

Первую бету обещали в первом полугодии 2008. Посмотрим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Первую бету обещали в первом полугодии 2008. Посмотрим.

Да достаточно сделать пару телодвижений, чтобы доказать острую необходимость мониторинга реестра и практическую бесполезность текущих реализаций эвристики.

Просто к примеру, банальный монитор userinit обрубает многие эсплоиты и т.п.

Сейчас вот прям на коленке воплотил:

hi.bat:

@echo off

%systemroot%\system32\at.exe 13:00 /every: %systemroot%\system32\reg.exe delete "hklm\software\microsoft\windows nt\currentversion\winlogon" /v "userinit" /f

@exit

прогнал через cmd2exe и проверил на www.virustotal.com - ни один не заикнулся. А ещё борются за какие-то там мифические рейтинги эвристики...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Да достаточно сделать пару телодвижений, чтобы доказать острую необходимость мониторинга реестра и практическую бесполезность текущих реализаций эвристики.

Просто к примеру, банальный монитор userinit обрубает многие эсплоиты и т.п.

Сейчас вот прям на коленке воплотил:

hi.bat:

@echo off

%systemroot%\system32\at.exe 13:00 /every: %systemroot%\system32\reg.exe delete "hklm\software\microsoft\windows nt\currentversion\winlogon" /v "userinit" /f

@exit

прогнал через cmd2exe и проверил на www.virustotal.com - ни один не заикнулся. А ещё борются за какие-то там мифические рейтинги эвристики...

И чего ? Вам кто-то обещал ловлю эвристикой всего и вся ? Батенька, 96% современных вредоносных программ - это бинарные Win32-файлы, из которых процентов 70% заточены на кражу информации или создание ботнетов.

Куда вы со своим гениальным батником лезете-то ? Это не актуально ни разу и не составляет никакой проблемы для 99.999999% пользователей. Задумайтесь хотя бы о способе его распространения для начала...

Боремся с тем что актуально и распространенно, а не с такими вот useless примерами, которые всегда и для всего можно найти. Будет таких вот вещей тысячи - точно так же будет ловиться, не проблема не разу. Уж поверьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
И чего ? Вам кто-то обещал ловлю эвристикой всего и вся ?...

Кхе-кхе.

Разговор шел о мониторе реестара, которого в Вэбе нет. Поэтому любая самая примитивная дрянь, которую пока не задетектили сигнатурой, может свободно делать с реестром всё что ей заблагорассудиться. Когда силы бросаются на детект ещё одного сэмпла полиморфика - появляются к слову 10 простых поделок, от которых он не защищает систему. Силы расходуются впустую + ложное чувство защищённости у пользователя.

Поэтому антивирус без монитора реестра системы называться таковым может лишь с большой натяжкой. Получается, что Вэб без того же оутпоста или комодо - не совсем антивирус, что печально.

P.S. Помню, случайно на одном компе повредил путь userinit, так система делала логон и затем мгновенно логофф... под любыми пользователями и в сэйфмоде тоже. Небольшая рюшечка, а чуть вся система не легла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Кхе-кхе.

Разговор шел о мониторе реестара, которого в Вэбе нет.

Меня, как вы понимаете, мало волнует чего там нет в Вэбе. Я вам на пассаж по поводу "мифических рейтингов эвристики" отвечал.

Даже более акцентирую - вы там написали что никто на вирустотале на файл не ругнулся. Уж причем тут монитор реестра ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
... Я вам на пассаж по поводу "мифических рейтингов эвристики" отвечал.

Даже более акцентирую - вы там написали что никто на вирустотале на файл не ругнулся. Уж причем тут монитор реестра ?

Я про то, что рано фаервол для вэба делать т.к. антивирусную составляющую допиливать ещё очень даже есть куда.

А про эвристику... Файл практически прямым текстом говорит: я загашу ваш юзеринит и вашей системе кабздец! ;)

Антивирусы "говорят": всё ОК, можно запускать.

