Евгений Касперский: проблема пиратства просто зашкаливает

[Иван 290]

вопрос тока в том это реально кейген или просто прога перебирающая набор утекших активационных ключей?

судя по отзывам на форумах, которые я видел - второе

[Maxim 0]

вопрос тока в том это реально кейген или просто прога перебирающая набор утекших активационных ключей?

судя по отзывам на форумах, которые я видел - второе

второе и уже забанили.

[Maratka 30]

Однако подобие такой фичи есть и в SpIDer Guard, или Вы не знаете?

SpiDer Guard никак не маркирует файлы.

И это хорошо?

Я не уверен.... Скажем ВСЯ защита Спайдера построена на том, что он НЕ ОТКЛЮЧАЕТСЯ...

Отключаем Спайдера, ставим вира, включаем Спайдера - и спасет нас только ПОЛНЫЙ скан.... Да и то - может быть...

Подобные фокусы с "маркированными" файлами у Касперского проходят ГОРАЗДО реже...

Похожий случай:

http://forum.drweb.ru/index.php?s=&sho...st&p=241085

[Valery Ledovskoy 1082]

Скажем ВСЯ защита Спайдера построена на том, что он НЕ ОТКЛЮЧАЕТСЯ...

И это правильно.

Отключаем Спайдера, ставим вира, включаем Спайдера

ССЗБ

спасет нас только ПОЛНЫЙ скан....

Периодический полный скан никто не отменял, вообще-то.

Да и то - может быть...

Если не помогает, есть техподдержка. Беслпатная, хочу заметить, и быстрее реагирующая, чем некоторые другие службы поддержки.

Подобные фокусы с "маркированными" файлами у Касперского проходят ГОРАЗДО реже... Wink

Но проходят.

[Maratka 30]

Почти согласен, что Спайдера (равно как и любого другого сканера реального времени) отключать не очень хорошо.... Но - этот режим зачем-то предусмотрен разработчкиками....

Могу предположить, что они не в курсе, что отключение Спайдера - это плохо?

Валерий, Вы им подскажите тогда плиз, чтобы этот режим убрали... а?

*****************

Фокусы с пропуском вира "благодаря iSwift" - редки

Пропуск вира "благодаря" отключенному Спайдеру - 100% факт. После включения - вир в файле Спайдер уже не видит в принципе...

Так какая технология надежнее?

***************

Полный скан после выключения и повторного включения Спайдера поможет (либо поможет бысрая техподдержка) - в случае ловли классического скажем вира...

В случае ловли Пинча, скажем старого, которого Доктор знает в лицо уже полгода - Спайдер не способен его остановить в прицнипе. Ну а "периодически сканировать" машину после каждого выключения Спайдера - вряд ли кто-то будет.... IMHO, конечно...

[Valery Ledovskoy 1082]

Но - этот режим зачем-то предусмотрен разработчкиками....

Если отключить компьютер от Интернета и запустить тяжёлое приложение (например, установку Visual C++ 2005, конечно, не с пирацкого диска), то вполне себе нормальная фича.

Фокусы с пропуском вира "благодаря iSwift" - редки

Но возможны, к сожалению. Поэтому мы снова возвращаемся к периодическому полному сканированию винчестера.

Ну а "периодически сканировать" машину после каждого выключения Спайдера - вряд ли кто-то будет....

См. выше, когда нужно отключать спайдер. Пользователь сам отключает антивирус, значит, он уверен, что в это время ничего к нему не залезет.

[Maratka 30]

Говоря другими словами - Вы действительно считаете, что на 100% лицензионных дисках виров не бывает в принципе?

********************

ISwift -самонастраивающаяся технология... пропустив вира сейчас, после следующего обновления она перепроверит его... С высокой вероятностью это произойдет РАНЬШЕ, чем пользователь запустит полный скан...

Спайдер этого не умеет В ПРИНЦИПЕ

*************

Пользователь может ошибаться.

А разработчкики антивируса верятно заинтересованны, чтобы их продукт не вызывал желания "пересесть" на продукцию конкурентов.

[TiX 0]

И я дров подкину..

>Valery Ledovskoy

>Например, можно ли считать, что технология origin, которую сейчас >направили в бета-тестирования, никак не противостоит проактивке ЛК?

