Перейти к содержанию

Recommended Posts

XL

Эээ, с логами бяда - Acronis True Image все восстановил уже до уровня неустановленного KAV 6.0, да и троянов я дрвэбом CureIT! уже грохнул, насмотревшись на все это безобразие в папке System Volume Information, о котором я даже не подозревал. А повторять подвиги совсем не хочется, уж поймите меня! :)

Кстати, если кто-то здесь имеет отношение к производству антивирусов, то просьба добавить в базы вот это недавно обновившееся чудо:

http://www.ysbweb.com/ist/softwares/remove/ist_remove.exe

Явный троян даунлодер, ни шестеркой, ни НОДОМ, ни outpost'ом не детектировался на уровне позавчерашнего дня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Пойму Ж) значит бум ждать следующего случая ж)

Кстати - дрвеб CureIt неспособен избавить от активного NewDotNeta.. Так что заслуга каспа всетаки есть Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Активного мы ручками того...точнее при помощи все того же Security Task Manager'а задолго до установки шестерки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

На него проактивка при запуске благим матом орет Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Когда я у себя тестил KAV 6.0 final, то случилось 2 пренеприятнейших вещи, которые я списал на сырость продукта.

Если ты можешь сгрузить что-нибудь со страницы,находящейся в настройках IE в "ограниченной зоне",которой нельзя доверять,типа www.ysbweb.com ,которая всему миру официально (или только в моих настройках?) известна как та,на которой профессионально вдавливают посетителям что-то,а так же DEP увидел запрещённые действия,то может быть после инсталляции это уже был не KAV 6.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

http://www.ysbweb.com/ist/softwares/remove/ist_remove.exe

Интересно, этого трояна нет в базах ни одного антивируса(тока пару пишут, что он подозрительный и кое-кого напоминает). В ближайшее время он будет определяться Каспером, Вебом, Беларуским антивирусом и Авастом.(AVZ надеюсь, что тоже)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Если ты можешь сгрузить что-нибудь со страницы,находящейся в настройках IE в "ограниченной зоне",которой нельзя доверять,типа www.ysbweb.com

Я могу и не такое, а это вовсе не означает, что делается все это из-за собственной безалаберности - есть такое понятие, как профессиональный интерес, в рамках которого все подобные шаги совершаются умышленно с возможностью полного восстановления содержимого жесткого диска впоследствии, если что-то пойдет не так :wink: Да и вообще IE я не пользуюсь, но это уже лирика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
этого трояна нет в базах ни одного антивируса(тока пару пишут, что он подозрительный и кое-кого напоминает). В ближайшее время он будет определяться Каспером, Вебом, Беларуским антивирусом и Авастом.(AVZ надеюсь, что тоже)

Уже детектиться Каспером :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
X3ro

ну с моей репутацией "нодиста",...даже я рекомендовал друзьям, пользователям кав5-го перейти на 6ю версию. Мне лично она понравилась. Хороший продукт. Вот как им удалось на старом движке увеличить скорость-загадка.

Ps. подскажите плз на каком языке написан КАВ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вот как им удалось на старом движке увеличить скорость-загадка.

Загадка совсем не сложная. Давайте разгадывать.

Разгадка номер 1 называется iSwift. При проверке файлов собираются их чек-суммы, чтобы не перепроверять лишний раз файлы, про которые и так ясно, что они не заражены. Что значит ясно? Здесь всё хитро, всех тонкостей алгоритма, разумеется, ЛК не раскрывает. Но суть в том, что если файл не изменялся с предыдущих проверок, то его постепенно перестают перепроверять. Почему постепенно? Потому что теоретически существует вероятность того, что файл-таки был заражён, просто в момент первой проверки зараза была неизвестна антивирусу. Вот для этого случая файл первое время перепроверяется часто, после каждого обновления баз, затем почти после каждого и т.д., до тех пор пока его вообще оставят в покое. А если файл изменится, то весь этот цикл начнётся сначала.

Это про iSwift, который заметно ускоряет полную проверку компьютера по требованию (но не первую, разумеется, а последующие - при первой у iSwift ещё нет чек-сумм).

Разгадка номер 2 похожа и касается постоянной защиты (ака антивирусного монитора). Тут всё ещё проще. По дефолту просто установлена галка "Проверять только новые и изменённые файлы". В этом случае никаких хитростей - файл просто не перепроверяется, если он не был изменён с момента последней проверки (по тем же чек-суммам iSwift). Кстати, такая техника используется в NOD32.

Разгадка номер 3 называется, если не ошибаюсь, ABS. Это технология, которая понижает "ресурсоедство" тогда, когда вы активно работаете за компьютером. Это позволяет, например, довольно сносно работать за компьютером даже во время проверки по требованию, что было практически нереально в 5-й версии.