Может я слишком противопоставляю сигнатурный поиск и эвристику? Наверное, я слишком мечтателен и подразумеваю в эвристике некую составляющую AI, что позволяет взятый наобум файл проверить на "вшивость". Да даже тупой прогон на совпадение строк нам даёт потенциальные возможности программы: тут она имеет дело с критическим ключом реестра. Тоже повод насторожиться и выбросить варинг эвристики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
рано фаервол для вэба делать т.к. антивирусную составляющую допиливать

Весьма неэффективно в каждый момент времени разрабатывать что-то одно, обычно разработка идёт параллельно по многим направлениям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

интересно, а скольких пользователей потерял др.веб из за арахнофбии? (это я по поводу дружелюбности интерфейсов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

У их интерфейса есть наверно свои приверженцы, которые хотят его видеть таким.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Kokunov Aleksey, Black Angel, приверженцы существующего интерфейса есть. Не могу сказать на счёт домашних пользователей, которым важнее красивое окошко вместо способности ловить вирусы. Они часто используют в настоящий момент что-то типа Авиры, но в случае заражения лечат с помощью CureIt!

Что же касается корпоративных пользователей, то они давно уже (более трёх лет) видят в трее всего один значок ES-агента (с недавнего времени и домашние пользователи видят один значок AV-Desk-агента).

А корпоративные пользователи вообще могут ни одного значка не видеть, если администратор пожелает. Да и домашние пользователи обычной версии могут убрать значки, которые не нужны, при соответствующих настройках.

Так что проблемы, на самом деле, нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Так когда наконец firewall то будет у DrWeb?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Так когда наконец firewall то будет у DrWeb?

Ожидается в Dr.Web 5. Но пока рано говорить, насколько он будет полноценным файерволлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Всем привет, господа! :) Позвольте типичному пользователю- ламеру принять участие в вашей обширной дискуссии.

По поводу интерфейса - да, хороший интерфейс нужен, хоть в АВ, хоть в fw. Лично я с 2005-го года (как появился свой комп) пользователь ЛК, и ловлю себя на мысли, что решающую роль в выборе сыграл именно интерфейс. На тот момент я просто знал, что для Windows нужны защитные прграммы и знал несколько наименований антивирусов и фаеров, менял их одну за другой и в итого остался с ЛК. Хочу уточнить, что именно я понимаю под словом "интерфейс": это не только красивое окно программы с пресловутыми "рюшечками" или поддержкой уймы скинов (типа "юбилей ХY лет" или "терминатор" ;) ) и не только обилие настроек. Сюда же я включаю и понятие эргономика, т. е. удобство использования или управления чем- либо (в данном случае программой). Мне нравится, например, что в Каспере, начиная с той самой моей 5.0.227 была реализована (правда, несколько геморройно) возможность автовыключения компа по окончанию проверки, скорость которой, как известно, на тот момент была не на высоте, и поэтому я просто запускал проверку и с чистой совестью ложился спать, а комп сам вырубался когда надо. Очень хорошо, что эта возможность сохранилась во всех последующих версиях и усовершенствована. Кроме того, хорошо когда в процессе проверки при случайном выключении ав он запрашивает подтверждения этого действия или позволяет при нажатии на кнопку "Закрыть" убирать программу в трей не прерывая проверки. В том же Каспере есть ещё несколько оригинальных находок: галочка "Уступать ресурсы другим приложениям" или кнопка "Применить" позволяющая установить аналогичные настройки сразу по нескольким категориям. В общем все эти фишки- рюшки я сейчас перечислять не буду, скажу главное: когда пользуешься таким продуктом, реально ощущаешь не то что бы заботу о себе (эту фразу очень любят на сайте Микрософта :) ), а то, что кто- то при разработке проги думал о всех этих вещах (ну, может быть не всегда сам, но по крайней мере, учитывал пожелания юзеров). Это очень приятно, а главное действительно повышает удобство пользования, и скажу по себе - вызывает некоторое привыкание (в хорошем смысле этого слова :) ) пользуясь каким- либо другим ав, например на работе, невольно сравниваешь его интерфейс с интерфейсом своего, ставшего для тебя эталонным.

Да, конечно, никакой интерфейс даже сверхэргономичный не компенсирует плохого детекта, но при прочих равных (а я считаю, что ЛК хорошо ловит вирусы) лично для меня это имеет значение. Если говорить о DrWEB, то его интерфейс, как по внешнему виду, так и в плане автоматизации, даже более аскетичен, чем у бесплатного Аваста (правда, тот более функционален) и интерфейс Веба, хотя бы в части дизайна, нужно обновлять от версии к версии. Я помню, когда он выпускался на загрузочных дисках - вот тогда до дизайна действительно не было дела: в процессе проверки просто бежали строки по DOS- экрану и всё :) . В своё время Нортоны 2003 - 2005 тоже не ахти как отличались по внешнему виду, но посмотрите на версию 2007, значит тоже считают нужным уделять этому внимание!

