Перейти к содержанию
testeron

SmartScan зачем нужен, отличие от обычного сканирования

Автор testeron, в Trend Micro - покупка, использование и решение проблем

Recommended Posts

testeron    0

testeron
Опубликовано

В общем изучается возможность применения.

ну из различий Смарт и обычного скана:

применяются разные базы,

разные методы сканирования...

Интересуют ответы на вопросы, ваше мнение по данной теме:

1. как влияет на загруску?

2. в каких случаях на какие групы лучше применить? (есть настольные системы, серверы, мобильные буки в сети раз в неделю и т.д.)

в общем хочется услышать рекомендации какие подводные камни и вообще стоит ли заморачиватся...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Yablonskiy    20

Pavel Yablonskiy
Опубликовано

Как влияет на загрузку?

на сервер больше - на клиента меньше

север, желательно, должен быть выделенным.

в каких случаях на какие группы лучше применить?

да в принципе на любых

на серверах работает нормально. на ноутбуках, которые редко бывают в сети предприятия - но имеют подключение к интернет - тоже всё ок (будет подключаться к smartscan серверу trendmicro)

на стационарных пк - однозначно нужно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано

Еще сразу несколько вопросов "в тему":

- Если включен режим Smart Scan, то каким образом проверяется файл? Берется чексумма и отправляется по сети? По какому протоколу?

И на какой порт сервера? С чем сравнивается чексумма? С базой обновленных угроз на сервере Smart Scan? Это SQL-база или нет?

Как быстро происходит сравнение?

- Какова нагрузка клиентских запросов на сеть (в Кб) в случае, если на них используется Smart Scan?

- Какой траффик сгенерируют 100 клиентов, одновременно выполняющих сканирование с 1-м внутренним сервером Smart Scan? (посчитать)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков    5

Андрей Володенков
Опубликовано
Еще сразу несколько вопросов "в тему":

- Если включен режим Smart Scan, то каким образом проверяется файл? Берется чексумма и отправляется по сети? По какому протоколу?

И на какой порт сервера? С чем сравнивается чексумма? С базой обновленных угроз на сервере Smart Scan? Это SQL-база или нет?

Как быстро происходит сравнение?

Вопросы хорошие.

-Файл проверяется по технологии Bloom filter (http://en.wikipedia.org/wiki/Bloom_filter),в результате на клиенте есть база коротких сигнатур (индексный файл), на Smart Scan сервере - полноценная база сигнатур с действиями по лечению данных вирусов.В процессе сканирования в вирусном файле ищется сигнатура из индексного файла.Если она там есть, значит он подозрительный и с сервера запрашивается полная сигнатура и метод лечения.Полной сигнатуры на сервере может и не оказаться, тогда такой файл считается потенциально опасным.Ответы, полученные от сервера кэшируются на клиенте.База на сервере не SQL,а какая-то своя.Клиент с сервером взаимодействуют по HTTP.Кроме всего этого,на клиенте используется еще файл стандартных сигнатур, такой же, который используется для обычного режима сканирования.

- Какова нагрузка клиентских запросов на сеть (в Кб) в случае, если на них используется Smart Scan?

- Какой траффик сгенерируют 100 клиентов, одновременно выполняющих сканирование с 1-м внутренним сервером Smart Scan? (посчитать)

-Однозначно ответить нельзя, так как запросы к серверу идут не по каждому проверяемому файлу, а только по "подозрительным".Считайте что каждый запрос будет приблизительно 100 байт.

Данные и другие вопросы об устройстве продукта подробно рассматриваются на курсе OfficeScan 10 Support Track.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

testeron    0

testeron
Опубликовано

то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

к недостаткам:

1. нагрузка на сеть.

2. клиент должен быть в сети

поправте меня если не так или дополните список

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков    5

Андрей Володенков
Опубликовано
то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

Не понятно по какому критерию вы сравниваете.

к недостаткам:

1. нагрузка на сеть.

2. клиент должен быть в сети

поправте меня если не так или дополните список

1.Да.Решение порождает дополнительный трафик.К продукту дополнительно поставляется независимый Smart Scan Server.В больших организациях можно устанавливать отдельные Smart Scan Server для крупных сегментов сети, чтобы не нагружать ядро сети.

2.Клиент должен иметь доступ к локальному или глобальному Smart Scan Server'у.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

testeron    0

testeron
Опубликовано
Цитата(testeron @ 29.03.2010, 7:19)

то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

Не понятно по какому критерию вы сравниваете.

По критерию практического применения....

1. Если система захвачена вирусом но не "упала"

Было бы наверное логично при эпидемии переключать пользователей на smart csan

2. Ну и буки так сказать мобильные системы всетаки....

Больше не вижу смысла.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Trend Micro - покупка, использование и решение проблем

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      прогресс теперь графически отображается на плашке окна, проценты в заголовке больше не нужны, убрано все лишнее что влияло на производительность. Если нет реестра это проблема и с ней надо разбираться, а если есть то он подключен и анализируется.
        что значит поиском по эцп? по имени подписавшего файл или по сертификату или по хэшу сертификата.
        В прошлых версиях оно выводилось в 2х кодировках последовательно, что просто забивало лог мусором,  причем в разных системах правильная кодировка своя я опрометчиво решил, что нашел способ выбирать правильную, но оказывается в 7ке все не так как в младших и старших системах, придется для нее прописывать кодировку отдельно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] В прошлых версиях - всё читается нормально.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      1. По поводу реестра - важнее, что было найдено. Если реестра\копии нет... 2. Проценты те, что были в прошлых версиях при массовой проверке на V.T. https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=129963&width=500&height=500 3. Например есть файл подписанный некой ЭЦП. но... данного файла пока нет на V.T. т.е. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. искать не только по имени объекта -  но открывать сразу две страницы - одну с точным поиском по имени. другую с точным поиском по ЭЦП.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это нормально, реестр для псевдопользователя "All users" бывает редко, для чего системе он нужен, я не разбирался еще, но он бывает, теперь при отсутствии пользовательского реестра выдается такое сообщение, как и в случае если реестр поврежден.
      Т.е. в этом случае сообщение можно смело игнорировать.
        о каких % речь?
        Подробнее, что именно искать и зачем?
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Я не вижу % при массовой проверке файлов на V.T. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. Я бы добавил поиск по ЭЦП
×