Перейти к содержанию
Mr. Justice

Нужно ли проверять архивы антивирусным монитором?

Recommended Posts

Mr. Justice
по опыту скажу, пользователь считает, что наличие монитора спасает от всех бед, именно монитор пользователи называют антивирусом и они не будут что-то ещё запускать, потому что лучше они будут считать, что тормозит компьютер чем тратить время на принудительную проверку сканером.. ЭТО В ГОЛОВАХ.

Согласен, но обычный пользователь не будет что-либо менять в настройках резидентного монитора, а они "по умолчанию" не предусматривают проверку архивов.

Такие настройки не снижают существенно уровень защиты, т.к., повторяю, вредоносный объект будет перехвачен при распаковке архива.

Давайте вспомним почему, в свое время многие пользователи "пересаживались" с антивируса Лаборатории Касперского на Dr. Web. Это происходило именно потому, что пользователи предпочитали комфортную работу высокому уровню безопасности, руководствуясь правилом: "не компьютер для антивируса, а антивирус для компьютера, безопасность - не самоцель, а лишь средство для защиты компьютера, которое должно быть оптимальным и т.д." У многих пользователей до сих пор антивирус Касперского ассоциируется с ужасными "тормозами" и некомфортной работой компьютера и доказать им что все изменилось в лучшую стророну не просто. Вот это дейстивтельно осталось в головах очень многих пользователей.

Добавлено спустя 5 минут 17 секунд:

4. Возможность автоматической отправки копий сомнительных объектов, обнаруженных эвристическим анализатором в лабораторию Eset для проверки реальности угрозы. Вероятно, что в одном из очередных обновлении антивирусных баз будет "присутствовать" необходимая сигнатура или будет устранена

неопределенность, возникшая врезультате работы эвристического анализатора.(Справедливости ради, следует отметить, что такая опция имеется и в некоторых других антивирусных продуктах - например, в Panda Platinum 2006)

Вот эта штука мне очень симпанизирует. Это очень круто для вендора, они без труда собирают данные о работе их продукта. Я даже думаю, что именно благодаря этого они и довели свою эвристику до такого хорошего уровня.

Я помню предлагал касперским сделать такое же, но их это не заинтересовало :(

Да и еще, у большинства "людей", я полагаю, включен резидентный монитор (не проверяющий архивы "по умолчанию"). Следовательно, вредоносный объект будет заблокирован (вылечен, удален и т.п.) при распаковке.

Если пользователь отключил монитор самостоятельно, то это уже его вина.

Mr. Justice, ваша позиция ясна, уверен многие с ней согласятся, но на мой взгляд все же архивы лучше проверять. Скачивая файл из инета нужно сразу знать, есть там вирус или нет (проврека не лету). Т.е. архивированный вредонос должен быть удален еще до попадания на диск в идеале. Каждый раз запускать сканер это очень неудобно, если это делать часто, то вообще много времени будет это отбирать.

За это в частности западные СМИ часто снижали оценки нашим отечественных антивирусам. В КАВ 2006, например, эта проблема решена.

Вы правы с той позицией, которую поддерживаю я согласятся многие, думаю, что подавляющее большинство. Практически на всех официальных форумах вендоров советуют не включать опцию провекри архивов "на лету". Кроме того, сами вендоры убеждают пользователей не делать этого, т.к. это излишняя мера, которая приводит к необоснованному росту потрбления ресурсов компьютера.

В продуктах Лаборатории Касперского версий 5.X, например, вообще отсутствует возможность проверки архивов (за исключением SFX) резидентым монитором даже при самых максимальных настройках, то есть проверить архивы "на лету" невозможно даже при всем своем желании. Лаборатория Касперского объясчняет это тем, что многие пользователи ранее необдуманно включали опцию проверки архивов, что приводило к проблемам, связанным с рациональным использованием ресурсов компьютера (зависание компьютера, замедление его работы).