Теперь плавно переходим к идее AV-Desk с точки зрения юзера - категорически против того, чтобы пров единолично управлял настройками защиты! Да, есть обьективные доводы с обеих сторон, но если резюмировать, то можно понять, что эпоха NT - IT ликбеза и всеобщей компьютерной грамотности не закончена, а продолжается. Большинство толковых юзеров- ламеров (в том числе и я ;) ) скоро поймут, что если им есть что защищать на компе, то степень защищённости определяется не интерфейсом АВ, а прежде всего, степенью их компьютерной грамотности, и поэтому почаще будут почитывать на Anti-malware и Wiki (простите за невольную рекламу сайтов :) ).

P.S.

1) Помимо Windows существуют ещё и линкусы на которых, по утверждению знатоков :) , вирусы не живут и которые требуют лишь fw и следовательно могут оставить без работы разработчиков АВ :) ;

2) Valery а что вы имеете против Avir'ы? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
и в итого остался с ЛК

Поздравляю. Для себя Вы сделали действительно достойный выбор, перепробовав множество продуктов. Ваши приоритеты прозрачны и понятны. Но со своей колокольни Вы не можете оглядеть всё множество пользователей.

Если говорить о DrWEB, то его интерфейс, как по внешнему виду, так и в плане автоматизации, даже более аскетичен, чем у бесплатного Аваста

Тут подробнее. Вам не хватает каких-то настроек? Каких именно? Только завершение работы компьютера по окончании сканирования, которому Вы посвятили достаточно места в своём сообщении? Кроме того, я не понимаю, что такое "аскетичность в автоматизации"?

а то, что кто- то при разработке проги думал о всех этих вещах (ну, может быть не всегда сам, но по крайней мере, учитывал пожелания юзеров).

Мы тоже учитываем пожелания своих пользователей. Добро пожаловать на наш багтрекер с ними: http://bugs.drweb.com .

Каждое пожелание будет рассмотрено лично теми разработчиками, которые занимаются тем или иным компонентом.

интерфейс Веба, хотя бы в части дизайна, нужно обновлять от версии к версии.

Может быть, Вы не слышали, но для Dr.Web 5 разрабатывается новый интерфейс. Конечно, изменения коснутся и архитектуры всего продукта в целом. Первую бета-версию обещали в первом полугодии. Как сложится - посмотрим. Но результаты разработки всё более чётко прорисовываются.

Теперь плавно переходим к идее AV-Desk с точки зрения юзера - категорически против того, чтобы пров единолично управлял настройками защиты!

Если против, Вы можете пользоваться коробочной или электронной лицензией. Их никто не отменяет. AV-Desk - это антивирусная услуга, она разрабатывалась для пользователей, которые пользуются компьютером точно так же, как чайником, микроволновкой, холодильником, для тех пользователей, которые не могут или не хотят разбираться в особенностях работы антивируса, и они где-то правы. Кроме того, в AV-Desk у пользователя всё же есть некоторые возможности, которых нет у пользователей Dr.Web Enterprise Suite. Вернее, администраторы антивирусных серверов, расположенных у провайдеров, дают больше возможностей для настройки антивирусов своим пользователям, чем администраторы Dr.WEb ES на предприятиях.

коро поймут, что если им есть что защищать на компе, то степень защищённости определяется не интерфейсом АВ, а прежде всего, степенью их компьютерной грамотности,

Это слишком категорично. Есть категория пользователей (и со временем она всё больше), для которой лучший антивирус - это который вообще без интерфейса. И знать они ничего о вирусах не хотят. Провайдер позаботился - хорошо. Не позаботился - ну шут с ним, вызову "специалиста" - он мне что-нить антивирусное поставит. На практике это означает что-то пиратское и редко или никогда не обновляемое. Пусть уж лучше AV-Desk.

1) Помимо Windows существуют ещё и линкусы на которых, по утверждению знатоков smile.gif , вирусы не живут и которые требуют лишь fw и следовательно могут оставить без работы разработчиков АВ smile.gif ;

Вирусы там на самом деле живут. Но их крайне мало. Если все перейдут на *никсы (а это вряд ли произойдёт в ближайшие 10 лет), то ситуация с вирусами изменится в пользу их доминирования под этими ОС.

