Перейти к содержанию
nt_user

Как ускорить работу антивируса.

Recommended Posts

nt_user

Всем доброго времени. Хотел бы изложить свои соображения по поводу ускорения работы антивируса в ОС Windows 7/Vista на примере Windows7. Итак начнём с настройки UAC перейдём Панель управления\Все элементы панели управления\Центр поддержки\Изменение параметров контроля учётных записей и передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

  • Upvote 10
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

http://www.3dnews.ru/interactive/view/7/2

-Чивиков В.Ю. "антивирусное ПО упорно продолжает сканировать диски целиком, бесполезно занимая системные ресурсы."

-Евгений Касперский "99% (или около того) компьютерных пользователей не являются профессионалами, и никогда ими не станут, да и не должны – это не их работа."

Я полностью согласен с вышесказанным.

Произвести настройку из первого поста смогут и не профессионалы и тогда антивирусное ПО перестанет сканировать диски целиком, бесполезно занимая системные ресурсы.

P.S. Пора бы уже антивирусному ПО обзавестись кнопкой защищать только подверженные заражению места. То есть неприкрытые UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

вот тут есть вирус сам который ваш UAC отключит

Например, черьв Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей.

Забудьте про мнимую безопасность, антивирус должен быть включен. Но лично вы можете спокойно снизить защищенность своего компьютера в угоду скорости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

Ваш блокер будет заботливо удалён антивирусом при запуске из подконтрольного антивирусу места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Когда блокер распакуется. Или вы предпологаете установку блокера архивом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

2. проходит время и зловред попадает в базы, но антивирус его все равно не ловит, т.к он в исключениях все равно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Когда блокер распакуется. Или вы предполагаете установку блокера архивом?

Sorry ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию... это аналогично тому, что предложили вы, только посложнее.

PS: разумеется, что вы вольны как угодно защищать свой компьютер, как угодно ускорять его работу и настраивать его защиту, никто не может вам этого запретить, мы лишь пытаемся сказать, что ваша задумка годна лишь для некоторых. Лично для меня подходит вообще не использовать никакого антивируса, и юзать ХР (там вообще мало оперативы жрется по сравнению с W7), но я это никому не предлагаю и нигде про это не пишу...

PS2: юзайте поиск, читайте про малварь, что-то про обход уак (причем это распространенный способ "обхода") что-то писали выше... зачем нам за вас искать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Ну, какбэ, например:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию...

Имеется и такое, но давайте обсуждать более традиционные методы.

Ну, какбэ, например:

И какбЭ работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
UAC с максимальным уровнем безопасности
давайте обсуждать более традиционные методы

Оооок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Оооок

А вам кажется обход noscript крайне традиционным, как и само использование noscript?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И какбЭ работает?

Я не думаю, что это фейк.

http://cyberarms.wordpress.com/2011/01/06/...-4-meterpreter/

(тоже с видео)

Security programming master David Kennedy recently released the above video on bypassing UAC with Backtrack 4 Meterpreter. Kevin Mitnick needed to bypass UAC for a penetration test, and together with David, came up with this script.

Пароль к гуглу: "Windows 7 UAC Bypass"

Там много интересного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

пожалуйста

На данный момент есть оригинальный обход UAC буткитом Black Internet Trojan (вернее не обход, действия на нервы пользователя):

В случае запуска под UAC установщик перезапускает свой процесс в цикле. Таким образом, пользователь будет получать предупреждения системы безопасности до тех пор, пока не подтвердит разрешение запуска процесса инсталлятора буткита с максимальными привилегиями.

этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
вот тут есть вирус сам который ваш UAC отключит

В указанной Вами статье нужно обратить внимание на это:

"Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск."

и далее приводится совет:

"Для того, чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

На самом деле эту проблему решить просто (жаль, что MS пока что не додумалась). Делается кнопка ("Запрещать данной программе всегда") и в качестве подсказки выводить юзеру окно, что если проявляется такая назойливость, что хочется нажать на эту кнопку, то нужно проверить компьютер на вирусы.

Это было бы идеально, если бы не наличие эксплойтов, которые могут и без социнженирии обойти UAC, используя его уязвимости.

Насколько понимаю, те дыры, что показаны в процитированных видяшках, уже закрыты. Но кто гарантирует, что не будут (или уже) найдены новые?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

Обход UAC в реальных условиях я так и не увидел. Антивирус прекрасно справляется с вирусами, насколько вообще может это делать антивирус, с предложенными мной настройками.

