Перейти к содержанию
Сергей Ильин

ESET NOD32 — великий или ужасный?

Recommended Posts

Сергей Ильин

В связи с необходимостью превести тест http://www.anti-malware.ru/phpbb/viewtopic.php?t=452 пришлось поставить себе Nod32 2.5 (русская версия)

Кстати, компания Eset не видит различий между продуктом для дома и для рабочих станций, поэтому продукт у них один (но они разные версии для различных версий Windows) :?

У всех наверное на слуху гломкий PR Eset, что их антвирусы самые быстрые? Так вот, по умолчанию у них выключено все, что может существенно влиять на скорость:

1. Знаменитая эвристика Nod32

2. Проверка архивов и SFX

3. Проверка на потенциально опасные программы (malware)

А теперь скажите мне, многие ли из пользователей меняют настройки принятые по умолчанию? :) Правильно, их таких не много.

Вот и получается, что знаменитая эвристика спокойно спит на ~90% компов клиентов Nod32 и по ним гуляют те самы "еще неизвестные виды вирусов".

Теперь про интерфейс, он самый ужастный из всего того, что я видел за последнее время, разработчики видимо понятия не имеют о таких вещах как "юзабилити" и "дружелюбный пользовательский интерфейс". Вот некоторые скриншоты.

Выводы делайте сами.

Все вышесказаное - мое лично мнение, готов его защищать :)

nod32_3.JPG

nod32_2.JPG

nod32.JPG

post-4-1139831848.jpg

post-1-1139831848.jpg

post-1-1139831849.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

да уж.. :)

особенно перевод

Логи имеют абсолютно адаптированный русскоязычный аналог журнал регистрирования событий

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А как вам вот эти названия модулей: Amon, Dmon, Emon ... многим ли интересно это понятно? :shot:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
А как вам вот эти названия модулей: Amon, Dmon, Emon ... многим ли интересно это понятно?

ну возможно, создатели антивируса ориентировались на очень опытных пользователей, кому фактически неинтересен факт юзабилити, а важны "тактико - технические характеристики" этого антивирусного оружия..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Давно известно, что в большинстве случаев PR акции не совсем соответствуют действительности...

А названия модулей - это отдельная песня...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Давно известно, что в большинстве случаев PR акции не совсем соответствуют действительности...

недавно видел рекламу лексуса, я думаю, там всё правда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
В связи с необходимостью превести тест http://www.anti-malware.ru/phpbb/viewtopic.php?t=452 пришлось поставить себе Nod32 2.5 (русская версия)

Кстати, компания Eset не видит различий между продуктом для дома и для рабочих станций, поэтому продукт у них один (но они разные версии для различных версий Windows) :?

У всех наверное на слуху гломкий PR Eset, что их антвирусы самые быстрые? Так вот, по умолчанию у них выключено все, что может существенно влиять на скорость:

1. Знаменитая эвристика Nod32

2. Проверка архивов и SFX

3. Проверка на потенциально опасные программы (malware)

А теперь скажите мне, многие ли из пользователей меняют настройки принятые по умолчанию? :) Правильно, их таких не много.

Вот и получается, что знаменитая эвристика спокойно спит на ~90% компов клиентов Nod32 и по ним гуляют те самы "еще неизвестные виды вирусов".

Теперь про интерфейс, он самый ужастный из всего того, что я видел за последнее время, разработчики видимо понятия не имеют о таких вещах как "юзабилити" и "дружелюбный пользовательский интерфейс". Вот некоторые скриншоты.

Выводы делайте сами.

Все вышесказаное - мое лично мнение, готов его защищать :)

Если речь идет о резидентной защите, то У NOD 32 действительно выключено все, что может существенно влиять на скорость, как и у БОЛЬШИНСТВА ДРУГИХ АНТИВИРУСОВ.

1. О знаменитой эвристике NOD 32 ( в данном случае речь идет не об обчной, а о расширенной эвристике). Ее использование неопытными пользователями может привести к непоправимым последствиям. Я имею ввиду ложные срабатывания. В данной связи, ее отключение, "по умолчанию", возможно, имеет смысл. С другой стороны, в этом случае этот антивирус лишается своего основного преимущества.

