Перейти к содержанию
dr_dizel

Ложные срабатывания на коммерческих данных

Recommended Posts

dr_dizel

Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

fail.gif

В данном случае Вэбу не понравился безобидный дамп схемы оракла (и слава богу, что тут не сработало уникальное вэбовское лечение удалением :huh: ).

post-4003-1205239469_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

В соответствии с Пользовательским Соглашением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

http://company.drweb.com/policy/

Как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov

Мне кажется речь идёт немного о другом. В том случае, если антивирус удалит важные данные (или их испортит) - кто будет нести ответственность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Мне кажется речь идёт немного о другом. В том случае, если антивирус удалит важные данные (или их испортит) - кто будет нести ответственность.

Еще раз говорю - читайте Пользовательское Соглашение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Еще раз говорю - читайте Пользовательское Соглашение.

А для чего Вы меня то отсылаете читать? Я вежливо поправил Валерия - и всё. А так я с Вами согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Я собственно о том, что никто в трезвом рассудке вам коммерческую информацию не даст т.к. часто даже право не имеет разглашать её внутри своего предприятия.

Есть ли какой-нибудь инструментарий, что позволит определить на стороне клиента причины ложного срабатывания (расширенные какие-нибудь флаги эвристики показывает) и позволяет в текстовой (а как же ещё?) форме отослать в вирлаб информацию для корректировки соответствующего правила детектирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

probably infected by .... или возможно, инфицирован ...... Это эвристик. Расширение "origin" говорит о срабатівании по origin Tracing. А далее - ваш комментарий в вирлаб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

Не вижу тут указания конкретного вопроса, касающегося возмещения ущерба. Какая интерпретация первая в голову пришла - на такую и ответил :)

Тут говорится о вопросах ложных срабатываний в общем :)

Если воспроизводится на базах данного формата регулярно, тогда можно попытаться позаписывать в базу мусор, или попытаься изменить "настоящую" базу таким образом, чтобы она не представляла коммерческого интереса, но чтобы на ней воспроизводилось ложное срабатывание.

Ущерб, конечно, возмещать никто не будет. Инструментария для бэкапа критичной информации предостаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я собственно о том, что никто в трезвом рассудке вам коммерческую информацию не даст т.к. часто даже право не имеет разглашать её внутри своего предприятия.

Есть ли какой-нибудь инструментарий, что позволит определить на стороне клиента причины ложного срабатывания (расширенные какие-нибудь флаги эвристики показывает) и позволяет в текстовой (а как же ещё?) форме отослать в вирлаб информацию для корректировки соответствующего правила детектирования?

Зачем это править - если ситуация настолько уникальна ?

Скорее всего вам посоветуют внести такие файлы в списки исключений при проверке и, наверное, будут правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Здесь согласен. Вопрос политик безопасности - в том числе и антивирусов - лежит целиком и полностью на плечах админа безопасности (ежели таковой имеется) или подразделения ИТ. В подобных организациях это должно быть обязательным моментом и определенным образом стандартизировано - через оргмеры, к примеру

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Если воспроизводится на базах данного формата регулярно

То вас бы уже засыпали гневными письмами клиенты оракла.

тогда можно попытаться позаписывать в базу мусор, или попытаься изменить "настоящую" базу таким образом, чтобы она не представляла коммерческого интереса, но чтобы на ней воспроизводилось ложное срабатывание.

Чтобы мыть золото - надо знать, как оно выглядит. Так и без детализации ругательства антивируса в большинстве случаев нельзя отделить зёрна от плевел.

Ущерб, конечно, возмещать никто не будет.

Желаю вэбовцам познать все прелести ошибочного лечения удалением у крупного клиента.

Касательно примера.

  • Формат дампа схемы оракла - это фактически SQL+данные таблиц.
  • Также мы знаем, что вэбовцы пишут свой фильтр траффика.
  • Получаем возможные потенциальные проблемы при работе клиентов с БД Oracle.

Когда я приводил пример, то ожидал, что последуют уже отработанные рекомендации для решения подобных проблем. Однако мне посоветовали просто по имени исключить файл из проверки. Подозрительное правило детекта т.о. останется прежним и может всплыть где-нибудь ещё.

К нашим зайцам.

Я спрашивал о существовании инструментов для решения подобных проблем, когда оригинальные данные для анализа не могут быть представлены.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Желаю вэбовцам познать все прелести ошибочного лечения удалением у крупного клиента.