Хочу отметить: Скоро ли АВ компании перестанут игнорировать защиту UAC и слабые машины в целом. C выходом Windows8 на ARM процессорах пользователи могут и вообще забить на антивирусы, как на мешающие работе и бесполезные программы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Т.е. смысл весь в том, что UAC - не замена антивирусу. Антивирус является одним уровнем защиты. UAC является вторым уровнем защиты. Ну и т.д. Вопрос в том, стоит ли использовать один из уровней защиты в неполную силу ради производительности... Можно и вообще работать без антивируса, в общем-то, как Игорь Данилов (информация взята из одного из интервью) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Думать за вас никто не будет. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Обход UAC в реальных условиях я так и не увидел.

20 градусов Цельсия, 760 мм. рт. ст.? (хотя у нас нормальное - 720) :)

http://www.secmaniac.com/download/ - качайте, разбирайтесь.

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Убрать надоедливый UAC проще заставить, чем отключить антивирус. Многие UAC отключают и без всяких вирусов, ибо по глазам это постоянно выскакивающее окно бьёт, и звук мерзкий, и яркость фона меняется. Т.е. раздражает даже не постоянно выскакивающее окно, а реализация. Можно было бы сделать менее... раздражительно. ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
http://www.secmaniac.com/download/ - качайте, разбирайтесь.

Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

А зачем вирусу долгий век? Сколько сейчас средняя продолжительность жизни сэмпла? 4 часа? :)

Ок. Вот ещё пример: http://news.drweb.com/?i=1388&c=10&lng=ru&p=0

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска.

Эту новость писал ещё я, по информации из вирлаба. Не думаю, что это тупой гон.

Вот md5:

http://www.virustotal.com/file-scan/report...c29c-1299263995

Сотрудникам вирлабов должно быть просто отыскать сэмпл и проверить эти слова (на системе с обновлениями на дату до 3 декабря 2010 года).

Всё ещё теория?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А вам кажется обход noscript крайне традиционным, как и само использование noscript?

а предлагаемый вами метод тоже крайне традиционен?

вы лучше бы написали что вы хотите сказать, а то вы мое сообщение полностью проигнорировали, а про носкрипт зацепились...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.99.2
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и снимает некоторые ограничения.
         Работа с удаленным рабочим столом вышла на новый уровень недостижимый для подавляющего большинства программ удаленного управления.
         Функция оптимизирована для работы в локальной сети, что обеспечивает минимальный, почти неощутимый лаг и высокий максимальный fps.
         Дополнительно это обновление исправляет проблему с анализом ответа от сервиса VT.

       o Для Windows 8 и старше для получения копии экрана теперь используется Desktop Duplication API + DX11,
         который уменьшает загрузку процессора в удаленной системе и изменяет FPS в зависимости
         от интенсивности изменения содержимого экрана, что позволяет устанавливать нулевую задержку
         для обновления экрана без существенной загрузки процессора, что в свою очередь обеспечивает
         минимальный инпут лаг. В этом режиме состояние кнопки "CAPBLT" игнорируется.
         Максимальный fps в этом режиме минимум в 2 раза выше, чем в устаревших системах.

       o В клиентской части для отрисовки экрана задействован Direct2D с поддержкой использования ресурсов видеокарты,
         что позволяет отображать удаленный рабочий стол с приличным FPS даже при масштабировании кадра.
         Качество масштабирования экрана при использовании аппаратного ускорения стало заметно выше.
         (!) Минимальные требования Vista SP2/Windows Server 2008 SP2.

       o Добавлена поддержка передачи стандартных курсоров, стандартные курсоры не рендерятся на рабочий стол,
         а устанавливаются в клиентской системе, что позволяет избежать лагов при движении курсора и повышает fps.
         (!) В удаленных системах без физической мыши для поддержки этой функции необходимо активировать отображение курсора мыши.
         (!) Win+U -> Мышь и выбрать "Управлять мышью с помощью клавиатуры".