И ведь можно кста.. т.к она неможет поймать ничего того, семейства чего не рассматрвивались.

Сказки про несигнатурный метод уже были опровергнуты когда выяснилась суть технилогии.

[Valery Ledovskoy 1082]

Говоря другими словами - Вы действительно считаете, что на 100% лицензионных дисках виров не бывает в принципе? Sad

Бывает. Но если один раз установка при включённом антивирусе с этого _лицензионного_ диска ужЕ прошла без обнаружения инфекций, то при повторной установке антивирус ужЕ не нужен, а время экономится приличное.

Спайдер этого не умеет В ПРИНЦИПЕ

Заблуждаетесь. Если очень уж хочется погонять компьютер, можете использовать фоновое сканирование.

И ведь можно кста.. т.к она неможет поймать ничего того, семейства чего не рассматрвивались.

Не рассматривались кем и где? Кстати, к дискуссии выше это не имеет никакого отношения. Не там подливаете масла.

Кроме того, неплохо было бы прочитать название темы, где мы сейчас находимся. Напомню, что я тут помогал решать К. проблему пиратства, так что вдвойне оффтопик.

Сказки про несигнатурный метод уже были опровергнуты когда выяснилась суть технилогии.

Я позволю себе продолжать утверждать, что _методы_ несигнатурные. Если метод в качестве исходных данных берёт сигнатуры, он от этого не становится сигнатурным. Потому что этому _несигнатурному_ методу можно подсунуть _разные_ сигнатуры, и он (этот несигнатурный метод) будет работать с этими разными сигнатурами.

Если Вы этого не понимаете, не путайте других.

[Dmitry Perets 30]

Я позволю себе продолжать утверждать, что _методы_ несигнатурные. Если метод в качестве исходных данных берёт сигнатуры, он от этого не становится сигнатурным. Потому что этому _несигнатурному_ методу можно подсунуть _разные_ сигнатуры, и он (этот несигнатурный метод) будет работать с этими разными сигнатурами.

Если Вы этого не понимаете, не путайте других.

Угу, и сигнатурный детект тоже, кстати, несигнатурный! Потому что модулю сигнатурного детекта можно подсунуть разные сигнатуры в качестве исходных данных, и он (этот несигнатурный сигнатурный модуль) будет работать с этими разными сигнатурами!

P.S. Вообще говоря, должен вам сказать, что истина в том, что нет никакой ложки...

Добавлено спустя 8 минут 47 секунд:

Периодический полный скан никто не отменял, вообще-то.

Если не помогает, есть техподдержка. Беслпатная, хочу заметить, и быстрее реагирующая, чем некоторые другие службы поддержки.

Не поможет это всё. Поздно будет. Вирь уже в памяти будет! Пользователь уже включит Спайдера, и Спайдер, глядя во все глаза, не будет видеть вирь в упор! Неужели вас это не смущает? Я не спорю, большинство технологий ускорения являются дырами в безопасности, и "Проверка только новых и изменённых файлов" Касперского, разумеется, не исключение. Всегда есть проблема опоздавших баз, к примеру. Но тут ситуация имхо просто абсурдная: вирь пропускается просто без причины... И базы успели, и вирь может быть хоть 10-летней давности, но он будет пропущен! Файл попросту _ни разу_ не будет проверен!

Добавлено спустя 2 минуты 35 секунд:

Могу предположить, что они не в курсе, что отключение Спайдера - это плохо?

Валерий, Вы им подскажите тогда плиз, чтобы этот режим убрали... а?

Я лично открывал соответствующую тему на форуме Др.Веба. Подискутировали... Пришли к тому, что сотрудник Др.Веба (правда, не разработчик Спайдера) согласился с тем, что режим - лишняя дырка. Но я так понимаю, что воз и ныне там? Может в "пятёрке" изменится?

[TiX 0]

Не рассматривались кем и где? Кстати, к дискуссии выше это не имеет никакого отношения. Не там подливаете масла.

Кроме того, неплохо было бы прочитать название темы, где мы сейчас находимся. Напомню, что я тут помогал решать К. проблему пиратства, так что вдвойне оффтопик.

Не рассматривались в вирь лабе.. т.к это оффтопик то и закончим на этом.

