Перейти к содержанию
SpasitelofMoney

McAfee VSE8 - ограничение по времени Real-Time скана файлов

Recommended Posts

SpasitelofMoney

Стоит McAfee VSE8+P11a+AntiSpyware

Вхожу в VirusScan Console (при дефолтных настройках - то есть ничего сам не менял)

On-Access Scanner

В вкладке General

есть раздел

Scan time

Maximum archive scan time (seconds) - 15

V - Enforce maximum scan time for all files

Maximum scan time (seconds) - 45

всегда в режиме Real-Time Scan, если в указанное время файло не успело проверится то его проверка прекращается и в лог. делается соотв. запись

Правильно ли я понимаю, что если хочется на самом деле защиты от

вирусов в Real-Time - надо отказаться от такого ограничения по времени проверки?

Если так, то кому может быть нужно такое ограничение ?

Типа приходишь выпить в кафе чашку кофе, а тебе и говорят:

"Все что не выпьешь за 30 секунд - отнимем".

А если на винчестере будет лежать достаточно большой зараженный

файл, который я запущу на выполнение.

VSE8 его будет проверять 45 секунд, но потом бросит в виду того что истекут 45 секунд, далее произойдет заражение моего компьютера со всеми вытекающими...

Так?

Я никогда в жизни не видел настройки ограничения времени проверки Real-Time файлов

в Symantec Antivirus Corporate Edition ...1.0-10.1.0.400.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
Symantec Antivirus Corporate Edition ...

Поэтому он и вешает систему секунд на 30?

А на самом деле, я подозреваю, то что ты не видел не говорит о том, что ограничения нет. Скорее всего есть, но не регулируется. Кстати многие отличия SAV9 от SAV8 заключались в выводе в пользовательский интерфейс тех настроек, которые были только в реестре. :)

А как вам умные пользователи которые (дабы спрятать от злого админа) переименовывают *.avi размером 700 Мб в *.exe ?!!!! У меня так пару раз ложили слабенький сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я никогда в жизни не видел настройки ограничения времени проверки Real-Time файлов

в Symantec Antivirus Corporate Edition ...1.0-10.1.0.400.

Не знаю насчет Corporate Edition, но например в Web Security for ISA 2004 такой параметр есть: максимальный размер архива после распаковки и максимальное время на его распаковку и сканирование

А как вам умные пользователи которые (дабы спрятать от злого админа) переименовывают *.avi размером 700 Мб в *.exe ?!!!! У меня так пару раз ложили слабенький сервер.

А против таких пользователей нужно использовать соответствующее ПО для файловых хранилищ, например Veritas Storage Exec

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
А против таких пользователей нужно использовать соответствующее ПО для файловых хранилищ, например Veritas Storage Exec

Ага, и хорошо быть здоровым и богатым... :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

о вирусах больше нескольких киллобайт я не слышал.

На сколько я понимаю есть очень четкая связь между размером проверяемого файла и временем, которое

нужно потратить на то чтобы его проверить на вирусы. То есть время скана определяется размером файла а не размером вируса которым он заражен.

Так есть уязвимость по этому признаку у антивируса или нет?

Например имеет ли смысл задаваться вопросом, какой максимальный размер файлов, которые могут оказаться зараженными надо разрешить иметь пользователям на компьютере чтобы 45сек. VSE8 хватало чтобы их проверить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так есть уязвимость по этому признаку у антивируса или нет?

Формально конечно есть, большие файлы не будут проверяться, но тут это вилка получается. Представте, что у вас в сетке лимит снят, я это знаю. Мне задосить вас будет просто элементарно, достаточно просто скнить, скажем, по мылу несколько крупных файлов :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Сергей Ильин

Не получится - у меня ограничение по размеру файла по почте 10 мб.

А может быть другая эффективная DoS атака, которой будет все равно, что есть ограничение 10 мб. и которая навредит мне если я отключу ограничение по времени проверки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А может быть другая эффективная DoS атака, которой будет все равно, что есть ограничение 10 мб. и которая навредит мне если я отключу ограничение по времени проверки?

Может, можно запаковать 10Мb сразу несколькими упаковщиками, если в настройках будет стоять большая глубина для проверки вложенных архивов, то это займет ощутимые ресурсы и время проверки. А если отправить таких файлов не одни, а скажем 1000 с зомби сети ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Сергей Ильин

Не думаю что есть смысл в Real-Time проверке архивов.

Ее надо отключать если влючена.

Зато если - 7мб архив распакуется - размер будет не так велик чтобы тормозить комп при отключенном ограничении на время скана в Real-Time.

На счет приема 1000 писем по почте - пользователю это быстро надоест и он выключит Outlook раньше чем примет их.

Да и не пилит она ломы... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Не думаю что есть смысл в Real-Time проверке архивов.

Ее надо отключать если влючена.

Зато если - 7мб архив распакуется - размер будет не так велик чтобы тормозить комп при отключенном ограничении на время скана в Real-Time.

Сергей Ильин имел в виду не архивы, а упаковщики (в смысле PE-пакеры, UPX и проч.), насколько я понял. Распаковка пакеров требует ресурсов. При этом заражённый упакованный файл всё равно опасен, ведь он по прежнему исполняем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин имел в виду не архивы, а упаковщики (в смысле PE-пакеры, UPX и проч.), насколько я понял. Распаковка пакеров требует ресурсов. При этом заражённый упакованный файл всё равно опасен, ведь он по прежнему исполняем...

Да, правильно, именно об упаковщиках речь.

Интересно при каком количестве таких писем начнутся проблемы на уровне почтового сервера :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
о вирусах больше нескольких киллобайт я не слышал.

А зря. Бразильские банковские трояны легко по 30Mb+, да уже давно и не только они.

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×