Сюда же отнесём возможность отложенной проверки. Крупные файлы распаковываются "на заднем плане" и потом потихоньку проверяются - чтобы не тормозить процесс копирования, когда и так всё загружено по самое "не могу", например.

Ну это в общих чертах =) Ни одна из этих разгадок не связана с антивирусным ядром. Ядро по-прежнему проверяет кучу разных пакеров, пакеров внутри пакеров и т.д. Короче говоря, развеять миф о тормознутости Антивируса Касперского - это была одна из основных технических задач при разработке 6-й версии, по словам самих разработчиков. Имхо они эту задачу выполнили на отлично. Даже визуально 6-я версия шустрая, с отзывчивым гуи (салют Симантеку с его ужастиком 2006...=)), систему практически не тормозит.

Ps. подскажите плз на каком языке написан КАВ?

Не знаю точно, но почти уверен, что на С++. А какие ещё варианты собственно? =)

P.S. Вам могло совершенно случайно показаться, что я чересчур люблю 6-ю версию Касперского... НУ ДЫК ДА, ТАК ОНО И ЕСТЬ!!!! =))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А самая главная разгадка быстродействия в том, что линейка 6.0 написана практически с нуля (движек не берем в расчет).

Разработчики, писавшие 6-ку, бились над каждым байтом, чтобы добиться выигрыша производительности. Вот и результат!

Это не Norton, где каждый год на прошлогодний продукт навешивают новые фичи, что-то вообще в торопях прикручивают, что досталось от многочисленных слияний и поглощений, в итоге продукт становится все жирнее и требовательнее к ресурсам.

Заниматься "написанием с нуля", убив кучу ресурсов и времени, в Symantec никто никогда не будет, да и не дадут (Касперского же у них нет :-)).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Это не Norton, где каждый год на прошлогодний продукт навешивают новые фичи, что-то вообще в торопях прикручивают, что досталось от многочисленных слияний и поглощений, в итоге продукт становится все жирнее и требовательнее к ресурсам.

Кстати, господа! Вы тоже заметили, что в Symantec Internet Security 2006 забыли прикрутить модуль Anti-popup? =))) То есть галка есть, но модуль не работает! Он не блокирует окошки! Причём со времени релиза 2006 прошло уже где-то полгода, обновлений навыпускали общим размером больше, чем весь дистр 6-го Касперского. Но этого так и не поправили! Ржунимагу, так сказать =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
X3ro

Ps. подскажите плз на каком языке написан КАВ?
Не знаю точно, но почти уверен, что на С++. А какие ещё варианты собственно? =)

ассемблер-как в случае с нод-ом. Вот такой вариант.

Добавлено спустя 3 минуты 29 секунд:

P.S. Вам могло совершенно случайно показаться, что я чересчур люблю 6-ю версию Касперского... НУ ДЫК ДА, ТАК ОНО И ЕСТЬ!!!! =))))

как правило для новых продуктов часто "вылезают" эксплоиты. В 2004-2005г на различных продуктах ЛК их было 8 (разной "вредности"). Так что, думаю не стоит спешить переходить на авп6, пока билдов новых не выпустят. Это как с небезызвестной ОС :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
как правило для новых продуктов часто "вылезают" эксплоиты. В 2004-2005г на различных продуктах ЛК их было 8 (разной "вредности"). Так что, думаю не стоит спешить переходить на авп6, пока билдов новых не выпустят. Это как с небезызвестной ОС :)

Дык в 2005-м году где только не нашли дыры (для переполнения буфера). На моей памяти: дыра в Касперском, дыра в Макафи, дыра в Тренд-микро, дыра в Ф-секуре, две дыры в Симантек. Их все довольно оперативно латают, а реальных случаев эксплойта имхо не было, или я пропустил. Причём это не в новых версиях всё было...

Но кстати Касперские выпустили ещё и KAV 5.0 MP4, специально для тех, кто на новинки сразу не переходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Есть еще разгадка - iChecker и отложенная проверка архивов / составных обьектов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Есть еще разгадка - iChecker и отложенная проверка архивов / составных обьектов

Если не ошибаюсь, то iChecker еще в 4.5 появился, в 5-ке они его доделывали. Видимо оставили задел для 6-ки и следующих версий :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Да нет вроде.. работает очень даже хорошо.. и база по перепроверкам раз в ХХ какраз в ичекере хранится..

iSwift база действует только в 1 сессии (каждый раз обнуляется) и управляется дривером - вроде как ненадо чек сумму считать что-бы определить изменился файл или нет..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Да нет вроде.. работает очень даже хорошо.. и база по перепроверкам раз в ХХ какраз в ичекере хранится..

iSwift база действует только в 1 сессии (каждый раз обнуляется) и управляется дривером - вроде как ненадо чек сумму считать что-бы определить изменился файл или нет..

