Тест на лечение активного заражения V (результаты)

[Kopeicev 94]

в отчёте большинство восклицательных знаков у буткитов, так оно и правильно - бут-сектор только с горомной натяжкой можно привязать к файловым сигнатурам.

или речь именно о файловых семплах, которые были кем-то проигнорированы?

Речь идёт о файлах-дампах MBR, отправленных вендору, но так и не добавленных в базу. Разъясняю: MBR тоже относится к файловому антивирусу т.к. это всего лишь первые 512 байт на диске, просто набор байтов, на который можно добавить сигнатуру, аналогично любому другому файлу, ничего более.

[GReY 35]

Что конкретно Вас интересует?

http://www.anti-malware.ru/forum/index.php...st&p=135898

http://www.anti-malware.ru/forum/index.php...st&p=136451

это всего лишь первые 512 байт на диске

и, тем не менее, это не файл, его можно считать лишь с физического диска. если антвирус определяет заражение, то какая разница, занесён ли MBR в сигнатуры? и как вы определяли, что он не занесён?

[Kopeicev 94]

и, тем не менее, это не файл, его можно считать лишь с физического диска. если антвирус определяет заражение, то какая разница, занесён ли MBR в сигнатуры? и как вы определяли, что он не занесён?

Ну очень просто же, если антивирус никак не реагирует на заражённый MBR (не выдаёт сообщений и не исправляет), значит не детектирует заражение. Поверьте, с точки зрения программиста нет разницы, читать MBR или файл, просто при чтении MBR вместо имени файла указывается Physical Drive 0, а функции такие же. Любой программист антивирусной компании это может за 5 минут реализовать.

[ALEX(XX) 60]

Будьте добры, поясните пожалуйста, почему "после установки Avast ОС грузится только в безопасном режиме"?

Это результат кривого лечения или безуспешная борьба антивируса с руткитом, который остаётся активным и в безопасном режиме?

Ну а БитДефендеру несправедливо засчитывать поражение, когда "в обычном режиме лечение проходит успешно"

Аваст не я крутил. Но могу сказать одно, в таких вот случаях чаще всего получается так, что АВ и руткит жутко конфликтуют между собой, АВ может даже не видеть руткит, но из-за схожих способов контроля системы (хуки и т.п.) сии два исчадия ложат систему в БСОД ( по причине выяснения между собой кто из них главнее) и, часто, даже очень глухой и неподнимаемый.

Что касается бита.. На данный момент процесс установки бита сильно изменился и, как я понял, очень нехило доработан момент разруливания ситуаций "надо установиться на зараженную машину". Оно-то и правильно, пользователь может и не знать, что машина заражена. Поэтому процесс лечения там идёт на должном уровне, глубоко и вдумчиво. И, по-хорошему, результаты должны быть одинаковыми, что в обычном режиме, что при установке. Ведь если лечение при установке "загнётся", то есть неплохая вероятность того, что из-за недоустановленного АВ и недокошенного зверя получим рухнувшую систему.

[GReY 35]

Поверьте, с точки зрения программиста нет разницы

вы создавали антивирусы? какой функцией читается физический диск я тоже знаю, однако современный (качественный, оптимизированный) сканирующий движок для меня нечто из области высоких технологий. конечно, если движок банально делает поиск подстроки, то ему не трудно добавить какую угодно сигнатуру. если же движок ориентируется по структуре MZ-файла, то код MBR для него не код вовсе

если антивирус никак не реагирует на заражённый MBR (не выдаёт сообщений и не исправляет), значит не детектирует заражение

так нортон же реагирует и предлагает залечить, почему же у него восклицательные знаки стояли?

Аваст не я крутил

спасибо за коментарий, я как раз пытался узнать, передрался ли аваст с заразой или криво её выкосил

а про битдеф - очевидно, что при установке они просто забыли подчистить хвосты и это легко может бы исправлено по баг-репорту

На данный момент процесс установки бита сильно изменился

вот что пишет Рубенкинг:

choose Bitdefender Rescue Mode. The effect is exactly like scanning from a rescue CD, but it doesn't require the user to download and burn the CD image. Only one test system needed rescuing in this way.

four of the test systems just plain got stuck at the very final step, launching services. On instruction from Bitdefender tech support, I rebooted those problem systems into Safe Mode and launched the scan program they specified. In every case this allowed the full installation to complete.

[ALEX(XX) 60]

а про битдеф - очевидно, что при установке они просто забыли подчистить хвосты и это легко может бы исправлено по баг-репорту

Если подойти глобально, то меня, как пользователя, мало волнует кто что забыл подчистить, верно?.