Я позволю себе продолжать утверждать, что _методы_ несигнатурные. Если метод в качестве исходных данных берёт сигнатуры, он от этого не становится сигнатурным. Потому что этому _несигнатурному_ методу можно подсунуть _разные_ сигнатуры, и он (этот несигнатурный метод) будет работать с этими разными сигнатурами.

Если Вы этого не понимаете, не путайте других.

Не суть важно. Сигнатуры тоже разные бывают. Этот метод основывается на "разных сигнатурах" если вам так проще. Он не основывается на анализе поведения в любом виде (эвристик тоже не всегда основывается к слову). Если есть желание развить тему то плиз в отдельный топик ибо оффток. Сорри )

[Valery Ledovskoy 1082]

Но я так понимаю, что воз и ныне там?

Где это критично, можно отказаться от smart-режима. На моих Windows-серверах стоИт "неоптимальный режим". И ничего, сервера не загинаются, вирусы не пролазят. Все ищут компромисс по-разному.

Добавлено спустя 1 минуту 47 секунд:

эвристик тоже не всегда основывается к слову

Таким образом, мы пришли к выводу, что все несигнатурные технологии используют сигнатуры. Пока на этом и остановимся.

[Maratka 30]

Валерий, а можете прокомментировать это?

http://forum.drweb.com/viewtopic.php?t=4350

Как спайдер ухитрился в упор смотреть на вира и не видеть его?

[Dmitry Perets 30]

Где это критично, можно отказаться от smart-режима. На моих Windows-серверах стоИт "неоптимальный режим". И ничего, сервера не загинаются, вирусы не пролазят. Все ищут компромисс по-разному.

Только по-дефолту включен именно режим "Смарт". Какой процент пользователей знает, что такое режим "Смарт"? Среди них, какой процент пользователей знает, почему это опасно? Среди них, какой процент пользователей изменит настройки? А между тем, пользователи отключают антивирусы... И иногда по совету разных инсталляторов (никогда не читали там рекоммендацию отключить все антивирусные продукты на время установки? А она есть...)

Думаю, гораздо лучше было бы, если бы по-дефолту стоял как раз другой режим. А уж если пользователь достаточно понимает в вопросе и решает включить сей режим, вот тогда пожалуйста. Почему так не делается? Может, скорость хромать начинает? =)

Таким образом, мы пришли к выводу, что все несигнатурные технологии используют сигнатуры. Пока на этом и остановимся.

Нет, мы к такому выводу не пришли. Вы забыли про поведенческий анализ. Не анализ кода, не эмулятор кода, а анализ поведения на "живой" системе. HIPS, если хотите... Проактивка КИС6, Panda TruPrevent, DefenseWall и т.д. если хотите =)

[Valery Ledovskoy 1082]

Валерий, а можете прокомментировать это?

http://forum.drweb.com/viewtopic.php?t=4350

Могу. На тот момент спайдер вируса не мог знать.

Как спайдер ухитрился в упор смотреть на вира

Покажите кусок лог спайдера, где спайдер знал вирус, но не заметил его.

И иногда по совету разных инсталляторов (никогда не читали там рекоммендацию отключить все антивирусные продукты на время установки? А она есть...)

А пользователь не знает при этом, что пока он что-то устанавливает, через Интернет ничего к нему пролезть не может? А если не знает, то виноваты инсталляторы, которые это советуют, не подумав.

а анализ поведения на "живой" системе.

Пока не увидел ничего. А именно, не увидел, что поведенческий анализатор aka проактивка может противодействовать большинству новых вирусов. Попытки есть, полного охвата новых вредоносных программ - не вижу.

[Dexter 20]

А между тем, пользователи отключают антивирусы...

Угу, причём постоянно.

И нет зависимости от режима проверки.

Кому словить, тот словит вне зависимости от наличия или отсутствия антивируса.

Если мы говорим о продвинутых пользователях, то они знают, что делать с файлами.

Ну что мы как малые дети спорим, ведь при отключении антивируса, неопытному пользователю не поможет ничего.

Только давайте не говорить о том, что какой-то антивирус отловит вредоноса после, потому что он проверяет при запуске.

В том же вэбе по-умолчанию включена проверка работающих программ и клиент сможет увидеть после очередного ежечасного обновления, что его комп заражён.

Да забыл спросить?

И как моя контора в той части, где оптимальный режим не обзаражалась?

Впрочем, плюнул три раза.