см. здесь http://www.kaspersky.ru/faq?chapter=167972...p;qid=163086370

В Ваших и brokerа суждениях, несомненно, есть рациональное зерно. Вы правы, что в идеале вредоносный объект должен быть обезврежен до попадания в компьютер пользователя. Но по приведенным выше основаниям, считаю, что стремиться к его достижению не имеет смысла.

По поводу необходимости частых проверок скачанных файлов сканером "по требованию". Полагаю, что большинству пользователей вряд ли приходится это делать часто. Пользователи, довольно редко (а многие - никогда) скачивают что-либо из Интернета по собственному желанию. По умолчанию, естественно скачиваются временные файлы (Temporary Internet Files, cach4 и т.д.). Но они, в основном, не задерживаются долго в компьютере пользователя.

В любом случае проверка объектов, скачанных из Интернета, в большинстве случаев не занимает много времени.

Насчет западных СМИ. Не знал о таком отношении к нашим продуктам. Это выглядит, по меньшей мере странно, поскольку, практически во всех западных антивирусных решениях проверка архивов "по умолчанию" не предусмотрена.

P.S. Наша дискуссия постепенно перешла в разряд off topic. Может имеет смысл ее прекратить или перенести в другой раздел форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Грамотное вирье сажает на localhost в файле hosts

укажите адреса серверов обновления в виде IP.

Добавлено спустя 37 минут 26 секунд:

Mr. Justice

Понятие "тормозит" объективно устарело, надо указывать конкретные объекты, на которых происходит торможение.

Я тоже думаю, что надо оставить в покое архивы.. В данном случае я рассматриваю конкретные случаи, а не общие рекомендации и жалобы.

Добавлено спустя 13 минут 56 секунд:

SAV 10 делает такую проверку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Грамотное вирье сажает на localhost в файле hosts

укажите адреса серверов обновления в виде IP.

Добавлено спустя 37 минут 26 секунд:

Mr. Justice

Понятие "тормозит" объективно устарело, надо указывать конкретные объекты, на которых происходит торможение.

Я тоже думаю, что надо оставить в покое архивы.. В данном случае я рассматриваю конкретные случаи, а не общие рекомендации и жалобы.

Добавлено спустя 13 минут 56 секунд:

SAV 10 делает такую проверку.

Я использую понятие "тормозит" в абстрактном смысле, так же как и Вы.

Во многих случаях использование данного понятия в абстракном смысле вполне приемлимо.

В нашем с вами случае пользователь не будет разбираться на каких файлах и в какой ситуации замедляется работа компьютера. Он лишь почувствует дискомфорт, связанный с замедлением работы.

Самый простой способ решения указаной проблемы - отключение опции проверки архивов резидентым монитором. Можно, конечно, провести собственное тестирование, посмотреть на каких объектах наблюдается торможение, внести их в исключение (это можно делать далеко не всегда) и т.д. Но это трудоемкий и сложный вариант решения проблемы. подавляющее большинство пользователей этим заниматься не будут. Пользователь выберет достаточно надежный, проверенный и простой способ, который рекомендуют многие опытные пользователи и вендоры - отключение опции проверки архивов резидентным модулем.

P.S. Проблема, которую мы с Вами обсуждаем, уважаемый broker, требует отдельного рассмотрения. Эта проблема общего характера. Мы с Вами ушли в сторону от обсуждения основной темы данной ветки форума.

Если говорить о NOD 32, то опция проверки архивов резидентным модулем отсутствует, как и в KAV 5. X Personal (можно лишь, при желании, активировать проверку SFX). Это подтверждает мою мысль о нецелесообразности использования такой опции.

В модуле проверки интернет траффика (IMON) опция проверки архивов есть. Ее включение, кстати, не оказывает существенного влияния на потребления ресурсов компьютера. Таким образом возможность проверки архивов IMON NOD 32 (не путать с резидентым файловым модулем, который имеется практически во всех антивирусах) - исключение из общего правила, что подтверждает Вашу идею о необходимости учета конкрентных обстоятельств. Но эта ситуация - редкое исключение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

С архивами на рабочей станции все достаточно просто. Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив, зараженный файл будет пойман ...

