Перейти к содержанию
SpasitelofMoney

Вышел SAV 10.1 - тормоза - на месте...- если памяти < 384

Recommended Posts

broker
2. Выступает ли SAV10 как полноценная замена LavaSoft AdAware, Webroot SpySwiper - в первую очередь как защита от spyware

странная реплика, кто-нибудь это утверждал???

1. иногда в логах антивируса появляется следующее сообщение->

->Histories->Eventlog->Could not scan 1 files inside ...путь... due to extraction errors encountered by the Decomposer Engine.

- что это значит. Говорит ли это о проблемах с антивирусом

это говорит о том, что файл запакован более современным паковщиком.

Ответы на вопросы 3,4 интересны многим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

broker

странная реплика, кто-нибудь это утверждал???

Просто в случае если не выступает, значит надо по любому использовать в дополнение к антивирусу, антишпионскую программу которая в рельном времени будет ловить шпионов.

Правда, мне пока не удалось использовать одновременно SAV10 с включенной Tamper Protection и модуль реального времени Ad Watch программы LavaSoft Adware 1.6r1. Возможно, что Symantec считает что достаточно использовать для шпионов только их продукт, так как иначе, там где нужно ловить шпионов, не будут использовать SAV10.

Спасибо за ответ на вопрос номер 1

Хотя похоже, что и на вопросы 2,3,4 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

SpasitelofMoney

для меня лично это всегда было очевидно :(...

Вот вопрос.. дасть ли SAV нормально работать ему или тут опять возвращаемся к вопросу о двух антивирусах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
1. иногда в логах антивируса появляется следующее сообщение->

->Histories->Eventlog->Could not scan 1 files inside ...путь... due to extraction errors encountered by the Decomposer Engine.

- что это значит. Говорит ли это о проблемах с антивирусом?

Явная проблема распаковщика, broker прав, у них там не все в порядке, см. http://www.anti-malware.ru/phpbb/viewtopic.php?t=491

Добавлено спустя 3 минуты 52 секунды:

Платежеспособный спрос вендорами охвачен, а пиратский рынок нужно еще осваивать.

Темпы роста упали заметно, если учесть общий рост рынка, то долю они теряют. Это особенно заметно в штатах.

http://www.anti-malware.ru/phpbb/viewtopic.php?t=385

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Сергей Ильин

Темпы роста упали заметно, если учесть общий рост рынка, то долю они теряют. Это особенно заметно в штатах.

Данные о падении продаж были получены на основании косвенных (падении стоимости акций) или прямых данных (от людей которые считают сколько они(Symantec) продают) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

SpasitelofMoney

мне кажется это когда то здесь обсуждалось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
TiX

Покритикуй пожалуйста или похвали Symantec SAV 10.1

Что ты думаешь о технологии Tamper Protection - в 10.1 включена по умолчанию (защита от вывода антивируса из строя)

Или это единственный антивирус, которого ты еще не смотрел? :)

Добавлено спустя 3 минуты 31 секунду:

Жалкий эвристик который дохнет после крипктовки вируса (проверял лично)

- На сколько я понимаю, если вирус закриптован, чтобы он активировался, он должен сначала раскодироваться. Как только раскодируется - у проактивной защиты McAfee появится возможность его распознать(если сигнатуры не будет в базе).

Пока вирус закриптован то есть неактивен - вреда не представляет и соответственно не имеет значения что проактивная защита McAfee его не распознает в этом состоянии.

Вобще симантек несмотрю ввиду его размера Ж)

Расскажите на словах что и как он защищает Ж)

попробуйте удалить файлы, ключи в реестре, вобщем на минутки представить что ваша чель убить антивирус - удаляйте драйвера, сервисы, файлы, ключи в рееста от симантека (из стартапа тоже) затем перезагружайтесь и проверяйте ловит ли он еще вирусы Ж) и работает еще защита или нет...

Если начтет жалобно скулить что поврежден значит защита себя не оправдывает

2. вы неправы, он распаковывается в память а не на диск -> его никто непоймает

3. имеет.. он не ЗААРХИВИРОВАН а ЗАПАКОВАН/ЗАКРИПТОВАН - тоесть его можно запускать, прописывать в авто-запуск и.т.д

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Почитал отчет Symantec о продажах за 3-й квартал.

http://investor.symantec.com/phoenix.zhtml...&highlight=

Моих знаний(окончил МФТИ) не хватило чтобы понять, что из него

следует однозначно, что продажи Symantec(по отношению к числу проданных лицензий корпоративных антивирусов) упали.

К тому же вроде бы годовой отчет - это отчет за 4 квартал, а здесь

за 3-й то есть отчет только за 1 квартал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

TiX

В таком случае можно говорить, что если поставить задачу, то можно срубить и сломать любой антивирус, кто-то защищается лучше, кто-то хуже, но идеала нет, боюсь что и Касперского можно сломать при большом желании.