Не делайте такие настройки для файлового монитора, которые могут привести к удалению файла, хотя бы на критичных серверах.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

Тогда поделитесь опытом, полученным на других рынках. Возможно, его стоит перенять? Где пользователям рассказывают, как собственными силами проанализировать файл, чтобы помочь вендору исправить сигнатуру, и как это происходит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Я спрашивал о существовании инструментов для решения подобных проблем, когда оригинальные данные для анализа не могут быть представлены.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

ИМХО, любой подобный гипотетический инструмент будет раскрывать по крайней мере часть конкретной технологии поиска вирусов, применяемой конкретным вендором (как правило, являющуюся конфиденциальной информацией уже компании-вендора). И именно поэтому такие инструменты навряд ли когда либо увидят свет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> когда оригинальные данные для анализа не могут быть представлены.

Тогда, скажем, попросят первые/последние 32кб базы и несколько подобных точек внутри базы. Или даже не сами куски, а их md5 хэши. Понятно что на целую базу сделать false-alarm запись гораздо проще, но кто платит, тот бал и заказывает. Все завист от степени сладости клиента для АВ компинии.

> инструмент будет раскрывать по крайней мере часть конкретной технологии поиска вирусов

Все внутренности пополярных АВ уже давно разобраны и продаются малварщиками для малварщиков на малварных форумах. Это не секрет и цены вполне приемлимые (аля "все тонкости эвристики eset за $100, торг уместен"). Типа мало импорта в программе - Heur.XPack.Gen, точка входа не в первой секции - NewHeur_PE, саспендит эксплорер - beheveslike: Trojan и т.д.

Бояться этого не надо - нормальные АВ на эвристику особо не полгаются, это так сказать бонус, а не обязательный модуль - если захотят, обойдут его обязательно, чего не скажешь о сигнатурах, прошедших через руки живых аналитиков :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Не делайте такие настройки для файлового монитора, которые могут привести к удалению файла, хотя бы на критичных серверах.

Валерий, включение вами некоего "дурачка" уже начинает утомлять.

Уже неоднократно обсуждалось воплощённое в продукте гениальное решение какого-то сотрудника вэба лечить файлы удалением, даже если в настройках принудительно стоит лечение или перемещение в карантин. Вэб, вопреки настрйкам, самовольно удаляет файлы. Совсем недавно он таким образом удалял инсталляторы Касперского. Это уже был реальный массовый прецедент, а не форумные сообщения и рассуждения, которые всплывали неоднократно.

Тогда поделитесь опытом, полученным на других рынках. Возможно, его стоит перенять? Где пользователям рассказывают, как собственными силами проанализировать файл, чтобы помочь вендору исправить сигнатуру, и как это происходит?

Валерий, стрелочник из вас тоже никакой.

А вот хороший опыт перенимать стоит. Если опыта нет, то стоит прислушиваться к требованиям клиентов.

Детект же происходит не от балды, а на основании сигнатур, эвристики. Базы же представляют собой список правил для детекта и лечения. Чтобы понять причину ложного срабатывания необходимо знать на какие данные сработал триггер. Я думаю, что для этого достаточно показать дамп найденной сигнатуры, расшифровку флагов эвристики, может ещё что. С этим может справится дополнительная утилита, что будет использовать вирусную базу установленного антивируса и выдавать результаты в текстовом формате. Это же не так сложно реализовать. Можно даже затачивать утилиту при передаче клиенту под конкретную проблемную запись в базе. А вот полученные данные от утилиты клиент может проверить на содержание конфиденциальной информации и принять решение о возможности передачи её в АВК.

Тогда, скажем, попросят первые/последние 32кб базы и несколько подобных точек внутри базы. Или даже не сами куски, а их md5 хэши. Понятно что на целую базу сделать false-alarm запись гораздо проще, но кто платит, тот бал и заказывает. Все завист от степени сладости клиента для АВ компинии.

В общем ясно, что некоторую часть проблемных данных придётся разгласить. А вот наобум запрашивать куски данных не стоит. Вполне возможно, что проблемные данные окажутся чистыми от коммерческой информации. Однако это может решить только клиент.