2. Включение проверки обычных архивов и SFX - неоправдванная, излишняя мера.

3. Проверку потенциально опасных программ для неопытных пользователей, в большинстве случаев, также не следует включать. Я думаю понятно почему. В других антивирусных продуктах, как правило, такая опция тоже отключена.

Необходимо отметить, что включение настроек NOD 32 "по максимуму" не оказывает существенного влияния на работоспособность компьютера. В этом случае потребление ресурсов компьютера сравнимо с Kaspersky Anti-Virus, Dr. Web, которые работают с использованием настроек "по умолчанию" (это мое субъективное впечатление).

Интерфейс - дело вкуса. Не следует забывать, что в процессе установки можно выбрать два варианта - стандартный и "стиль Windows". Можно также выбрать один из трех вариантов, в соответствии с уровнем квалификации пользователя (точное название, к сожалению, - не помню): простой, обычный и "эксперт".

Достоинство интерфейса NOD 32 - гибкие настройки.

P.S. Конечно, у антивируса NOD 32 есть свои недостатки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
2. Включение проверки обычных архивов и SFX - неоправдванная, излишняя мера.

ну правильно зачем архивы проверять, надо пользователям написать

не открывайте *.zip, *.rar, *.exe :) и всё.. остальные просто не знают :), что архивы проверять не надо !!!!!!!!!!!!

мы только почему то забыли о багле, фибсе, майтубе и т д... :shot:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
3. Проверку потенциально опасных программ для неопытных пользователей, в большинстве случаев, также не следует включать. Я думаю понятно почему. В других антивирусных продуктах, как правило, такая опция тоже отключена.

Вот с этим я не соглашусь, детектирование spyware и т.д. заявляется у большинсва вендоров как серьзная фича, и она всегда по дефолту включена.

Интерфейс - дело вкуса. Не следует забывать, что в процессе установки можно выбрать два варианта - стандартный и "стиль Windows".

Есть такое дело, только отличия там незначительные :?

1. О знаменитой эвристике NOD 32 ( в данном случае речь идет не об обчной, а о расширенной эвристике). Ее использование неопытными пользователями может привести к непоправимым последствиям. Я имею ввиду ложные срабатывания. В данной связи, ее отключение, "по умолчанию", возможно, имеет смысл. С другой стороны, в этом случае этот антивирус лишается своего основного преимущества.

Вот и получается, что функционал пиариться не по-детски, а реально не используется из-за серьезной опасности ложных срабатываний и вообще не рекомендован для "обычных юзеров".

Потенциальных клиентов вводят в заблуждение этим, разве это правильно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

Коллеги, есть еще хоть один антивирусный вендор, у которого нельзя скачать апдейт в виде файла?.. Вирус, отрубивший доступ компьютеру к сайтам исета, обрекает компьютер на вечное сосуществование с собой любимым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Коллеги, есть еще хоть один антивирусный вендор, у которого нельзя скачать апдейт в виде файла?.. Вирус, отрубивший доступ компьютеру к сайтам исета, обрекает компьютер на вечное сосуществование с собой любимым.

Да, забавно :D

Видимо это еще раз все демонстрирует надежность продвинутой эвристики Есет: "Не нужны вам ребата обновления какие-то ..."

Только она, к слову, отключена по умолчанию и не рекомендуется к включению для обычных пользователей :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как-то зло мы о nodе высказываемся.. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я только за, пусть кто-нибудь что-то хорошее расскажет про Нод, что у него такого интересного есть.

Тема: "За что я люблю Нод32"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SELF
Коллеги, есть еще хоть один антивирусный вендор, у которого нельзя скачать апдейт в виде файла?

Есть. BitDefender - по крайней мере я не нашел где можно скачать обновы вручную...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
2. Включение проверки обычных архивов и SFX - неоправдванная, излишняя мера.

ну правильно зачем архивы проверять, надо пользователям написать

не открывайте *.zip, *.rar, *.exe :) и всё.. остальные просто не знают :), что архивы проверять не надо !!!!!!!!!!!!

мы только почему то забыли о багле, фибсе, майтубе и т д... :shot:

Не понял Вашу мысль. Судя по Вашей ироничной реплике, Вы полагаете, что проверка архивов - непременное условие успешной работы антивируса.