Вообще-то из ведущих антивирусных вендоров, а именно

Symantec, TrendMicro, McAfee

Ближе всех к понятию проактивная защита - McAfee

Дальше - Symantec

Вообще никак - TrendMicro.

Согласен, у Trend Micro лишь в стратегии на этот годв в EPS V появились данные о разработке системы эвристического проактивного анализа в следующих версиях продуктов. НО: из большой тройки именно у Trend Micro частота обновлений самая высока, до 4 раз в день.

Ну Symantec и так большой, но они всегда шли на диалог с заказчиками и партнерами (иначе бы они не были бы компанией #1).

Вообще думаю да, но вот в России не уверен, по крайней мере так было.

Платежеспособный спрос вендорами охвачен, а пиратский рынок нужно еще осваивать.

Да не совсем так, просто спрос переходит на других вендоров, предлагающих что-либо более интересное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Внимание! Говорит Москва! Ж)

Проверил я Tamper Protection (SAV 10.0.2.200)

Приговор - в топку ж)

Защита только процессов от убийтва по OpenProcess, OpenThread, TerminateProcess

Метод с wasm.ru - DublicateHandle + TerminateProcess сработал - это раз.

2. Свои файлы, сервысы, драйвера, ключи реестра которые относятся к симантеку тоже незащищает.

И так - что было зделанно.

1. Провидена Остановка дров и сервисов (те которые позволили).

2. Проведено удаление дров и сервисов (те которые не удалялись через АПИ, удалялись методом удаления записей в реестре.

3. Пошли в папку симантека, рекурсивным обходом, все что удалялось - удалял, остальное переименовывал.

4. Перезагрузка системы.

eicar.com стартует Ж)

Приговор - в топку Ж)

Касперы всетки поумнее :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

теперь проделай всё тоже самое без прав локального администратора.

Надо делать ставку на то, что администратору подвластно ВСЁ :)..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

В таком случае можно говорить, что если поставить задачу, то можно срубить и сломать любой антивирус, кто-то защищается лучше, кто-то хуже, но идеала нет, боюсь что и Касперского можно сломать при большом желании.

>Угу, но есть ав которые убиваются элементарно а, есть те которые сможет убить только очень квалифицированных хакер(программист).

Рекомендую попробовать поиздеватся над КАВ6 ради интереса, сравнения, как угодно Ж)

Добавлено спустя 1 минуту 59 секунд:

TiX

теперь проделай всё тоже самое без прав локального администратора.

Надо делать ставку на то, что администратору подвластно ВСЁ :)..

Без прав неинтересно ибо под Юзверем даже вирям трудно запустится.. а мы говорим о само-защите..

Каспер почемуто и из под админа не грохается.. Ибо мы знаем что русский человек - это сила - ему сидеть под юзвирем, себя неуважать Ж)

Добавлено спустя 1 минуту 43 секунды:

ПС: Хорошие дрова защиты Ж) даже под админом ничего недадут зделать Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Ибо мы знаем что русский человек - это сила - ему сидеть под юзвирем, себя неуважать Ж)

ТОЛЬКО ПОЛЬЗОВАТЕЛЯМ ЭТОГО НЕ ГОВОРИ.. и вообще у себя на личном компе можешь хоть под SYSTEM сидеть.. :)

Без прав неинтересно ибо под Юзверем даже вирям трудно запустится

Нормально запускаются, хотя НЕ ВСЕ И СЛАВА БОГУ!!!

Добавлено спустя 2 минуты 20 секунд:

Каспер почемуто и из под админа не грохается

попробуй uninstall :)

Добавлено спустя 5 минут 4 секунды:

Защита от вандализма важная проблема, если вы часто бываете на wasm.ru то знаете, что даже на уровне ОС уже нет недосягаемых уголков..

Вот например в ДевайсЛок, это решено просто выделением прав на сервис только определённой группе пользователей, при чём как вы понимаете ОС под этими полбзователями не работает :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

DeviceLock - отдельный разговор, сейчас не о нем.

Есть всего 2 способа прибить процесс если он защищен из драйвера.

1. снять зуки из юзермоде и убить процесс - защита - перехват на уровне драйвера zwOpenSection с фильтром на DevicePhysicalMemory

2. загрузка драйвера и убийство через него - защита - недать драйверу загрузится перехватом zwLoadDriver (+ апи для работы с реестром - 2рой уровень)

третьего недано, уже реализованно.

с Файлами еще проще - их защищает FS драйвер на уровне IRP запросов. Такой драйвер не выгрузить (система недаст), не удалить - защита реестра. ^^^

Анинстал - отдельная тема - защита проста Ж) Инсталлер говорит - "Для продолжения работы надо выгрузить АВ". Этого невозможно зделать вирусу по причинам указанным выше.

