NAV/NIS 2012. - Страница 7 - Вопросы по персональным продуктам Norton - Форумы Anti-Malware.ru Перейти к содержанию
ANDYBOND

NAV/NIS 2012.

Автор ANDYBOND, в Вопросы по персональным продуктам Norton

Recommended Posts

Burbulator    146

Burbulator
Опубликовано
wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред. :facepalm:

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Burbulator    146

Burbulator
Опубликовано

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

military    30

military
Опубликовано
Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

да, виртуальная. vmware workstation

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

сейчас начнут во всем винить vbox )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

У Вас виртуалка на чём установлена... :D

да, виртуальная. vmware workstation

сейчас начнут во всем винить vbox )

Вопросов больше нет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Burbulator    146

Burbulator
Опубликовано
А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поставте на реал. ос NIS и защищайте им виртуальную.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

military    30

military
Опубликовано
Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

SONAR справляется. Посмотреть можете на примере одной из модификаций ZA.

http://www.youtube.com/watch?v=yR0StxRXqfo

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Это не является "искусственным условием" :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано
А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

ole.dll.malware.prooflink.JPG

post-6056-1316268450_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Это не является "искусственным условием" :)

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Burbulator    146

Burbulator
Опубликовано
Поставте на реал. ос NIS и защищайте им виртуальную.

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Это уже совсем другой вопрос ;)

Перефразировали его не немного, а МНОГО :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Непременно :lol:

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Это уже совсем другой вопрос ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано
DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

В своем примере я хотел показать как детектирует трояны Symantec. Соотв. я не проверял работоспособность и скорее всего ее не будет, но тем не менее понять что в базу был добавлен хэш а не действительно сигнатура становится очень просто. Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Да, что печально, так поступает не только Symantec. Можете посмотреть сколько детектов отвалилось :(

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано

А

Действительно после некоторых АВ привыкаешь к детекту на мусор, но Norton не из таких.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Для кол-ва баз можно, а потом говорить, что наши базы самые полные :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Полонский    5

Полонский
Опубликовано
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Думаю, что пользователю необязательно вдаватся в такие подробности, тут важнее конечный результат в виде детекта, фолсов, скорости работы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.C    110

Rustock.C
Опубликовано
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

На этот случай в продуктах Norton используется такая функция, как "Кэширование". Что позволяет не проверять один и тот же файл множественное количество раз, если он, конечно, не был изменён. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по персональным продуктам Norton

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×