Если это так, то позволю себе заметить, что проверка архивов имеет смысл лишь при использовании сканера on demand, да и то далеко не всегда.

Включение опции проверки архивов (в том числе SFX) резидентным файловым монитором, в подавляющем большинстве случаев, - абсолютно неоправданная мера, которая приводит к необоснованному, излишнему использованию ресурсов компьютера. В процессе распаковки вредоносного объекта из архива резидентный файловый монитор автоматически перехватит и заблокирует его даже если опция проверки архивов отключена. Мне казалось, что это очевидная мысль, которая не требует доказательств. Повторяю еще раз - практически во всех антивирусах опция проверки архивов, по умолчанию, отключена. В этом нетрудно убедиться.

Относительно перехвата почтовых червей и иных вредоносных объектов, которые распространяются используя почтовые протоколы. Общеизвестно, что проверкой почты занимается почтовый модуль (EMON NOD 32, Mail Checker KAV, Spider Mail Dr. Web и т.д.) или модуль проверки интернет трафика (например, IMON NOD 32). Здесь следует иметь ввиду, что, в большинстве антивирусов, настройки резидентного файлового монитора и почтового модуля, по умолчанию, отличаются. В большинстве случаев проверка почты предполагает проверку архивов и упакованных файлов. Поэтому переживать за неопытных пользователей, в данном случае, не имеет смысла.

P.S. Обращаю Ваше внимание , что в моем посте речь шла именно об использовании резиднетной защиты.../

Добавлено спустя 23 минуты 28 секунд:

3. Проверку потенциально опасных программ для неопытных пользователей, в большинстве случаев, также не следует включать. Я думаю понятно почему. В других антивирусных продуктах, как правило, такая опция тоже отключена.

Вот с этим я не соглашусь, детектирование spyware и т.д. заявляется у большинсва вендоров как серьзная фича, и она всегда по дефолту включена.

Интерфейс - дело вкуса. Не следует забывать, что в процессе установки можно выбрать два варианта - стандартный и "стиль Windows".

Есть такое дело, только отличия там незначительные :?

1. О знаменитой эвристике NOD 32 ( в данном случае речь идет не об обчной, а о расширенной эвристике). Ее использование неопытными пользователями может привести к непоправимым последствиям. Я имею ввиду ложные срабатывания. В данной связи, ее отключение, "по умолчанию", возможно, имеет смысл. С другой стороны, в этом случае этот антивирус лишается своего основного преимущества.

Вот и получается, что функционал пиариться не по-детски, а реально не используется из-за серьезной опасности ложных срабатываний и вообще не рекомендован для "обычных юзеров".

Потенциальных клиентов вводят в заблуждение этим, разве это правильно?

1. Если смотреть в общем плане, то Вы правы Сергей. Но есть одно "но".

По классификации Eset потенциально опасные программы - это приложения, которые могут быть, с высокой степенью вероятности, использованы вредоносным ПО в деструктивных целях. К ним не относятся Spyware и Adware.

Для нейтрализации Spyware и Adware у NOD 32 есть отдельная опция.

Нужно ли пояснять, что включение опции обнаружения потенциально опасных программ небезопасно для неопытных пользователей, если принимать во внимание классификацию Eset? Я думаю, что нет. Но если в этом есть необходимость, то я готов это сделать.

Замечу, что у большинства антивирусов, в том числе и у NOD 32 опция обнаружения потенциально опасных программ (в понимании Eset) отключена.

2. По интерфейсу NOD 32 с Вами согласен - отличия между стандартным вариантом и стилем Windows незначительные.

3. По поводу рекламы и использования расширенной эвристики NOD 32 также не могу с Вами не согласиться.

Добавлено спустя 25 минут 9 секунд:

Я только за, пусть кто-нибудь что-то хорошее расскажет про Нод, что у него такого интересного есть.

Тема: "За что я люблю Нод32"

Не буду утверждать, что я люблю Нод 32, но если говорить о достоинствах, то не могу не упомянуть:

1. неплохую эвристику в особенности расширенный вариант (нужно, конечно, учитывать и "оборотную сторону медали" - возможность ложных срабатываний - а это уже сопутствующий недостаток).