А как быть с упаковщиками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив

а если такой попытки нет, я уже описывал схему:

Закачивается архив и сразу помещается в область где:

1. Может быть найден, но не может быть удалён.

2. Может быть доступен всем желающим, в том числе и тем у кого плохо работает или вообще нет антивируса.

3. Может быть не найден и запущен самим на этом же компьютере.

Третий вариант возможен в случае, если отключен антивирус, но ситуацию исключить нельзя.

Второй вариант очень распространён в среде домовых сетей, где из-за скудности средства лицензионные антивирусы используются редко и возможно наличие антивируса, но отсутвие обновлений к нему, обновлений к операционке.. и т п.

В конечном итоге.. черви могут разжиться :)

В условиях больших компаний, возможны ситуации когда создаются файловые сервера (хранилища), где каждый пользователь имеет свою квоту.. Иногда хранилища создаются на отличной от вин платформе, под эту платформу сложно найти антивирус.. вот и получается.. Скачал архив, поместил в хранилище, ЗАБЫЛ.

Много писалось о рекомендациях вендоров..

Конечно надо спросить у вендоров, но надо трезво оценить ситуацию.

Рекомендация пишется для широкого круга пользователей, для разных конфигураций, для разных условий эксплуатации.

Антивирусы занимают не процент от ресурса, а часть его. Хотя это и экстенсивный путь развития, но иногда приходится подстраиваться и под антивирус.

ХОТЯ ЭТО И НЕ ПРАВИЛЬНО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
С архивами на рабочей станции все достаточно просто. Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив, зараженный файл будет пойман ...

А как быть с упаковщиками?

Упакованные файлы должны проверяться монитором on access.

Многие вендоры (например, Dr. Web и Kaspersky Lab) предлагают именно такой вариант настроек резидентной защиты "по умолчанию".

Добавлено спустя 7 минут 37 секунд:

Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив

а если такой попытки нет, я уже описывал схему:

Закачивается архив и сразу помещается в область где:

1. Может быть найден, но не может быть удалён.

2. Может быть доступен всем желающим, в том числе и тем у кого плохо работает или вообще нет антивируса.

3. Может быть не найден и запущен самим на этом же компьютере.

Третий вариант возможен в случае, если отключен антивирус, но ситуацию исключить нельзя.

Второй вариант очень распространён в среде домовых сетей, где из-за скудности средства лицензионные антивирусы используются редко и возможно наличие антивируса, но отсутвие обновлений к нему, обновлений к операционке.. и т п.

В конечном итоге.. черви могут разжиться :)

В условиях больших компаний, возможны ситуации когда создаются файловые сервера (хранилища), где каждый пользователь имеет свою квоту.. Иногда хранилища создаются на отличной от вин платформе, под эту платформу сложно найти антивирус.. вот и получается.. Скачал архив, поместил в хранилище, ЗАБЫЛ.

Много писалось о рекомендациях вендоров..

Конечно надо спросить у вендоров, но надо трезво оценить ситуацию.

Рекомендация пишется для широкого круга пользователей, для разных конфигураций, для разных условий эксплуатации.

Антивирусы занимают не процент от ресурса, а часть его. Хотя это и экстенсивный путь развития, но иногда приходится подстраиваться и под антивирус.

ХОТЯ ЭТО И НЕ ПРАВИЛЬНО :)

1. Если вирус найден в архиве, то он безопасен до того момента пока не будет распакован из архива и запущен. В процессе распаковки его "поймает" резидентный монитор. Если все-таки возникнет желание во что бы то ни стало вылечить/удалить архив, то можно воспользоваться советами, которые дают чуть ли не на каждом форуме, посвященном борьбе с вирусами и на официальных сайтах вендоров. Самые простые способы предложены, например, здесь http://www.kaspersky.ru/faq?chapter=167972...p;qid=145503322.

Если пользователь знает что такое Интернет и умеет им пользоваться, хотя бы на самом элементарном уровне, то он без труда найдет информацию о работе с архивами (если конечно ему это нужно). В противном случае, то есть если он это не сделает, к примеру, по причине недостатка знаний, времени и т.п., то ему боятся нечего - резиднтный монитор "не дремлет".