Еще 1 преимущество - полный имунитет к файловым вирусам Ж) ибо самозащита включается при инсталле до копирования файлов.

ПС - убить тех проджект манаджеров которые расчитывают защиту с расчетом что пользователь не под админом.

Добавлено спустя 1 минуту 51 секунду:

>Вот например в ДевайсЛок, это решено просто выделением прав на сервис

И я смеюсь ибо админ имеет правао на "Take ownership"

После чего добавляется пользователь Everyone и DeviceLock сносится к чертовой бабушке Ж)

Добавлено спустя 5 минут 29 секунд:

Хотя есть 1 условие Ж) вроде как Change Owner пермишен тоже мона менять тоесть мона запретить (не проверял что там и как у ДевЛока)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
ПС - убить тех проджект манаджеров которые расчитывают защиту с расчетом что пользователь не под админом.

на совещаниями с менеджерами ИнфоВотч, они сообщили их модули под админом можно выключить, но !!!!! это повод их убивать..

Честно НЕ НАДО.

TiX

Я согласен с тобой в том, что методики известны.. И каспер в новой версии очень много подчерпнул из этого..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Итак, то о чем мы и говорили, сломать при желании можно все что угогодно.

Я согласен с тобой в том, что методики известны.. И каспер в новой версии очень много подчерпнул из этого..

Я думаю что все в той или иной мере это учитывают, выходят новые версии продуктов и там внедряются все новые и новые технологии защиты, которые со временем также с легкостью начинают обходить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я думаю что все в той или иной мере это учитывают, выходят новые версии продуктов и там внедряются все новые и новые технологии защиты, которые со временем также с легкостью начинают обходить

В этом и есть смысл нашей деятельности :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
В этом и есть смысл нашей деятельности

В чем :D

В том чтобы искать методы обхождения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
В том чтобы искать методы обхождения

да, и методы защиты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Главное, чтобы к нашим словам АВ компании прислушивались, думаю в этом отношении Лаборатория Касперского вне конкуренции :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

Прислушиваются.. Да согласен. Хотя вот Тrend микро я пока не убедил в том, что для России база DUL вредна :))))...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Хотя вот Тrend микро я пока не убедил в том, что для России база DUL вредна

Давайте попробуем убедить вместе, сможете мне прислать развернутое описание необходимости данного усовершенствования, перешлю его большому начальству в Штаты :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

В ветке борьбы со спамом, я всё ДАААВНО написал :)))) в разделах RBL+ и т п :))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, я выделил сообщения относящиеся к механизмам устранения последствий заражения в отдельную ветку

http://www.anti-malware.ru/phpbb/viewtopic.php?t=669

Тем более, что тема действительно интересная и жаркая сама по себе :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists

TiX:

Проверил я Tamper Protection (SAV 10.0.2.200)

Приговор - в топку ж)

Защита только процессов от убийтва по OpenProcess, OpenThread, TerminateProcess

Может проверить еще раз :wink:

берем Advanced Process Termination: http://www.diamondcs.com.au/index.php?page=apt

все тесты - под админом

Результат:

Sav <Tamper Protection> test~~~~~~~~~~~~~~~~~~~~~~~~~~~~App versions:Sav - v10.0.1.1008Apt - v1.9~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1.) ccApp.exe         [Process: Symantec User Session]2.) vpc32.exe         [Process: Symantec AntiVirus]3.) VpTray.exe        [Process: Symantec AntiVirus]: --------------------4.) ccEvtMgr.exe      [service: Symantec Event Manager Service]5.) ccSetMgr.exe      [service: Symantec Settings Manager Service]6.) DefWatch.exe      [service: Virus Definition Daemon]7.) Rtvscan.exe       [service: Symantec AntiVirus]8.) SNDSrvc.exe       [service: Network Driver Service]9.) SPBBCSvc.exe      [service: SPBBC Service]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1 - OpenProcess/TerminateProcess :  all blocked2 - OpenThread /TerminateThread  :  all blocked3 - CreateRemoteThread           :  all blocked4 - SetThreadContext             :  all blocked5 - DebugActiveProcess           :  all blocked6 - EndTask                      :  1-2-3 (autoprotect is alive but w/o any window; msg after restarting Windows)7 - SendMessage(WM_CLOSE)        :  7     (autoprotect is alive with msg;           context-menu scan is disabled)                                    1-2-3 (autoprotect is alive with msg;           context-menu scan is disabled)8 - SendMessage(SC_CLOSE)*       :  7     (autoprotect is alive with msg;           context-menu scan is disabled)                                 :  1-2   (autoprotect is alive with msg;           context-menu scan is disabled)                                 :  3     (acts as 'Enable Auto-Protect' tray menu)9 - WinStationKillProcess        :  NOT TESTED (requires Terminal Services)~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*8 - closes the window thru system menu (window menu)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×