2. сравнительно небольшое потребление ресурсов компьютера (по субъективным впечатлениям - даже при максимальных настройках) и высокая скорость проверки резидентым монитором и сканером "по требованию" (естественно возникает вопрос о "тщательности" проверки,- но это уже вопрос, требующий отдельного рассмотрения).

3. гибкие настройки (в варианте "эксперт").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. неплохую эвристику в особенности расширенный вариант (нужно, конечно, учитывать и "оборотную сторону медали" - возможность ложных срабатываний - а это уже сопутствующий недостаток).

2. сравнительно небольшое потребление ресурсов компьютера (по субъективным впечатлениям - даже при максимальных настройках) и высокая скорость проверки резидентым монитором и сканером "по требованию" (естественно возникает вопрос о "тщательности" проверки,- но это уже вопрос, требующий отдельного рассмотрения).

3. гибкие настройки (в варианте "эксперт").

Вот сразу видно человек пользовался и знает :beer:

Да, эвристика по тестам у них выглядит отлично (ложных срабатываний не учитываем, это отдельная тема).

Ресурсов тоже по моим наблюдениям ест не много, по крайней мере в отличии от Нортона машинину не досит точно :-)

Гибкие насройки ... да, пожалуй, многим это безусловно нравится.

Это плюсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

архивы..

на примере:

Вы накачали из интернета софта, в архивах.. сложили на диск с надеждой разобрать потом.. забыли

Через неделю открыли папку на общий доступ.. люди скачали и, возможно, заразились..

Сделали резервную копию на cd и т п..

Случаев много

проверять архивы надо, не так часто мы с ними работаем..

хотя это моё мнение :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
1. неплохую эвристику в особенности расширенный вариант (нужно, конечно, учитывать и "оборотную сторону медали" - возможность ложных срабатываний - а это уже сопутствующий недостаток).

2. сравнительно небольшое потребление ресурсов компьютера (по субъективным впечатлениям - даже при максимальных настройках) и высокая скорость проверки резидентым монитором и сканером "по требованию" (естественно возникает вопрос о "тщательности" проверки,- но это уже вопрос, требующий отдельного рассмотрения).

3. гибкие настройки (в варианте "эксперт").

Вот сразу видно человек пользовался и знает :beer:

Да, эвристика по тестам у них выглядит отлично (ложных срабатываний не учитываем, это отдельная тема).

Ресурсов тоже по моим наблюдениям ест не много, по крайней мере в отличии от Нортона машинину не досит точно :-)

Гибкие насройки ... да, пожалуй, многим это безусловно нравится.

Это плюсы.

Спасибо Сергей. В продолжении темы "о достоинствах NOD 32" могу дополнить результаты свои своих "наблюдений":

4. Возможность автоматической отправки копий сомнительных объектов, обнаруженных эвристическим анализатором в лабораторию Eset для проверки реальности угрозы. Вероятно, что в одном из очередных обновлении антивирусных баз будет "присутствовать" необходимая сигнатура или будет устранена

неопределенность, возникшая врезультате работы эвристического анализатора.(Справедливости ради, следует отметить, что такая опция имеется и в некоторых других антивирусных продуктах - например, в Panda Platinum 2006)

5. Наличие универсального интернет-сканера для проверки почты и входящего сетевого траффика по протоколу HTTP (для Outlook Express и Microsoft Outlook - есть отдельный модуль - EMON, который можно отключить в случае отсутствия необходимости в его использовании, как впрочем и любой другой модуль).

Замечу, что многие вендоры не в состоянии, на сегодняшний день, предложить что-либо подобное (в отчественном секторе: Dr. Web проводит бета-тестирование модуля Spider Gate, релиз нового продукта Kaspersky Lab, насколько я знаю, выйдет в ближайшее время).

6. Наличие "пользовательской", т.е индивидуальной, настройки для отдельных сайтов и опции блокировки сайтов с потенциально опасным содержанием (есть и в некоторых других антивирусных комплексах)

Есть, конечно, и другие достоинства. Все сразу, к сожалению, не могу вспомнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ну вот нашлось и хорошее.. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
архивы..