2. Если у пользователя нет антивируса - то это уже его вина. Если пользователь отключил резидентную защиту (например, по причине замедления работы компьютера вследствии проверки архивов резидентным моулем) - это тоже его вина. "Скудность средств" отдельных пользователей и пиратсво - это отдельная тема для беседы. В любом случае это не основание для того чтобы остальным пользователям включать проверку архивов монитором on access.

Если Вы считаете, что нужно почаще проявлять альтруистические наклонности, то есть более простой вариант - проверка файлов, скачанных из Интернет сканером on demand. Это займет, в большистве случаев, несколько секунд.

3. Будет "перехвачен" резидентным монитором (см. п. 1). Если резиднтный монитор отключен - см. п. 2.

Вендоры даеют рекомендации, расчитанные на подавляющее большинство пользователей.

В данном случае, полагаю, что вендоры трезво оценивают ситуацию. Их рекомендации основаны на большом опыте работы с клиентами-пользователями, и просто на здравом смысле.

Подстраиваться под антивирус? Не считаете ли Вы, что в этом случае мы меняем местами "цель" и "средство"? Хотя может быть Вы и правы, нужно учитывать специфику. Но то о чем Вы говорите, на мой взгляд - большая редкость...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Продолжая тему о проверке архивов и упакованных файлов резидентным монитором, отмечу, что в таких продуктах как Panda Titanium и Platinum (сканер on demand и монитор on access) и McAfee VirusScan (сканер on demand) не проводится различий между архивами и упакованными файлами. Обе категории объектов обозначаются собирательным термином "сжатые". Я думаю, что это не самый лучший вариант прдложенный пользователю. Архивы не должны проверяться резидентным монитором, а вот упакованные файлы лучше проверять. У пользователей Panda и McAfee нет возможности натсроить резидентную защиту в дифференцировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

как вы считаете чем upx отличается от rar?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
как вы считаете чем upx отличается от rar?

UPX - упаковщик, RAR - архиватор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

давайте так, обозначим начальные условия:

1. Персональный компьютер.

2. Подключение к Интернет выделенное (любой вид dial-up)

3. Наличие современного антивируса.

4. Своевременное обновление антивирусных баз.

5. Периодические проверки сканером + по требованию.

6. Наличие постоянно включенного антивирусного монитора.

7. Грамотный пользователь.

Проверка архивов и sfx при работе с операциями файловой системы НЕ НУЖНА.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
давайте так, обозначим начальные условия:

1. Персональный компьютер.

2. Подключение к Интернет выделенное (любой вид dial-up)

3. Наличие современного антивируса.

4. Своевременное обновление антивирусных баз.

5. Периодические проверки сканером + по требованию.

6. Наличие постоянно включенного антивирусного монитора.

7. Грамотный пользователь.

Проверка архивов и sfx при работе с операциями файловой системы НЕ НУЖНА.

Все правильно. Именно это я и пытаюсь доказать уже не первый день.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

да, только начальные условия являются идеальными и должны рассматриваться только в контексте обработки архивов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
да, только начальные условия являются идеальными и должны рассматриваться только в контексте обработки архивов.

Ну почему? Указанные Вами "начальные условия" как раз являются стандартными, за исключением разве что п.7 (ну и, может быть, п. 2). Точнее они должны быть именно такими. Это даже не условия, а своего рода минимальные требования, которые должнен соблюдать каждый пользователь (редкие исключение - в расчет не принимаю). Если пользователь их нарушает - это его вина.В этом случае, даже включение проверки архивов "на лету" не поможет.

P.S. Я бы не стал так сужать "сферу применения" приведенных Вами "начальных условий". Думаю, что они имеют универсальное значение (редкие исключения - не рассматриваю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

стандартными
для чего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
стандартными
для чего?

Читаем внимательно Post Scriptum.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Читаем внимательно Post Scriptum.

для чего?

Я имел ввиду.. для защиты от вирусов пришедших в архивах? или для чего то ещё???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×