Перейти к содержанию
nt_user

Как ускорить работу антивируса.

Recommended Posts

nt_user

Всем доброго времени. Хотел бы изложить свои соображения по поводу ускорения работы антивируса в ОС Windows 7/Vista на примере Windows7. Итак начнём с настройки UAC перейдём Панель управления\Все элементы панели управления\Центр поддержки\Изменение параметров контроля учётных записей и передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

  • Upvote 10
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

http://www.3dnews.ru/interactive/view/7/2

-Чивиков В.Ю. "антивирусное ПО упорно продолжает сканировать диски целиком, бесполезно занимая системные ресурсы."

-Евгений Касперский "99% (или около того) компьютерных пользователей не являются профессионалами, и никогда ими не станут, да и не должны – это не их работа."

Я полностью согласен с вышесказанным.

Произвести настройку из первого поста смогут и не профессионалы и тогда антивирусное ПО перестанет сканировать диски целиком, бесполезно занимая системные ресурсы.

P.S. Пора бы уже антивирусному ПО обзавестись кнопкой защищать только подверженные заражению места. То есть неприкрытые UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

вот тут есть вирус сам который ваш UAC отключит

Например, черьв Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей.

Забудьте про мнимую безопасность, антивирус должен быть включен. Но лично вы можете спокойно снизить защищенность своего компьютера в угоду скорости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

Ваш блокер будет заботливо удалён антивирусом при запуске из подконтрольного антивирусу места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Когда блокер распакуется. Или вы предпологаете установку блокера архивом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

2. проходит время и зловред попадает в базы, но антивирус его все равно не ловит, т.к он в исключениях все равно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Когда блокер распакуется. Или вы предполагаете установку блокера архивом?

Sorry ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию... это аналогично тому, что предложили вы, только посложнее.

PS: разумеется, что вы вольны как угодно защищать свой компьютер, как угодно ускорять его работу и настраивать его защиту, никто не может вам этого запретить, мы лишь пытаемся сказать, что ваша задумка годна лишь для некоторых. Лично для меня подходит вообще не использовать никакого антивируса, и юзать ХР (там вообще мало оперативы жрется по сравнению с W7), но я это никому не предлагаю и нигде про это не пишу...

PS2: юзайте поиск, читайте про малварь, что-то про обход уак (причем это распространенный способ "обхода") что-то писали выше... зачем нам за вас искать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Ну, какбэ, например:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию...

Имеется и такое, но давайте обсуждать более традиционные методы.

Ну, какбэ, например:

И какбЭ работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
UAC с максимальным уровнем безопасности
давайте обсуждать более традиционные методы

Оооок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Оооок

А вам кажется обход noscript крайне традиционным, как и само использование noscript?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И какбЭ работает?

Я не думаю, что это фейк.

http://cyberarms.wordpress.com/2011/01/06/...-4-meterpreter/

(тоже с видео)

Security programming master David Kennedy recently released the above video on bypassing UAC with Backtrack 4 Meterpreter. Kevin Mitnick needed to bypass UAC for a penetration test, and together with David, came up with this script.

Пароль к гуглу: "Windows 7 UAC Bypass"

Там много интересного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

пожалуйста

На данный момент есть оригинальный обход UAC буткитом Black Internet Trojan (вернее не обход, действия на нервы пользователя):

В случае запуска под UAC установщик перезапускает свой процесс в цикле. Таким образом, пользователь будет получать предупреждения системы безопасности до тех пор, пока не подтвердит разрешение запуска процесса инсталлятора буткита с максимальными привилегиями.

этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
вот тут есть вирус сам который ваш UAC отключит

В указанной Вами статье нужно обратить внимание на это:

"Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск."

и далее приводится совет:

"Для того, чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

На самом деле эту проблему решить просто (жаль, что MS пока что не додумалась). Делается кнопка ("Запрещать данной программе всегда") и в качестве подсказки выводить юзеру окно, что если проявляется такая назойливость, что хочется нажать на эту кнопку, то нужно проверить компьютер на вирусы.

Это было бы идеально, если бы не наличие эксплойтов, которые могут и без социнженирии обойти UAC, используя его уязвимости.

Насколько понимаю, те дыры, что показаны в процитированных видяшках, уже закрыты. Но кто гарантирует, что не будут (или уже) найдены новые?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

Обход UAC в реальных условиях я так и не увидел. Антивирус прекрасно справляется с вирусами, насколько вообще может это делать антивирус, с предложенными мной настройками.

Хочу отметить: Скоро ли АВ компании перестанут игнорировать защиту UAC и слабые машины в целом. C выходом Windows8 на ARM процессорах пользователи могут и вообще забить на антивирусы, как на мешающие работе и бесполезные программы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Т.е. смысл весь в том, что UAC - не замена антивирусу. Антивирус является одним уровнем защиты. UAC является вторым уровнем защиты. Ну и т.д. Вопрос в том, стоит ли использовать один из уровней защиты в неполную силу ради производительности... Можно и вообще работать без антивируса, в общем-то, как Игорь Данилов (информация взята из одного из интервью) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Думать за вас никто не будет. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Обход UAC в реальных условиях я так и не увидел.

20 градусов Цельсия, 760 мм. рт. ст.? (хотя у нас нормальное - 720) :)

http://www.secmaniac.com/download/ - качайте, разбирайтесь.

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Убрать надоедливый UAC проще заставить, чем отключить антивирус. Многие UAC отключают и без всяких вирусов, ибо по глазам это постоянно выскакивающее окно бьёт, и звук мерзкий, и яркость фона меняется. Т.е. раздражает даже не постоянно выскакивающее окно, а реализация. Можно было бы сделать менее... раздражительно. ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
http://www.secmaniac.com/download/ - качайте, разбирайтесь.

Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

А зачем вирусу долгий век? Сколько сейчас средняя продолжительность жизни сэмпла? 4 часа? :)

Ок. Вот ещё пример: http://news.drweb.com/?i=1388&c=10&lng=ru&p=0

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска.

Эту новость писал ещё я, по информации из вирлаба. Не думаю, что это тупой гон.

Вот md5:

http://www.virustotal.com/file-scan/report...c29c-1299263995

Сотрудникам вирлабов должно быть просто отыскать сэмпл и проверить эти слова (на системе с обновлениями на дату до 3 декабря 2010 года).

Всё ещё теория?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А вам кажется обход noscript крайне традиционным, как и само использование noscript?

а предлагаемый вами метод тоже крайне традиционен?

вы лучше бы написали что вы хотите сказать, а то вы мое сообщение полностью проигнорировали, а про носкрипт зацепились...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×