NAV/NIS 2012.

[Burbulator 146]

wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред.

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

[Полонский 5]

Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

[Burbulator 146]

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

[Полонский 5]

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

[military 30]

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

да, виртуальная. vmware workstation

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

сейчас начнут во всем винить vbox )

[Rustock.C 110]

Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

[Полонский 5]

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

У Вас виртуалка на чём установлена...

да, виртуальная. vmware workstation

сейчас начнут во всем винить vbox )

Вопросов больше нет.

[Burbulator 146]

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах.

[Полонский 5]

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах.

Поставте на реал. ос NIS и защищайте им виртуальную.

[military 30]

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

[Rustock.C 110]

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

SONAR справляется. Посмотреть можете на примере одной из модификаций ZA.

http://www.youtube.com/watch?v=yR0StxRXqfo

[Dmitriy K 603]

Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Это не является "искусственным условием"

[DaTa 182]

А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

[Rustock.C 110]

Это не является "искусственным условием"

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет?

[Burbulator 146]

Поставте на реал. ос NIS и защищайте им виртуальную.

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

[Dmitriy K 603]

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет?

Это уже совсем другой вопрос

Перефразировали его не немного, а МНОГО

[Rustock.C 110]

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

[Полонский 5]

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Непременно

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Это уже совсем другой вопрос

[DaTa 182]

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

В своем примере я хотел показать как детектирует трояны Symantec. Соотв. я не проверял работоспособность и скорее всего ее не будет, но тем не менее понять что в базу был добавлен хэш а не действительно сигнатура становится очень просто. Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок?

Да, что печально, так поступает не только Symantec. Можете посмотреть сколько детектов отвалилось

[Полонский 5]

А

Действительно после некоторых АВ привыкаешь к детекту на мусор, но Norton не из таких.

[Rustock.C 110]

Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок?

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем.

[Полонский 5]

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем.

Для кол-ва баз можно, а потом говорить, что наши базы самые полные

[DaTa 182]

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем.

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

[Полонский 5]

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Думаю, что пользователю необязательно вдаватся в такие подробности, тут важнее конечный результат в виде детекта, фолсов, скорости работы.

[Rustock.C 110]

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

На этот случай в продуктах Norton используется такая функция, как "Кэширование". Что позволяет не проверять один и тот же файл множественное количество раз, если он, конечно, не был изменён.