Конечно же я давно выделил без всякого инструментария от АВ проблемную часть данных, которая вызвала во мне ещё большее удивление при сопоставлении с сообщением АВ. Но мы же не рассматриваем конкретно меня и ложный детект на моих данных. Мы рассматриваем решение подобных проблем у среднестатистического клиента, который т.о. фактически участвует в улучшении АВ, за который платит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Совсем недавно он таким образом удалял инсталляторы Касперского. Это уже был реальный массовый прецедент, а не форумные сообщения и рассуждения, которые всплывали неоднократно.

Это было ложное срабатывание совсем другого рода. По моему опыту анализа ложных срабатываний на файлах баз данних (изредка) случаются срабатывания типа Modification of, других типов срабатываний не встречал. На дистрибутивах бывают ложные срабатывания .origin (хотя всё реже и реже), а также всяческих Trojan.DOWNLOADER (этот тоже от эвристики), но дистрибутивы имеют существенно более другую структуру, нежели файлы баз данных.

решение какого-то сотрудника вэба

По крайней мере, группы сотрудников. И данный метод часто себя оправдывает. В подавляющем большинстве случаев.

лечить файлы удалением

Modification of - это эвристик. Ложные срабатывания эвристика случаются у всех антивирусов. Лечение по срабатыванию эвристика невозможно. Лечение удалением в таких случаях не происходит.

даже если в настройках принудительно стоит лечение или перемещение в карантин.

Если перемещение в карантин, то лечение удалением невозможно.

Валерий, стрелочник из вас тоже никакой.

А вот хороший опыт перенимать стоит. Если опыта нет, то стоит прислушиваться к требованиям клиентов.

Вы обратили внимание на "совковый рынок". Я подумал, что, делая такое заявление, Вы знакомы с методами, которые в ходу на "несовковом" рынке. Значит, опыта такого у Вас нет. Можно было так и ответить. Вы почему-то всё время идёте на конфронтацию в своих ответах, но я Вам совсем не враг :)

За предложение с дампами срабатывания сигнатуры спасибо. Организовать такое, думаю, теоретически можно, хотя движки меняются достаточно динамично, поэтому и подобную утилиту тоже нужно будет постоянно дорабатывать, а это постоянные дополнительные ресурсы на разработку. Но идею такую разработчикам вполне можно предложить.

Вполне возможно, что проблемные данные окажутся чистыми от коммерческой информации. Однако это может решить только клиент.

Вот и первая логическая проблема предложенного Вами метода. Как пользователь узнает, содержится ли в "дампе срабатывания сигнатуры", который он отправляет, секретная информация или не содержится? Как ему это узнать, даже если разработчики захотят эту возможность реализовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это было ложное срабатывание совсем другого рода.

Причины ложного срабатывания для пользователей неважны - безопасные данные были удалены.

Главное чтобы самовольное удаление не вошло в обычную практику. Возьмём тогда недавний инцидент с затрояненым дистрибутивом Вэба, где для ускорения лечения в правиле было записано признать дистрибутив 100% трояном и соответственно удалить, хотя правильнее было бы выполнить лечение и, если невозможно, то карантин. Когда создатель правила самовольно решает удалить данные пользователя, которые можно было бы сохранить... Тенденция настораживает. Может было бы не всё так плохо, если бы все спорные моменты решались карантином. Но этого не происходит. Качество продукта падает, а вернее доверие к разработчикам.

И данный метод часто себя оправдывает. В подавляющем большинстве случаев.

Роль антивируса в виде обезьянки с гранатой меня как-то нервирует.

Modification of - это эвристик.

Это относится к совсем другому примеру - с базой. Не путайте.

Если перемещение в карантин, то лечение удалением невозможно.

До карантина там даже не доходит т.к. включается суперфича.

У меня действие "удаление" вообще в настройках нигде не использовано. Если бы мне дали выбор настройки действий для неизлечимых объектов, то и вопросов бы не было. Однако за меня чужие дяди решили удалять мои данные.

Вы обратили внимание на "совковый рынок". Я подумал, что, делая такое заявление, Вы знакомы с методами, которые в ходу на "несовковом" рынке. Значит, опыта такого у Вас нет. Можно было так и ответить. Вы почему-то всё время идёте на конфронтацию в своих ответах, но я Вам совсем не враг :)

Дело в том, что когда вам задают вопрос... соображу сейчас пример отражающий суть.

- Валерий, почему в логотипе вэба используется зелёный цвет?