[Dmitry Perets 30]

А пользователь не знает при этом, что пока он что-то устанавливает, через Интернет ничего к нему пролезть не может? А если не знает, то виноваты инсталляторы, которые это советуют, не подумав.

Дык конечно же виноваты инсталляторы! Я разве кого-то ещё виню? А в эпидемиях виноваты, разумеется, вирусописатели. А в том, что пинч обходит проактивку периодически, виноват, ясен пень, дамрай. Я вообще не пойму чего юзеры на форумах антивирусов жалуются. Антивирусы что, виноваты, что вирусы пишут?

Пока не увидел ничего. А именно, не увидел, что поведенческий анализатор aka проактивка может противодействовать большинству новых вирусов. Попытки есть, полного охвата новых вредоносных программ - не вижу.

А это здесь причём? Я где-то сказал сейчас, что поведенческий анализ хорошийплохой? Я только сказал, что метод есть. Со своими плюсами и минусами, но есть. И он не сигнатурный. И поэтому ваш вывод об отсутствии несигнатурных методов неверен. Вот и всё. Больше ничего я не говорил. Но раз уж вы попытались вернуться к этой старой изъезженной теме, то скажите мне, какая методика обеспечивает полный охват новых вредоносных программ... Может что-то новое появилось со времён наших старых споров, а я пропустил?

Добавлено спустя 12 минут 56 секунд:

Угу, причём постоянно.

И нет зависимости от режима проверки.

Ну да. И поэтому неплохо было бы снизить шансы заражения в таких случаях.

Если мы говорим о продвинутых пользователях, то они знают, что делать с файлами.

Совершенно верно. И поэтому говорить о продвинутых пользователях не имеет смысла. Им дефолтные настройки абсолютно фиолетовы. А говорить надо о простых пользователях.

Только давайте не говорить о том, что какой-то антивирус отловит вредоноса после, потому что он проверяет при запуске.

В том же вэбе по-умолчанию включена проверка работающих программ и клиент сможет увидеть после очередного ежечасного обновления, что его комп заражён.

А не лучше было бы, если бы пользователь вообще не был заражён? Если бы вирус был пойман при попытке запуститься? Так мы бы снизили шанс заражения, потому что полностью бы исключили целую серию случаев. Например, когда пользователь через час узнаёт, что у него пароли ушли 30 минут назад. Не всем это нравится, некоторые антивирусы меняют из-за этого... Так почему не сделать это? Какие у этого минусы?

Да забыл спросить?

И как моя контора в той части, где оптимальный режим не обзаражалась?

Впрочем, плюнул три раза.

А у меня в конторе пароль в 90% случаев идентичен имени пользователя. И на мыло, и на аккаунты, и для админа... И ничего тоже не случилось пока... Так наверное нужно вообще признать область инф. безопасности бессмысленной, да? =)

[Dexter 20]

А не лучше было бы, если бы пользователь вообще не был заражён? Если бы вирус был пойман при попытке запуститься?

Мы же здесь говорили о ситуации с отключённым монитором.

В этом случае все неопытные юзеры с любыми антивирусами более чем равны.

[Maratka 30]

Не равны...

шестерка касперского после включения монитора файл проверит... И после обновления - тоже проверит. Вероятность не 100%, но и далеко не нулевая.

Добавлено спустя 41 минуту 15 секунд:

Как спайдер ухитрился в упор смотреть на вира

Покажите кусок лог спайдера, где спайдер знал вирус, но не заметил его.

***************

Я исхожу из самого начала топика на форуме Доктора:

"spider его на диск пропустил, заметил я его сам среди процессов запущенных"

При этом:

"А на диске этот файл сканер нашёл и удалил."

Или антивирусные базы для "Сканера" не то же самое, что базы для Спайдера?

[Dmitry Perets 30]

Мы же здесь говорили о ситуации с отключённым монитором.

В этом случае все неопытные юзеры с любыми антивирусами более чем равны.

Нет, мы друг друга не поняли =) Maratka уже ответил, на всякий случай повторю. Ситуация такая: юзер скачал вирус при отключенном мониторе. Запустил он его уже при включенном мониторе. Простой сценарий: юзер заметил странный файл, решил запустить, чтобы понять, что это (для простого юзера это более чем типично), но при этом предусмотрительно запустил антивирус (ведь если есть антивирус, бояться нечего, не так ли?). В результате с режимом "Смарт" он будет заражён, а без этого режима - нет.