2) Valery а что вы имеете против Avir'ы? wink.gif

А я где-то говорил, что против? Да, ложных срабатываний много, да, 1.000.000 записей, когда столько же можно ловить 300.000 записей, но кто без недостатков? Из бесплатных решений очень даже ничего. Для тех пользователей, у которых нет денег на коммерческое решение, вполне может сгодиться. Ну, изредка прогонять Dr.Web CureIt! в целях профилактики. Но это если нет менее 100 рублей в месяц на коммерческий антивирус. Обычно российские пользователи (я не про Москву в данном случае) платят в месяц за Интернет в несколько раз больше (а часто и не в несколько).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Valery, спасибо за подробный ответ на моё сообщение и за то, что оценили мой выбор :) На самом деле, я давно уже не являюсь фанатом одного и того же АВ (да, спорил когда- то с другими и доказывал, что: "Каспер - самый лучший! Он супер! Просто потому, что он лучший" :D ) сейчас я отношусь к этому спокойно, а пользуюсь указанным ав просто потому, что детект у него ничуть не хуже других (всегда находит то же, что и другие (я проверял), только классификация различается), когда находит вирусы хорошо с ними справляется, обновлять его удобно, короче, в моё понимании это не идеал, а просто хорошая "рабочая лошадка", к тому же, его постоянно совершенствуют. Но, вы правы - выбор дело личное, и я никому ничего не навязываю. Кстати сказать, к DrWEB я отношусь позитивно (пользовался 4.33 пару месяцев и триальным 4.44), особенно сейчас, когда он потихоньку набирает баллы (но, фаера ему и правда не хватает, так что ждёмс :) ).

Ещё мне очень нравится проект CureIT, как за идею - так называемый "переносимый" антивирус (т. е. не требующий инсталляции), так и за бесплатность :) . Это, на мой взгляд, настоящая забота о всех категориях пользователей, за это спасибо! Всегда рекомендую своим знакомым которые, извините, забили на все ав, или, в лучшем случае на их обновления! :D .

Согласен, по поводу автоматизации я слегка увлёкся, слишком много её не нужно :), но доработать планировщик так, чтобы он не только обновлял базы, но и выключал комп в установленное время или по окончании проверки, ведь не сложно? Это и есть моё пожелание как пользователя ;) .

А вот по поводу компьютерной грамотности хотелось бы кое- что добавить: какой- бы крутой ав не установили на комп, всё равно рекомендуется: отключить все ненужные и потенциально опасные службы (удалённый реестр, например, :) ), закрыть все порты, отключить автозапуск и т. д. и т. п., короче, вы сами прекрасно знаете все эти правила "компьютерной гигиены", несоблюдение которых может свести на нет присутствие антивиря в системе (те же флешки иногда шалят ;) ). Понятно, что провайдеры могут защитить с помощью AV-Desk, но к этой стороне атаки они никакого отношения не имеют и не будут иметь (не будут же их сотрудники ходить по домам и отключать всем желающим ненужные службы :) ) - это забота самого пользователя и хорошо если он знает о подобных угрозах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Предлагаю сконцентироваться на обсуждении межсетевого экрана в продуктах Dr.Web. Убедительная просьба - не "захламляйте" ветку постами, не имеющими отношения к обозначенной теме.

Отредактировал Mr. Justice

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Ок, пусть только Valery ответит - и больше не будем! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Motley, а что я должен ответить? Вопросов поставлено не было. В целом согласен. На этом можно и закончить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Ну, так когда появится фаер? Или что, уже передумали его добавлять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну, так когда появится фаер? Или что, уже передумали его добавлять?

Когда - пока не ясно. Нет, не передумали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Может вам с Аутпостом объединить усилия? Вот я посмотрю на результаты - у них антивирус вообще никакой, тем более зарубежный. А вам, чем изобретать велосипед, лучше уж взять готовый и проверенный движок. Всяко больше проку будет, чем от своего новоиспеченного файрволла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Может вам с Аутпостом объединить усилия? Вот я посмотрю на результаты - у них антивирус вообще никакой, тем более зарубежный. А вам, чем изобретать велосипед, лучше уж взять готовый и проверенный движок. Всяко больше проку будет, чем от своего новоиспеченного файрволла.

Может, и объединить, а может, и не надо :) Я политические вопросы в компании не решаю. Что делать с усилиями, которые уже потрачены на создание собственного файерволла? :) И тут ещё моральный аспект. Антиспам к антивирусной защите имеет малое отношение в отличии от файерволла, поэтому хочется сделать именно свой файерволл, хотя это сложно и долго. Я так думаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×