Лечение vs предотвращение заражения?

[ntoskrnl 155]

Это вы постоянно дописываете, додумываете, придумываете какие-то новые комплексные угрозы с элементами BDSM, и так далее.

Что я Вам "дописываю". Я пытаюсь общаться на специальном форуме с компетентными людьми. Которые, по логике вещей, должны понимать написанное с полуслова, без дополнительного разжёвывания на пару страниц. Вы же, постоянно изобретаете какую-то ненаучную фантастику, "ах у нас такой антируткит, он кого хошь убьёт, есму достаточно ssdt глянуть". Возьмите Neprodoor и замените дропаемый им экзешник на заражение всего и вся. "придумываю" я, видите ли. Вылечите сходу? нет, не вылечите. Вон, выше, маячок, очень кстати вспомнили. И прятался он наверное, так же, правда ведь? Всё "теми же" способами. И "лежал" почти там же. Только сектор немного другой. Смог продукт его вылечить без анализа? Нет. При том, что речь вообще идёт почему-то про tdsskiller, а не про кис/кав, как должно было бы.

Как я и говорил - не шарите нихера. В школу.

Молодой человек, я школу закончил ещё до того, как Вы узнали, что это такое. Хамите у себя дома и незнакомым людям на улице.

[sww 486]

Это бесполезно...

[Celsus 60]

Что понимается под лечением?

1. Лечение только файлов (exe, dll, doc), 2. лечение следов троянов и шпионских программ 3. устранение вредоносов, которые разными способами проникают на компьютер и запускаются (worm, drive-by, запуск троянской программы вручную и другие способы). Можно ли отнести к лечению пункт 3. детект + удаление?

Верны ли следующие рассуждения?

К предотвращению заражения относится детект. Если антивирус не обнаружит вирус или подозрительный опасный функционал в новом файле (детект №1: сигнатурный анализ и эвристика), то после запуска вредоноса останется надежда только на HIPS (детект №2). А если вредонос, на который не среагировал детект №1 (сигнатурный анализ и эвристический анализ нового файла или другого кода, попавшего на компьютер и проходящего через сканер антивируса), по этой причине (код же "чистый") будет добавлен в доверенные в HIPS => у вредоноса появится еще больше возможностей.

Получается, в случае, если сигнатурный и эвристический анализы ничего не дали, HIPS (детект №2) вдвойне важен.

С другой стороны, по той же причине отсутствия детекта №1 вредонос (если не обнаружит себя особыми действиями - не постарается отключить антивирус и др.) будет определен антивирусом как доверенное приложение и оставлен им в покое. Потому вдвойне важен сигнатурный или хотя бы эвристический анализ (детект №1).

Исходя из этих рассуждений, можно ли сказать, что сигнатурный и эвристический анализ нового файла в равной степени важен, как и анализ действий уже запущенного файла HIPSом?

И последний вопрос: так как выше говорили о том, что зараженный файл не только детектится (эвристикой анализа кода или его действий и сигнатурым анализом), но и должен быть вылечен, то существуют 2 вида сигнатур - по первым сигнатурам обнаруживается вирусный код в файле, а для лечения требуются отдельные сигнатуры.

Простите, если запутал.

[Danilka 678]

Не только HIPS-ом... Есть и другие технологии - BSS у ЛК с возможностью отката изменений и так далее.

[rkhunter 150]

Что кончилось? В течение нескольких часов после первого упоминания о детекте TDSSKiller-ом удалось все найти, что было нужно - то, что проверялись все варианты сразу - это нормально.

Причем тут SPTD и Cidox? SPTD детектируется как подозрительный файл из-за руткитового поведения, и будет детектиться. Мне до сих пор непонятны причины, по которым авторы блокируют доступ к своему файлу.

Тема-то вообще не об этом, а о криворуких разработчиках, которые не могут сделать нормальное лечение.

Под каким именем детектируется sptd?

[Fixxxer® 65]

rkhunter

12:17:15.0656 2540 sptd ( LockedFile.Multi.Generic ) - warning

12:17:15.0656 2540 sptd - detected LockedFile.Multi.Generic (1)

[~Джон Доу~ 45]

Чоб такого написать...