       o Исправлена и оптимизирована функция сжатия фреймов при работе с удаленным рабочим столом, из-за ошибки
         не поддерживались фреймы размером более 2560x1600 пикселей.
         Время сжатия фрейма уменьшено на 40%. (для 32/24 битных режимов)
         Коэффициент сжатия фрейма увеличен на 25%. (для всех режимов)
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные часть uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o В целях уменьшения трафика добавлена поддержка понижения цветности для 32/24/16bpp  режимов экрана
         (детализация не понижается, а лишь удаляется избыточная информация о цвете).
         Вы можете выбрать в списке 24bpp (24 бита на цвет), 15bpp (15 бит) и 7bpp (7 бит).
         7bpp это черно-белый режим со 128 градациями серого. Яркость в это режиме представлена средним арифметическим
         цветовых компонент, этот вариант смотрится лучше и требует меньше ресурсов процессора, чем "правильное" обесцвечивание.
         Каждый шаг понижения цветности экономит до 70% трафика относительно предыдущего режима, однако 24bpp
         позволяет достичь максимального fps (только при достаточной ширине канала), за счет минимального времени сжатия картинки.

       o Повышена точность трансляции координат курсора.

       o Добавлена дополнительная кнопка "1:1", при нажатии на нее устанавливается размер отображаемого рабочего стола 1:1
         (при физической возможности), а при нажатии на нее правой кнопкой мыши высота окна остается неизменной,
         а ширина окна подстраивается под соотношение сторон удаленного рабочего стола.

       o Изменена функция кнопки "[ ]", при при первом нажатии на нее высота удаленного рабочего стола становится максимальной
         с учетом высоты таскбара, при повторном нажатии размер удаленного рабочего стола масштабируется до максимума в соответствии
         с текущим разрешением клиентского монитора и учетом соотношения сторон исходного изображения вплоть до перехода в полноэкранный режим,
         заголовок окна и управляющие кнопки автоматически скрываются и проявляются если подвести курсор мыши к верхней границе дисплея,
         эффект от третьего нажатия на эту кнопку соответствует эффекту от первого нажатия.
         Горячая клавиша RWIN доступна и в полноэкранном режиме, при ее нажатии в клиентской системе полноэкранный режим будет отменен и будет
         активировано ближайшее окно другого приложения (эмуляция Alt+Tab), при повторном ее нажатии или переключении в окно удаленного рабочего стола
         полноэкранный режим будет восстановлен.

       o Передача удаленного рабочего стола и нажатий кнопок теперь производится через сокет открываемый на время
         передачи по случайному порту, что позволило дополнительно повысить FPS и отзывчивость удаленного интерфейса.
         Серверная часть uVS на удаленном компьютере автоматически добавляет себя в исключения брандмауэра Windows при запуске
         и удаляет себя из исключений при завершении. При использовании стороннего фаервола необходимо добавить uVS в исключения
         самостоятельно на удаленной машине, в этом случае необходимо прописать bFixedName=1 в settings.ini, что бы имя исполняемого файла
         было постоянным.
         В качестве имени удаленного компьютера допустимо использовать:
          o IPv4 (подключение по TCP-IPv4, максимальная скорость запуска серверной части)
          o Имя компьютера (автоматический выбор версии IP, скорость передачи картинки выше в случае TCP-IPv6 в пределах 4%)
          o Доменное имя   (автоматический выбор версии IP)
         (!) Приоритетным протоколом является IPv6, т.е. если у удаленной системы есть IPv4 и IPv6 адрес, то подключение будет по IPv6.
         (!) Если вы используете Ф или сторонний фаервол то в клиентской и удаленной системе необходимо разрешить исходящие запросы
         (!) по протоколу ICMPv6 для SYSTEM.
         (!) Подключение по IPv6 доступно начиная с WinXP.
         (!) Для работы с удаленной системой без отображения рабочего стола внесение изменений в настройки фаервола не требуется.

       o Новый параметр в settings.ini
         [Settings]
         ; Использовать IPv6 при подключении к удаленному рабочему столу.
           bIPv6 (по умолчанию 1)

       o В окне удаленного рабочего увеличено количество поддерживаемых мониторов с 6 до 10 (кнопки 1-10).

       o Окно удаленного рабочего стола теперь не приходится перезапускать при смене разрешения, положения или смены состояния
         текущего монитора в удаленной системе.

       o При работе с удаленным рабочим столом добавлена поддержка нажатия Ctrl+Alt+Del (кнопка CAD) для Windows Vista и старше.
         Для реализации этой функции добавлен новый модуль: usas.
         (!) На время его выполнения модифицируется групповая политика для разрешения использования SAS.
         (!) Чтобы эта функция работала в Windows Server 2008 и Windows Vista,
         (!) необходимо скопировать библиотеку(и) sas.dll из Windows 7:
         (!) C:\Windows\System32\sas.dll и C:\Windows\SysWOW64\sas.dll (для Vista x64 нужны обе)
         (!) и поместить их в C:\Windows\System32 и C:\Windows\SysWOW64 соответственно.
         (!) Эти библиотеки из Windows 7 были добавлены в STORE (каталоги NT60 и NT60x64).

