Перейти к содержанию
PerfectDay

Как работает антивирус и файервол в Windows 8?

Recommended Posts

PerfectDay

Приветствую всех участников форума!

Поскольку близится выход Windows 8 (в том числе на планшетах с x86 архитектурой), возникает вопрос (думаю, не только у меня) об особенностях работы антивирусных программ в новой ОС (антивирусных в широком смысле, включая пакеты класса Internet Security).

Немного посмотрев и почитав обзоры Win8 (каких только ужасов про нее не написали), к сожалению, по данному вопросу не нашел почти ни слова, не считая краткого ответа OlegAndr.

Попробую сформулировать вопросы в меру своего начального понимания «Восьмерки».

Насколько я понимаю, Metro интерфейс представляет собой отдельную среду для приложений, не связанную напрямую с обычной настольной системой (и даже, как написали в блоге MS, рабочий стол можно рассматривать (надеюсь, только идеологически) как одно из Metro приложений). При этом в диспетчере задач и установленных программах Metro приложения не отображаются. Где-то же на диске они хранятся в виде файлов?

Как тогда будет осуществляться антивирусное сканирование Metro приложений? Например, если через WindowsStore пользователь начнет скачивать вредоносное приложение, или вирус заразит приложение, или вирус начнет устанавливать скрытое Metro приложение - вариантов вредоносной активности может быть много.

И как именно файервол будет контролировать доступ Metro приложений к интернету? Лично я всегда стараюсь ограничить доступ стандартных программ Windows, которыми я не пользуюсь или которым нечего делать в инете (Медиаплеер, Блокнот и другие).

Наконец, как именно будет осуществляться контроль и защита таких приложений HIPS’ом?

Предлагаю обсудить эти вопросы. Уверен, что с выходом «Восьмерки» они возникнут очень у многих.

P.S. Разместил тему в этом разделе, так как интересует работа персональных антивирусных программ.

P.P.S.

Чтобы не создавать в техническом разделе форума отдельную тему, кратко напишу здесь об одной сложности, связанной с темой данного топика. Перед созданием темы на форуме обычно всегда использую поиск, вдруг вопрос уже обсуждался. Однако при попытке поиска на AM по ключевым словам "Windows 8" (и в кавычках, и без) система выдает сообщение об ошибке, состоящей в том, что слово для поиска не может быть меньше трех букв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Спрашивали отвечаем.

Метро из системы видится как хранилище с набором файлов.

Антивирус десктопный может сканировать файлы метро-приложений на предмет вирусов, и есть спец механизм по отключению\удалению вредоносного либо зараженного десктопным вирусом приложения.

Вопрос в фаерволом не рассматривал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Приложения Metro не имеют доступа к реестру. http://msdn.microsoft.com/en-us/libr.....;/br241587.aspx

Методы изоляции приложений Metro от сети http://www.microsoft.com/en-us/downl....aspx?id=27534

Все приложения Metro должны с помощью Capabilities уведомить пользователя о том, доступ к каким данным и API они запрашивают. При желании пользователь сможет дополнительно ограничить доступ приложения после его установки. http://channel9.msdn.com/events/BUIL...D2011/APP-398T

Запуск приложений Metro с правами администратора, не предусмотрен.

Все приложения Metro будут проходить проверку перед тем, как появятся в Windows Store.

Исходя из изложенного, никакое сканирование приложений в среде Metro (или как оно сейчас называется) не нужно. Хипс не нужен тем более.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×