...угрозы с элементами BDSM, и так далее. Как я и говорил - не шарите нихера. В школу.

...Я пытаюсь общаться на специальном форуме с компетентными людьми...

...Хамите у себя дома и незнакомым людям на улице.

ntoskrnl, а Вы не путаете компетентных людей с офис-VIP-"Эксперт"-элитой ?

(перефразирую Вашу мысль: "Хамите у себя дома (это пройдёт, нас не касается, мы условно-"толерантны") и

людям.")

тема прекрасна)))

sww в этой теме он писал настолько понятно, красиво и подробно, что я аж возрадовался...

В теме несколько раз поднимался вопрос о ее закрытии, потому в качестве итога хочется в одно место собрать наиболее яркие ответы. Даже если они немного и резки, то это не умаляет их точности и верности.

[treme 41]

Уж писали-писали over 9000 раз, а народ все-равно тупой.

UPD: Основная проблема сейчас - это наличие "сигнатуры" в базах. И точка.

Несмотря на особо жаркое обсуждение, которое порой требует шпажной дуэли и обычной казни сверху, не хочу вдаваться в детали, поскольку выше много написано, но про обычную проблему все забыли.

Что простой пользователь остается всегда безоружным перед заражением, несмотря на возможные технологические возможности.

В свое время и мышьяком всякие разные болезни лечили и думали, вот оно счастье 100%, а потом Пастер появился.

И в моей практике синие экраны смерти возникали только при использовании российских антивирусных программ.

[WindowsNT 100]

Отвечу на изначально поставленный вопрос.

Никакое лечение не проходит бесследно. Вот поломает человек, положим, руку. Потом вылечит перелом. Потом снова поломает. Снова вылечит. И снова поломает-вылечит. Что, после лечения станет как новенький? Да никогда в жизни. Уже с первого перелома получит себе встроенный барометр, после второго хорошо если вообще рукой сможет пользоваться нормально.

И компьютерными заражениями ситуация не лучше. Начиная с момента заражения, все процессы в системе происходят полностью под контролем malware. Лечение в том числе. Одно их наиболее популярных заблуждений — держать вирусописателей за дураков. Вы что, серьёзно полагаете, что они слыхом не слыхивали о "лечениях" и не будут сопротивляться? Да поставьте себя на их место. Зачем вам делать вирус, от которого было бы легко избавиться? Думаете, они застряли в 60-х годах прошлого века и не изучают методики "лечений"? Да они приложат все силы, чтобы вы не смогли избавиться от заражения.

Как итог, предотвращать заражения (особенно для рядового безопасника) таки гораздо легче, чем что-то пытаться лечить, соревнуясь в изяществе ума с лучшими программистами, поставившими себе задачу держать вашу систему под контролем. Да и вам тоже наверняка интереснее ездить на автомобиле, который не ломается, чем на том, который легко и часто ломается, *зато дёшево чинится*.

[Fixxxer® 65]

Мда. Ответ стоит того, чтобы его готовить два месяца.

[Celsus 60]

Вопрос топика имхо некорректный.

Пример такого же: "Что на войне важнее, автомат или аптечка?" Без автомата солдата подстрелят, без аптечки, когда подстрелят (А ЭТО РАНО ИЛИ ПОЗДНО СЛУЧИТСЯ), солдат не сможет орудовать автоматом. Не беру в расчет СУПЕР настроенную систему, которую защищает Бог-SRP.

Пользователь все равно запустит кейген, хочет того антивирус или нет. Слишком большой соблазн. Когда уже станет ясно, что компьютер заражен, нужно будет лечить. Если это обыкновенный вирус, изменивший файлы, а антивирус не сможет их вылечить, придется переустанавливать многие программы и, возможно, ОС, что не пришлось бы делать, если бы антивирус умел лечить.

Думаю, вопрос "Что важнее, лечение или предотвращение заражения?" утыкается в пользователя: если тот любит запускать что попало, важно лечение (как важно мыло и шампунь от вшей для тех, кто любит играть в песочнице). Если пользователь просветленный Будда, его система буддет заражаться редко, так как йог буддет использовать метод предотвращения плохой Кармы, и способность лечения низкочастотных тяжелых вибраций долгое время не потребуется.