       o Улучшена функция получения доступа к защищенным от чтения файлам на NTFS разделах.
         Теперь файлы, которые полностью защищены от открытия на уровне ядра, т.е. те что ранее не читались uVS,
         можно проверять по хэшу, копировать в Zoo и проверять их ЭЦП (в том числе и драйвер Ф).
         Добавлена поддержка чтения мелких защищенных файлов и файловых потоков полностью помещающихся в записи MFT.
         (новая функция прямого доступа к диску портирована из badNTFS Pro v2.21)

       o Обновлено окно лога для более быстрого добавления в него строк из нескольких потоков одновременно.
         Отображение строки лога ограничено 512 символами, однако при копировании строки или всего лога в буфер обмена копируется
         строка исходной длины, теперь лимита на длину строки нет.

       o Снят лимит на длину строк в окне информации о файле.

       o Снят лимит на путь и длину командной строки в окне истории процессов и задач.

       o Максимальный размер cmd/vbs и т.д. текстовых файлов, хранящихся в описании файла в поле #FILE#, увеличен до 128kb.
         Восстановить файл из образа автозапуска можно поместив значение данного поля в буфер обмена и далее
         сохранив его в любом текстовом редакторе.

       o В лог добавлено состояние брандмауэра. (0 - выключен, 1 - включен).

       o В окно установленных программ добавлена кнопка "Сохранить", которая сохраняет список программ в текстовый файл.

       o Обновлены start и start_x64: улучшена четкость шрифта в новых системах.

       o Обновлена функция разбора ответа от сервиса VT.
         Дополнительно в лог добавлены результаты из раздела sigma_analysis.

       o Окно истории процессов и задач стало немодальным.
         Перейти в это окно теперь можно из окна информации через его контекстное меню при щелчке правой кнопкой мыши по
         строке содержащей pid.
         (!) История процессов доступна лишь при активном отслеживании процессов и задач. (твик #39)

       o Исправлена критическая ошибка в функции обновления окна списка.

       o Исправлена критическая ошибка в функции проверки одного файла по списку критериев.

       o Исправлена критическая ошибка в функции сканирования реестра: длинные значения ключей полностью игнорировались.
         Теперь при обнаружении значения длиной свыше 1024 байт в лог выводится предупреждение с указанием ключа, имени значения
         и содержимого значения. Если в значении будет выделен файл то файл становится подозрительным.
         Эта ошибка присутствовала с v1.0.

       o Исправлена ошибка при открытии окна удаленного рабочего стола, задержка обновления экрана была 50мс
         вне зависимости от текущих настроек до ее изменения вручную.

       o Обновлена функция определения файлов запускавшихся неявно для совместимости с новыми билдами Windows.

       o Исправлена ошибка из-за которой в очень редких случаях мог не отображаться удаленный рабочий стол.

       o Исправлена функция обработки двойного щелчка кнопкой мыши.

       o Исправлена ошибка из-за которой клиент мог долго завершать работу с выдачей ошибок
         при штатном завершении серверной части.

       o Исправлена ошибка [Error: 0x80004002 - Интерфейс не поддерживается] в твике(27) удаления политик Chrome
         при работе с удаленной системой и при выполнении команды "regt 27" из скрипта.

       o Для Windows 11 возвращен оригинальный стиль чекбоксов, начиная с некоторого обновления их наконец-то исправили.

       
    • PR55.RP55
      Как бы это выявлять и исправлять в uVS ? https://forum.kasperskyclub.ru/topic/464495-pojmal-virusa-pereimenovalis-sluzhby/
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.5.74. Добавлена поддержка macOS Sequoia (версия 15).
    • PR55.RP55
      Можно сделать так чтобы объект в списке отображался не под своим именем, а под именем критерия. ( или по результату проверки на V.T ) - ( по настройке в settings.ini ) Для чего? Например в списке есть: oikgcnjambfooaigmdljblbaeelmeke odbmjgikedenicicookngdckhkjbebpd Но объект  может отображаться внятно: oikgcnjambfooaigmdljblbaeelmeke = T-Сashback1 — кэшбэк-сервис odbmjgikedenicicookngdckhkjbebpd = T-Сashback2 — кэшбэк-сервис  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.8.
×