Я не пытаюсь просто так напасть на Др.Веб или ещё кого-то! Просто я не вижу никакого смысла оставлять такую потенциальную дыру! Т.е. шанс заражения увеличивается без причины! Понятно, что юзеры делают глупости! Задача антивируса снизить вероятность последствий от этих глупостей, разве нет?

[Dexter 20]

Просто я не вижу никакого смысла оставлять такую потенциальную дыру!

Абсолютно согласен со словом - потенциальная.

Наши теории не всегда становятся гипотезами, тем более подтверждёнными множеством примеров.

А фактор непатченных рук никто не отменял.

Я исхожу из самого начала топика на форуме Доктора:

"spider его на диск пропустил, заметил я его сам среди процессов запущенных"

При этом:

"А на диске этот файл сканер нашёл и удалил."

В жизни всяко бывает.

Главное, что всё хорошо закончилось.

Ладно, хватит на сегодня идеологии.

Valery Ledovskoy,

C:Program FilesDrWebdrweb32w.exe  /ST /ARM /CNM /CU /ICM /MWM /PR /QU /SS-

http://forum.drweb.com/message/4350/32/#40918

Особенно если после обновления и сделать проверку по-умолчанию?

[Valery Ledovskoy 1082]

В Dr.Web ES данная проблема решена просто - по умолчанию пользователь не может отключить мониторинг. Плюс по умолчанию стоИт ежедневное сканирование винчестера в расписании. Хотя, ИМХО, достаточно проверять не весь винт, или не каждый день. Т.е. описанная ситуация невозможна в принципе.

А домашний пользователь должен иметь возможность делать всё, что ему заблагорассудится. Домашний пользователь сам себе и админ, и друг, и товарищ, и враг, и ССЗБ. Но он хозяин за своим компьютером. Многи включают в спайдере проверку архивов и неоптимальный режим. На современных компьютерах это даже вполне себе работает. Большинству же пользователей достаточно компромисса с установками по умолчанию.

[Dexter 20]

Домашний пользователь сам себе и админ, и друг, и товарищ, и враг, и ССЗБ. Но он хозяин за своим компьютером

Парольная защита при наличии нескольких пользователей была бы не лишней.

P.S. ССЗБ - самсебезлобныйбуратин?

[Valery Ledovskoy 1082]

Парольная защита при наличии нескольких пользователей была бы не лишней.

Я думаю, к этому прийдём после выхода 5-ки. Пока есть более актуальные задачи. Хотя соответствующий FR на багтрекере завести было бы не лишним.

ССЗБ - самсебезлобныйбуратин?

Типа того

[Dmitry Perets 30]

Но это и не важно' date=' удобство(лёгкость в данном случае) даются обычно компромиссом. Я видел тот же кав/кис на многих конфигурациях и не могу сказать, что он очень сильно стал легче хотя, конечно, с 4-й разница есть.

[/quote']

Есть, и большая! Но оставим КАВКИС, не про него сейчас. Берём Др.Веб с его движком, как он есть. Заменяем проверку только при записи на проверку только при ПЕРВОМ ПОСЛЕ МОДИФИКАЦИИ чтении. Да, придётся хранить данные о том, проверялся ли файл после последней модификации и проверять это, но эта проверка быстрая, она критично на скорости не скажется. Так делает НОД (который тормозами не страдает, как известно), КАВКИС 6 и другие... Имхо умно.

Добавлено спустя 9 минут 3 секунды:

В Dr.Web ES данная проблема решена просто - по умолчанию пользователь не может отключить мониторинг. Плюс по умолчанию стоИт ежедневное сканирование винчестера в расписании.

Такой способ мне как раз не нравится. Хотя в версии ES наверное это имеет смысл. Но дома точно нельзя такое делать, согласен с вами в этом. Есть случаи, когда юзер хочет отключить мониторинг, это делаю я, это делают многие другие, и это иногда нужно, так как нет и не может быть абсолютно "невидимой" защиты, и посему она иногда мешает (первый пришедший в голову пример - дефрагментация винта). Невозможность отключения будет только раздражать пользователя. А обязательная проверка по расписанию - тем более! Это ведь уже совсем заметно!