- Дизель, хорошо что вы заговорили о роли зелёного цвета в жизни животных. Когда я отдыхаю на природе, то люблю смотреть на зелёные деревья и дышать свежим воздухом. Многие мои сотрудники по АВ-цеху разделяют моё мнение. Зелёный цвет так успокаивает. У меня дома есть лампа с зелёным абажуром и моей жене она очень нравится. Жаль, что вам непонятна вся магия и умиротворённость зелёной гаммы.

Я думаю, что ответил на вашъ вопрос.

За предложение с дампами срабатывания сигнатуры спасибо. Организовать такое, думаю, теоретически можно, хотя движки меняются достаточно динамично, поэтому и подобную утилиту тоже нужно будет постоянно дорабатывать, а это постоянные дополнительные ресурсы на разработку.

Проще будет интегрировать возможность расширенной диагностики в сам продукт, а не в виде отдельной утилиты. Можно вас назначить парламентёром моей идеи в недрах Вэба?

Как пользователь узнает, содержится ли в "дампе срабатывания сигнатуры", который он отправляет, секретная информация или не содержится? Как ему это узнать, даже если разработчики захотят эту возможность реализовать?

Я говорил о данных в текстовом формате, которые пользователь может просмотреть, показать и получить консультацию у квалифицированных сотрудников своей фирмы и т.п. У пользователя будет намного больше информации, чем сообщение о детекте длинной в палец.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, чего-то Вы совсем всё время не о том.

Ваше первое сообщение в этой теме:

В данном случае Вэбу не понравился безобидный дамп схемы оракла (и слава богу, что тут не сработало уникальное вэбовское лечение удалением huh.gif ).

Я чётко ответил, что Modification of - это эвристик. Не бывает у эвристика никакого лечения удалением. И я не припомню случаев срабатывания чёткой сигнатуры на файлах баз данных. Все, что встречались были Modification of. Не удалится база данных при таком детекте. Если конечно не стоит "удалять подозрительные", но это только в страшном сне можно придумать.

Если же мы говорим о срабатываниях чётких (или origin-) сигнатур на дистрибутивах, то это совсем другое дело. В дистрибутивах секретной информации нет, и если удалится дистрибутив, то ущерба никакого. Перепиши у друга/скачай заново. И в лабораторию дистрибутив можно вполне отправить.

Сиречь, в данной теме пример со срабатыванием на дистрибутиве Касперского - чистый оффтопик. Мухи, замешанные в котлеты.

Да, ситуация с дистрибутивом неприятная. Но и такие случаи бывают крайне редко. Т.е. ситуация плохая и неординарная, на которую надо быстро реагировать, но не такая плохая, как при удалении баз данных или детекте explorer.exe.

Но, опять же, срабатывания чётких сигнатур на базах данных я не встречал, так что пример с дистрибутивом тут не в красную гвардию.

А свои пространные размышления по качеству моих ответов можете оставить при себе, я тоже много чего про кого думаю, но это снова оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Валерий, я конечно человек посторонний, но...

Modification of IRC.JeepWarz - это не эвристик.

Я просто знаю, что такое JeepWarz ... и знаю, откуда берутся такие вердикты на такие вредоносы.

P.S. Ну и чтобы совсем уж без флуда - выскажусь по теме.

Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Спасибо. Вполне себе решение. Наверняка так и делается в особо "тупиковых" случаях.

Modification of IRC.JeepWarz - это не эвристик.

При желании можно отнести к эвристику. Если точнее, то это так называемая расширенная сигнатура. Лечение удалением здесь также невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

dizel, а на релизе ложняк тоже воспроизводится? В смысле, это не бета-проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
чего-то Вы совсем всё время не о том.

Да я собственно говорил про ложный детект на коммерческих данных. <_< Упоминание же суперфичи вэба было вскользь и то в виде хвалы богу, что она не сработала. Однако вы как всегда вцепились не в суть вопроса, а как в тот зелёный цвет.

Давайте пока забудем про суперфичу вэба.

Хотя, ещё раз подчеркну, что если бы разработчики дали выбор настройки действий для неизлечимых объектов, то и таких вопросов ни у кого бы не возникало.

Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Очень хороший вариант решения. Но я думаю, что применим только в тяжёлых случаях. Скорее всего посоветуют внести в исключения проблемный файл, чем решат посылать куда-то аналитика. Да и не всегда в самой фирме захотят заниматься так плотно и официально глюками в детекте.

