NAV/NIS 2012. - Страница 7 - Вопросы по персональным продуктам Norton - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Burbulator
wx. С чего Вы вообще взяли, что разработчики обязаны читать весь этот Ваш бред. :facepalm:

Хватит пудрить людям мозги, заведите блог и там разоблачайте.

а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
а в чём бред? Уже 2 человека заявили, что с этим зверем у Нортона проблемы. Или именно Ваши ответы являются истиной? Тогда может обоснуете почему?

Languy99 тоже называли "пособником комодо" и тесты фейком, пока на оф. форуме буча не поднялась и разработчики не подтвердили наличие проблем

А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Судя по Вашим тестам с kadets.info смею предположить, что тестовая ос таки виртуальная.

да, виртуальная. vmware workstation

Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

сейчас начнут во всем винить vbox )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Проводил подобный тест, заражение таки происходит. Результат идентичен результату wx.

Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Полонский

В системных требованих продуктов Нортон где-то указано, что их нельзя использовать для защиты виртуальных машин?

У Вас виртуалка на чём установлена... :D

да, виртуальная. vmware workstation

сейчас начнут во всем винить vbox )

Вопросов больше нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А в чём истина в кривых теста?

Если память не изменяет INDF полгода назад пытался обьяснить разницу тестов NIS на вирт. и реал. ос тогда вроде в срач всё вылилось.

Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я не знаю в чём истина, но знаю, что где-то с год назад (при покупке 2011-й версии) уточнял в поддержке Симантека, могу ли я использовать NIS для защиты XP на виртуальной машине (VMWare) - специфика такая у меня. Меня заверили, что проблем нет.

Теперь же на каждый факап в любительских тестированиях я слышу коронный ответ, что мол там же виртуалка использовалась. При этом официально нигде, ни на форумах, ни в системных требованиях, не оговариваются особенности работы продуктов на виртуальных машинах. :blink:

Поставте на реал. ос NIS и защищайте им виртуальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military
Всё зависит от условий проведения теста. Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
так и было. Download Insight с угрозой справлялся. Проверял "безупречную" работу SONAR.

SONAR справляется. Посмотреть можете на примере одной из модификаций ZA.

http://www.youtube.com/watch?v=yR0StxRXqfo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Смею предположить, что тушка была запакована в архив и скачана на систему, где не был установлен НИС (что является искусственным условием). Если же было обратное, то произошла бы блокировка угрозы до её запуска.

Это не является "искусственным условием" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
А обосновать это можете? Фолсы убирают далеко не по хешу.

Или это о "интеллектуальных описаниях" ? Так это не в счёт.

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

ole.dll.malware.prooflink.JPG

post-6056-1316268450_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это не является "искусственным условием" :)

Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Поставте на реал. ос NIS и защищайте им виртуальную.

когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Перефразирую немного. Вам часто попадались модификации ZA, запакованные в архив и распространяющиеся не через Интернет? ;)

Это уже совсем другой вопрос ;)

Перефразировали его не немного, а МНОГО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
когда найдете мануал по установке NIS на RedHat, напишите, пожалуйста, в личку.

Непременно :lol:

DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

Это уже совсем другой вопрос ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
DaTa, после Ваших манипуляций в hex-редакторе вредоносная программа будет работоспособна?

В своем примере я хотел показать как детектирует трояны Symantec. Соотв. я не проверял работоспособность и скорее всего ее не будет, но тем не менее понять что в базу был добавлен хэш а не действительно сигнатура становится очень просто. Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Да, что печально, так поступает не только Symantec. Можете посмотреть сколько детектов отвалилось :(

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский

А

Действительно после некоторых АВ привыкаешь к детекту на мусор, но Norton не из таких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Вы действительно думаете что движек Symantec способен понять выполниться эта программа или выпадет в осадок? :)

Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

Для кол-ва баз можно, а потом говорить, что наши базы самые полные :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Я думаю, что если "битая" вредоносная программа не несёт никакой опасности, то и детектировать её незачем. ;)

:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

Думаю, что пользователю необязательно вдаватся в такие подробности, тут важнее конечный результат в виде детекта, фолсов, скорости работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:)

Ресурсы файлового сканера(монитора) весьма ограничены, ибо если использовать слишком много проверок, сканирование может занять бесконечность, плюс сама ОС каждую секунду может открывать много файлов необходимых для ее внутреней работы. В силу обстоятельств файловый монитор их также должен проверять, поэтому вся проверка файлов сводится грубо говоря к поиску специально сформированых масивов байтов которые встречаются во вредоносных файлах но отсутствуют(должны отсутствовать в невредоносных файлах); либо проверки хэш сумы.

На этот случай в продуктах Norton используется такая функция, как "Кэширование". Что позволяет не проверять один и тот же файл множественное количество раз, если он, конечно, не был изменён. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×