Перейти к содержанию
Danilka

Не все "облака" одинаково полезны

Recommended Posts

Deja_Vu

и?

если бы семантек имел детект, а облако нет - то понятно дело.

а так - обычный пропуск - при чем тут облака?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Deja_Vu, а если внимательно посмотреть на скрин? Ооочень внимательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Кстати, почему Нортон, а не Симантек? Я так понимаю, это программа просто вычислила рейтинг, а тогда ничего особо криминального. Если только Гуд не есть Траст, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Deja_Vu, а если внимательно посмотреть на скрин? Ооочень внимательно.

Вызываю капитана очевидность!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser

1. Это бета-версия 2012, поэтому не интересно.

2. Что происходит при запуске xxx_video.exe?

3. Как это выглядит на текущем релизе 2011?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Я как-то не понял смысла поста. Прикольные картинки про GUI ?

ну я тоже тогда могу показать.

Capture555.JPG

это Stuxnet, кстати

post-413-1311936110_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Вызываю капитана очевидность!
просто вычислила рейтинг, а тогда ничего особо криминального. Если только Гуд не есть Траст, конечно.

Это к той теме, что рейтинг у вредоноса положительный (уже обсуждалось, что в облаке Symantec вредоносы получают положительную репутацию, тем самым еще и дают юзеру ложную инфу). И скорее всего гуд и есть траст, но могу ошибаться конечно.....

1. Это бета-версия 2012, поэтому не интересно.

2. Что происходит при запуске xxx_video.exe?

3. Как это выглядит на текущем релизе 2011?

1) Она уже у OEM... То, что теститься еще - не волнует. По сути уже релиз был.

2 и 3) Проверьте сами. Сама тема взята отсюда: http://community.norton.com/t5/Norton-Inte...ile/td-p/500188

Я как-то не понял смысла поста. Прикольные картинки про GUI ?

ну я тоже тогда могу показать.

это Stuxnet, кстати

В KIS не катит. Вот если бы он был доверенный по ЦП или просто белом списке KSN (доверенный), то другой разговор. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
1) Она уже у OEM... То, что теститься еще - не волнует. По сути уже релиз был.

Неужели?

У сотрудника Symantec прямо противоположное мнение.

Вы, должно быть, осведомлены лучше, чем сотрудники Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Неужели?

У сотрудника Symantec прямо противоположное мнение.

Вы, должно быть, осведомлены лучше, чем сотрудники Symantec?

Ок, продукт не подписан, а OEM - отдали бета-сборку для установки на ноуты\ПК.... :facepalm:

Речь тут вообще не об этом если на то пошло и пофиг - бета\релиз. Такая хрень была и есть на 11 версии также, облако то одно- уже обсуждалось на профильных ресурсах..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Ок, продукт не подписан, а OEM - отдали бета-сборку для установки на ноуты\ПК.... :facepalm:

Ясно. Просто бездумно несете ересь, основанную на "кто-то, что-то в интернете брякнул". В принципе не удивительно - это корпоративное.

ОК, с этим разобрались.

пофиг - бета\релиз

Еще одна ересь из разряда "корпоративное".

Значит когда KIS бетатестируем, то понимаем почему облака в бете не так как в релизе работают (либо выборочно, либо вообще вначале не работают) и до релиза на все 100% и не заработают. Когда о бете альтернативного продукта пишем - автоматически переходим в [Down syndrome mode]. Понятно, но тоже не удивительно.

Такая хрень была и есть на 11 версии также

Веселые картинки это все конечно очень интересно. Значение имеет только одно - реакция при запуске. С этим проблемы есть?

облако то одно

См. выше насчет '[Down syndrome mode]'

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я думаю тут проблема в том, что антивирусные вендоры пока еще не до конца поняли, как правильно трактовать имеющуюся статистику. Файл новый - раз, инфа по нему почти нет - два, юзают 10 пользователей сообщества - три. Вердикт - не опасен :)

Ну а по-хорошему логика должна быть несколько более сложной ИМХО. Такие файлы должны попадать "в серую зону", о которой нельзя толком ничего сказать. И предупреждать юзеров, что те запускают их на свой страх и риск, что это опасно.

А так получается, что юзера правда вводят в заблуждение такими попапами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Моё скромное имхо все они "облака" не без греха ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Я бы сказал программы, а не только облака.

Да, редко такое встречается. Надеюсь разработчики исправят такие косяки. Хотя смертельного ничего тут нет

Я рад, что Данилка каждую новую версию ставит и тестирует, находит баги\недостатки и скидывает сюда. Ему надо дать какую-то премию от Symantec

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ясно. Просто бездумно несете ересь, основанную на "кто-то, что-то в интернете брякнул". В принципе не удивительно - это корпоративное.

ОК, с этим разобрались.

Вы прямо на 100% знаете что да как, угу.

Еще одна ересь из разряда "корпоративное".

Значит когда KIS бетатестируем, то понимаем почему облака в бете не так как в релизе работают (либо выборочно, либо вообще вначале не работают) и до релиза на все 100% и не заработают. Когда о бете альтернативного продукта пишем - автоматически переходим в [Down syndrome mode]. Понятно, но тоже не удивительно.

11 версия тоже в бете?

А так получается, что юзера правда вводят в заблуждение такими попапами.

И я о том же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×