Перейти к содержанию
alx19

Способ уменьшить Real-Time тормоза McAfee VSE 8.5.0i...

Recommended Posts

alx19

Получил от одного админа следующие рекомендации по уменьшению тормозов постоянной защиты (а не полной проверки по требованию)

McAfee VirusScan 8.5.0i Enterprise + patch 1 + AntiSpyware 8.5i

1. По умолчанию он сканирует процессы как при записи на диск, так и при чтении. Нужно выбрать что-то одно.

2. Поставить в исключения все файлы почтовых баз и образов.

3. Можно выключить проверку архивов в почте, если на почтовом сервере стоит антивирь.

По агенту

4. Поставить время обращения к севреру пореже.

Если следовать этим рекомендациям, останется ли защита достаточной ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пункт 1 - потенциальный риск. Я так понимаю, что умного автоматического контроля этой опции нет. Тут или-или.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kuzz

ИМХО. По пункту 1.

Если оставить сканирование при чтении, то при каждом старте процесса он должен сканироваться, т.к. он (процесс) читается в память.

Так получится минимальная потеря в защите, но при минимальном выигрыше в ускорении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

SuperBrat

Вот какой ответ получил от этого админа на Ваши аргументы:

"Что есть вирус/троян/спайвер и пр? Это есть программа (библиотека ли, выполнимый файл - не важно). Чтобы любая программа работала - ей надо попасть в память. Память компьютера постоянно мониторится антивирусом. Так что как только зловредный код попадает в память - его режут, вместе с источником. Проверка при записи позволяет оградить от появления вирусов с различных сетевых источников."

То есть этот человек предлагает отключить тесты при чтении с диска

и считает что в памяти все проверится все равно.

Но тесты при записи на HDD оставить.

То есть все будет летать и защита будет достаточной.

Он прав ?

Имеется в виду

1. открыть консоль VSE8

2. войти в настройку On-Access Scanner

3. войти в All Processes

4. войти Detection

5. там выбрать под Scan Files только

When writing to disk

а галочку

When reading from disk

убрать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

alx19, давайте сделаем так. Вы возьмете тестовый (eicar) или "безобидный" вирус (программа-шутка, например) известный данному антивирусу, положите зловреда на диск при выключенном антивирусе. Включите антивирус. Сделаете "оптимизацию" по совету этого "админа" и попробуйте "заразить" систему. Если антивирус справится, честь ему и хвала. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Вот какой ответ получил от этого админа на Ваши аргументы:

"...Чтобы любая программа работала - ей надо попасть в память. Память компьютера постоянно мониторится антивирусом. Так что как только зловредный код попадает в память - его режут, вместе с источником..."

Относительно "память компьютера постоянно мониторится антивирусом"

хотелось бы узнать подробнее у автора высказывания. Если возможно.

Аналогично насчет "как только...попадает в память" : )

(хотя, может, так закончилось попытка объяснить "простыми словами"...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
"Что есть вирус/троян/спайвер и пр? Это есть программа (библиотека ли, выполнимый файл - не важно). Чтобы любая программа работала - ей надо попасть в память. Память компьютера постоянно мониторится антивирусом. Так что как только зловредный код попадает в память - его режут, вместе с источником. Проверка при записи позволяет оградить от появления вирусов с различных сетевых источников."

То есть этот человек предлагает отключить тесты при чтении с диска

и считает что в памяти все проверится все равно.

Но тесты при записи на HDD оставить.

То есть все будет летать и защита будет достаточной.

Он прав ?

Контроль памяти - это штука с огромным количеством нюансов. Реализовать это хорошо весьма проблематично. Всего пару антивирусов на рынке вообще _берутся_ за контроль памяти (лично я знаю только про Др.Веб и Макафи, причём не знаю как Макафи, а Др.Веб память проверяет только сканером, не постоянной защитой). В остальных же продуктах под сканированием памяти подразумевают сканирование файлов, которые принадлежат запущенным в памяти процессам - опять-таки, речь идёт о сканере, а не постоянной защите.

Так что я хоть и не знаю, как енто всё дело реализовано в Макафи (буду рад узнать), но очччень сомневаюсь, что на контроль памяти можно полагаться, и что он вообще является частью постоянной защиты.

И поэтому если отключить проверку при чтении, то можно получить весьма глупую ситуацию, когда юзер будет запускать какой-нибудь eicar раз за разом, а антивирус будет тупо молчать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
И поэтому если отключить проверку при чтении, то можно получить весьма глупую ситуацию, когда юзер будет запускать какой-нибудь eicar раз за разом, а антивирус будет тупо молчать..

Здесь для юзера выбор простой.

Или тормоза, или регулярный сканер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
И поэтому если отключить проверку при чтении, то можно получить весьма глупую ситуацию, когда юзер будет запускать какой-нибудь eicar раз за разом, а антивирус будет тупо молчать..

Здесь для юзера выбор простой.

Или тормоза, или регулярный сканер.

Ну да. Причём регулярный сканер - это не обязательно полный скан компа. Это может быть скан памяти, критических объектов (вроде автозапуска) и запущенных процессов. Если такой скан будет проводиться, скажем, после каждого апдейта, то будет гуд. Ну и если антивирус не будут выключать, то будет совсем гуд =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×