на примере:

Вы накачали из интернета софта, в архивах.. сложили на диск с надеждой разобрать потом.. забыли

Через неделю открыли папку на общий доступ.. люди скачали и, возможно, заразились..

Сделали резервную копию на cd и т п..

Случаев много

проверять архивы надо, не так часто мы с ними работаем..

хотя это моё мнение :!:

Приведенная Вами ситуация, обсужалась на официальных форумах вендоров.

Решение простое. После "скачивания" ПО из Интернета необходимо сразу проверить его на наличие вредоносных объектов сканером on demand, с включенной опцией проверки архивов и упакованных файлов. Нет никакой необходимости использовать для этого ресурсы резидентного монитора.

Да и еще, у большинства "людей", я полагаю, включен резидентный монитор (не проверяющий архивы "по умолчанию"). Следовательно, вредоносный объект будет заблокирован (вылечен, удален и т.п.) при распаковке.

Если пользователь отключил монитор самостоятельно, то это уже его вина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

по опыту скажу, пользователь считает, что наличие монитора спасает от всех бед, именно монитор пользователи называют антивирусом и они не будут что-то ещё запускать, потому что лучше они будут считать, что тормозит компьютер чем тратить время на принудительную проверку сканером.. ЭТО В ГОЛОВАХ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
4. Возможность автоматической отправки копий сомнительных объектов, обнаруженных эвристическим анализатором в лабораторию Eset для проверки реальности угрозы. Вероятно, что в одном из очередных обновлении антивирусных баз будет "присутствовать" необходимая сигнатура или будет устранена

неопределенность, возникшая врезультате работы эвристического анализатора.(Справедливости ради, следует отметить, что такая опция имеется и в некоторых других антивирусных продуктах - например, в Panda Platinum 2006)

Вот эта штука мне очень симпанизирует. Это очень круто для вендора, они без труда собирают данные о работе их продукта. Я даже думаю, что именно благодаря этого они и довели свою эвристику до такого хорошего уровня.

Я помню предлагал касперским сделать такое же, но их это не заинтересовало :(

Да и еще, у большинства "людей", я полагаю, включен резидентный монитор (не проверяющий архивы "по умолчанию"). Следовательно, вредоносный объект будет заблокирован (вылечен, удален и т.п.) при распаковке.

Если пользователь отключил монитор самостоятельно, то это уже его вина.

Mr. Justice, ваша позиция ясна, уверен многие с ней согласятся, но на мой взгляд все же архивы лучше проверять. Скачивая файл из инета нужно сразу знать, есть там вирус или нет (проврека не лету). Т.е. архивированный вредонос должен быть удален еще до попадания на диск в идеале. Каждый раз запускать сканер это очень неудобно, если это делать часто, то вообще много времени будет это отбирать.

За это в частности западные СМИ часто снижали оценки нашим отечественных антивирусам. В КАВ 2006, например, эта проблема решена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Вот эта штука мне очень симпанизирует. Это очень круто для вендора, они без труда собирают данные о работе их продукта. Я даже думаю, что именно благодаря этого они и довели свою эвристику до такого хорошего уровня.

помнится я тоже пытался договориться с каспером о такой штуке..

но представьте себе, сколько антивирус может скопировать с компьютера? а с сервера? а с файлового архива? а с почтового сервера? а с файрвола?

данная фича должна быть, но обязательно с подтверждением хозяина файла..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
данная фича должна быть, но обязательно с подтверждением хозяина файла..

Штука в том, что, если в ноде эта фича была включена и нод нашел неизвестный подозрительный объект, то он потом от пользователя так просто не отстанет - так и будет настаивать на том, чтобы отправить объект в ESET. Хоть через день, хоть через неделю...до тех пор, пока не отправишь, несмотря на отказы пользователя от такого рода предложений путем закрытия окна нотификации. А это не есть гуд. Поэтому я у себя данную опцию предпочитаю держать выключенной. Мало ли где нод угрозу усмотрит... А если он заподозрит какой-нибудь личный конфиденциальный файл?...

