Перейти к содержанию
testeron

SmartScan зачем нужен, отличие от обычного сканирования

Recommended Posts

testeron

В общем изучается возможность применения.

ну из различий Смарт и обычного скана:

применяются разные базы,

разные методы сканирования...

Интересуют ответы на вопросы, ваше мнение по данной теме:

1. как влияет на загруску?

2. в каких случаях на какие групы лучше применить? (есть настольные системы, серверы, мобильные буки в сети раз в неделю и т.д.)

в общем хочется услышать рекомендации какие подводные камни и вообще стоит ли заморачиватся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Как влияет на загрузку?

на сервер больше - на клиента меньше

север, желательно, должен быть выделенным.

в каких случаях на какие группы лучше применить?

да в принципе на любых

на серверах работает нормально. на ноутбуках, которые редко бывают в сети предприятия - но имеют подключение к интернет - тоже всё ок (будет подключаться к smartscan серверу trendmicro)

на стационарных пк - однозначно нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Еще сразу несколько вопросов "в тему":

- Если включен режим Smart Scan, то каким образом проверяется файл? Берется чексумма и отправляется по сети? По какому протоколу?

И на какой порт сервера? С чем сравнивается чексумма? С базой обновленных угроз на сервере Smart Scan? Это SQL-база или нет?

Как быстро происходит сравнение?

- Какова нагрузка клиентских запросов на сеть (в Кб) в случае, если на них используется Smart Scan?

- Какой траффик сгенерируют 100 клиентов, одновременно выполняющих сканирование с 1-м внутренним сервером Smart Scan? (посчитать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков
Еще сразу несколько вопросов "в тему":

- Если включен режим Smart Scan, то каким образом проверяется файл? Берется чексумма и отправляется по сети? По какому протоколу?

И на какой порт сервера? С чем сравнивается чексумма? С базой обновленных угроз на сервере Smart Scan? Это SQL-база или нет?

Как быстро происходит сравнение?

Вопросы хорошие.

-Файл проверяется по технологии Bloom filter (http://en.wikipedia.org/wiki/Bloom_filter),в результате на клиенте есть база коротких сигнатур (индексный файл), на Smart Scan сервере - полноценная база сигнатур с действиями по лечению данных вирусов.В процессе сканирования в вирусном файле ищется сигнатура из индексного файла.Если она там есть, значит он подозрительный и с сервера запрашивается полная сигнатура и метод лечения.Полной сигнатуры на сервере может и не оказаться, тогда такой файл считается потенциально опасным.Ответы, полученные от сервера кэшируются на клиенте.База на сервере не SQL,а какая-то своя.Клиент с сервером взаимодействуют по HTTP.Кроме всего этого,на клиенте используется еще файл стандартных сигнатур, такой же, который используется для обычного режима сканирования.

- Какова нагрузка клиентских запросов на сеть (в Кб) в случае, если на них используется Smart Scan?

- Какой траффик сгенерируют 100 клиентов, одновременно выполняющих сканирование с 1-м внутренним сервером Smart Scan? (посчитать)

-Однозначно ответить нельзя, так как запросы к серверу идут не по каждому проверяемому файлу, а только по "подозрительным".Считайте что каждый запрос будет приблизительно 100 байт.

Данные и другие вопросы об устройстве продукта подробно рассматриваются на курсе OfficeScan 10 Support Track.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
testeron

то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

к недостаткам:

1. нагрузка на сеть.

2. клиент должен быть в сети

поправте меня если не так или дополните список

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков
то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

Не понятно по какому критерию вы сравниваете.

к недостаткам:

1. нагрузка на сеть.

2. клиент должен быть в сети

поправте меня если не так или дополните список

1.Да.Решение порождает дополнительный трафик.К продукту дополнительно поставляется независимый Smart Scan Server.В больших организациях можно устанавливать отдельные Smart Scan Server для крупных сегментов сети, чтобы не нагружать ядро сети.

2.Клиент должен иметь доступ к локальному или глобальному Smart Scan Server'у.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
testeron
Цитата(testeron @ 29.03.2010, 7:19)

то есть к плюсам данного способа можно отнести:

1. Замена таких утилит как drweb curit например.

Не понятно по какому критерию вы сравниваете.

По критерию практического применения....

1. Если система захвачена вирусом но не "упала"

Было бы наверное логично при эпидемии переключать пользователей на smart csan

2. Ну и буки так сказать мобильные системы всетаки....

Больше не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×