Я предлагал упростить "разбор полётов" расширенной диагностикой т.к. часто достаточно взглянуть на подозреваемые АВ данные, как всё проясняется.

а на релизе ложняк тоже воспроизводится? В смысле, это не бета-проблема?

На релизе воспроизводится. Я же говорил - запись в базе кривая.

Мне даже стало жалко, что ругань была не на SQL и не на сами секретные данные (было бы веселее наблюдать за развитием событий ;) ).

Но ведь обруганный файл представлял коммерческую тайну, и пока я ручками не выделил проблемный участок - проблема исправления ложного детекта на основе сообщения АВ была фактически нерешаема. Так что вопрос пока остаётся открытым.

Если кому интересны подозрительные для Вэба данные, то вот они:

truncated.gif

truncated.rar

post-4003-1205441879_thumb.png

truncated.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Упоминание же суперфичи вэба было вскользь и то в виде хвалы богу,

Дался Вам тот зелёный свет.

Упоминание вскользь о возможности удаления нашими продуктами базы данных - это всё же довольно серьёзное обвинение. Поэтому я и стал говорить о том, что это было невозможно. Но доказать Вам это весьма сложно, т.к. Вы имеете собственную точку зрения, которую менять морально не готовы (это Ваше право).

если бы разработчики дали выбор настройки действий для неизлечимых объектов, то и таких вопросов ни у кого бы не возникало.

Настройки для неизлечимых есть.

Если Вы про лечение удалением, то это отдельный вопрос, и это оправдано для вирусов, к которым оно применяется.

Если кому интересны подозрительные для Вэба данные, то вот они:

А вот эту информацию нужно было не сюда, а сюда:

http://support.drweb.com/request, ибо ни о чём не говорит без комментариев наших аналитиков.

Может быть, реакция на этот кусок кода - это и есть именно ошибка в сигнатуре, т.е. детект по этому куску кода не задумывался при создании сигнатуры.

И вообще, я бы не стал такие подробности публиковать открыто.

Да, Вы их получили сподручными средствами, но всё же это материал для внутреннего рассмотрения нашими сотрудниками.

А вот их результат можно и опубликовать здесь. Есть всё же некая этика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Упоминание вскользь о возможности удаления нашими продуктами базы данных - это всё же довольно серьёзное обвинение.

Жаль, что вы не понимаете разницу между БД, дампом схемы и фильтрацией траффика с БД.

Поэтому я и стал говорить о том, что это было невозможно.

Прецеденты были. С ошибками в базе и с удалением данных, которые можно было бы восстановить. Может даже много ещё чего было, но гласности не предавалось. Не вижу причин, по которым Вэб в один прекрасный день, сказав "А" не скажет "Б".

Настройки для неизлечимых есть.

И где же они?

Если Вы про лечение удалением, то это отдельный вопрос, и это оправдано для вирусов, к которым оно применяется.

Почему возник сам вопрос с ложным детектом дампа БД?

Если посмотреть на обруганные данные, то возникает ощущение, что правило детекта у Вэба кривое. Да и проверка на вирутотале показало ложный детект только у Вэба.

Таким образом, Вэбом было принято ошибочное решение по детекту с перемещением в карантин. Также на основе ошибок в базе Вэба удалялись дистрибутивы Каспера. Ошибка - она и в Африке ошибка. Дамп базы тут был перемещён, а не удалён по счастливой случайности. Никто же не может предвидеть все возможные варианты последствий при возникновении ошибки. Однако наличие суперфичи в Вэбе делает последствия подобных ошибок ещё более трагичнее, чем они могли бы быть.

А вот эту информацию нужно было не сюда, а сюда:

http://support.drweb.com/request, ибо ни о чём не говорит без комментариев наших аналитиков.

Я хотел понять на моём примере что АВК могут предложить для решения подобных проблем. Данные я передать не мог ибо сабж. Мне только посоветовали исключить проблемный файл из проверки и всё. На этом бы всё и закончилось в обычной ситуации, но я самостоятельно продолжил исследования.

Может быть, реакция на этот кусок кода - это и есть именно ошибка в сигнатуре, т.е. детект по этому куску кода не задумывался при создании сигнатуры.

...

А вот их результат можно и опубликовать здесь. Есть всё же некая этика.

А зачем ходить далеко? Давайте спросим здешних представителей АВК что они думают по поводу этих проблемных данных. Например, того же А. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×