А что касается невозможности скачать базы в архиве отдельно, то здесь тоже не все однозначно. Грамотное вирье сажает на localhost в файле hosts все известные сайты антивирусных компаний, а не только адреса update-серверов. Посему данное замечание не особо актуально. И в данной ситуации в равных условиях окажутся все антивирусы. Если только не рассматривать вариант с возможностью принести базы на съемном источнике или по сети. Когда беда накроет, то в ход пойдут AVZ, Security Task Manager и какая-нибудь Autoruns от Sysinternals.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Штука в том, что, если в ноде эта фича была включена и нод нашел неизвестный подозрительный объект, то он потом от пользователя так просто не отстанет - так и будет настаивать на том, чтобы отправить объект в ESET. Хоть через день, хоть через неделю...до тех пор, пока не отправишь, несмотря на отказы пользователя от такого рода предложений путем закрытия окна нотификации. А это не есть гуд.

Меня это тоже очень сильно напрягало, очень уж навязчиво это делается ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      santy, 1) " критерии - это те же самые фильтры "  " один фильтр поднять, удалить все.... " Те, да не те.   В FRST оператор ( анализируя лог в текстовом редакторе ) может в один заход удалить _любое число объектов - хоть исполняемых, хоть не исполняемых. Это несколько секунд. Да, таких объектов в логах обычно 2-8 вроде бы и не много... Но они есть:  No File  ->  No Name ->  [0]  ->  [X]  ->  FirewallRules  -> .info.hta  всего 2-8 объекта у которых может быть до 100 записей. Создать постоянный критерий ? Это не вариант. Файлы:  .bat   Чего вроде проще - взять и всё удалить. Однако мы понимаем, что есть и полезные .bat файлы упрощающие работу администратора - запуск тех, или иных программ.  Или .TMP объекты - вроде и не нужны ?  но удалять всё разом также не вариант - если некая программа в процессе обновления и мы его прервём это может привести к сбою в её работе. Я же предлагаю адаптивный  _ситуативный вариант.  В системе есть, как полезные так и  не желательные... .bat ... Отфильтровываем ( по идентичному имени, или SHA1 ) и удаляем хоть 10 файлов разом не нанося вреда файлам полезным и не тратя зря время. И как мы знаем не всё что удаляется достойно занесения в snms так, как бывают уникальные случаи которые встречаются один -два раза, а мороки с настройкой\корректировкой критерия будет море. 2) " создать критерий black_sha "  мы же понимаем, что это не серьёзно - это не будет работать. Сейчас в ходу не те примитивные вирусы, что были, да и Adware ежедневно выпускаются новые. " изначально и не обещали, что будет легко работать с uVS "  Работа в uVS - как работа с инструментом это одно. А отдельно взятая операция\команда - это другое. Разве не требуется анализ лога в FRST ? однако никто не требует от оператора  тыкать 100 раз по всем этим _мусорным No File  ->  No Name ->  [0]  ->  [X]....  Здесь достаточно 2-3 команд. 3)  " если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. " Не могу согласиться с эти утверждением. Привычки привычками. Например на некоторых велосипедах пита BMX вообще нет тормоза - он не предусмотрен конструкцией.  Тормоз утяжеляет велосипед - мешает работать в прыжковых дисциплинах ( можно случайно его нажать ) , влияет на стоимость при покупке ( есть место под крепление, если нужно - купи и установи ) Однако мы же понимаем, что такая езда не безопасна - тормозить ногами, ездить по городу в транспортном потоке и т.д. т.е. одно прямо противоречит другому. 4) " твои предложения сводятся к созданию еще одного удалятора " Программа, какой была такой и останется - что поменяется ? Здесь всё как раз наоборот: Сигнатуры это прерогатива антивирусов, это временное решение:  есть угроза - есть сигнатура, нет угрозы - нет сигнатуры ( она устарела )  Критерии же могут служить годами. Если программа будет помнить поисковые запросы оператора - не придётся и поиск с клавиатуры набирать. В предложении, я не умоляю функционал uVS - напротив предлагаю его дополнить. Под привычки операторов - которые анализируют\работают в текстовых редакторах ? Пусть так. _Оператор решает, как ему работать. Хочешь стреляй одиночными, хочешь отсекай по два выстрела - хочешь бей очередями.      
    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin: Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
    • demkd
×