Нет, это не так. Базы не обнуляются, ни у того, ни у другого. Но iChecker анализирует содержимое файла, в то время как iSwift использует системные события. Действительно, iSwift управляется драйвером. И его действие быстрее, чем действие iChecker. Но зато iChecker подействует даже если файл перемещён в другой каталог - iSwift в этом случае решит, что это что-то новое. А вот чек-сумму iSwift, видимо, действительно не считает. Тут ты прав. Оттого и быстрее.

Всё это прозрачно для юзера, так что особого смысла углубляться в мелочи нету. Тем более, что всех мелочей разработчики не представят всё равно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Вобщем разобрались Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кстати в 6-ке есть такой тонкий момент, связанный с теми же iChecker и iSwift. Там появилась еще одна опция - проверка только новых и измененных файлов. По логике опция тот же самый iChecker, но на самом деле нет.

При включенном iChecker (отдельная галочка в настройках, включенная по умолчанию) проверяются только новые и измененные файлы, до тех пор, пока базы не обновились. Как только произошло обновление баз - все сбрасывается и проверяются все файлы, новый и старые.

Если же еще поставить новую галочку "проверка только новых и измененных файлов", то что уже проверено не будет проверяться не смотря на выход обновлений баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Кстати в 6-ке есть такой тонкий момент, связанный с теми же iChecker и iSwift. Там появилась еще одна опция - проверка только новых и измененных файлов. По логике опция тот же самый iChecker, но на самом деле нет.

При включенном iChecker (отдельная галочка в настройках, включенная по умолчанию) проверяются только новые и измененные файлы, до тех пор, пока базы не обновились. Как только произошло обновление баз - все сбрасывается и проверяются все файлы, новый и старые.

Если же еще поставить новую галочку "проверка только новых и измененных файлов", то что уже проверено не будет проверяться не смотря на выход обновлений баз.

Ну да, я об этом писал в своём первом посте выше, это были первые две разгадки. Только, как я и сказал, всё немного хитрее. С галкой "Проверять только новые и изменённые файлы" всё так, как ты сказал: пока не изменился файл, проверять его не будут. Но без этой галки, то есть только с iCheckeriSwift, всё сложнее. Первое время файлы будут перепроверяться после каждого обновления баз, но потом - всё реже и реже. Там специальный "карантинный период" введён, после которого КАВ уже уверен, что файл-таки чистый. Тогда уже если его и будут перепроверять, то совсем редко.

Галка "Проверять только новые и изменённые" установлена по дефолту для постоянной защиты - чтоб быстрей было. А для проверки по-требованию эта галка снята.

iCheckeriSwift работают для постоянной защиты всегда. А для проверки по-требованию они включены по-дефолту, но особые параноики (или тестеры) могут их отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Первое время файлы будут перепроверяться после каждого обновления баз, но потом - всё реже и реже. Там специальный "карантинный период" введён, после которого КАВ уже уверен, что файл-таки чистый. Тогда уже если его и будут перепроверять, то совсем редко.

Да, есть такое дело, об этом я забыл написать. Кстати это фишка есть еще в 5-ке.

Галка "Проверять только новые и изменённые" установлена по дефолту для постоянной защиты - чтоб быстрей было. А для проверки по-требованию эта галка снята.

Я читал несколько раз, как эту функцию сильно критиковали, мол можно пропустить новый вирус и вообще что это подход неправильный.

Добавлено спустя 2 минуты 44 секунды:

iCheckeriSwift работают для постоянной защиты всегда. А для проверки по-требованию они включены по-дефолту, но особые параноики (или тестеры) могут их отключить.

Только не синхронизированы настройки, при отлюченных iCheckeriSwift (снятые галки) и поставленной галке "Проверять только новые и изменённые" будет проверяться все. По идее при снятии галок CheckeriSwift опция "Проверять только новые и изменённые" должна становиться неактивной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Я читал несколько раз, как эту функцию сильно критиковали, мол можно пропустить новый вирус и вообще что это подход неправильный.

Извечный компромисс скорости и надёжности проверки =) Ну скажем так, вероятность пропустить вирус в случае с Касперским очень мала - обновления каждые два часа качаются. Плюс есть ещё проактивная защита на чеку... Хотя конечно опасность небольшая всё же есть. Так что иногда стоит и полную проверку компа делать, со снятой галкой ентой... Убрать-то галку можно, но приятно же, когда совсем быстро =)

В НОДе кстати ведь тоже галка проверки только новых и изменённых файлов стоит по-дефолту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

После каждого рестарта отрабатывает сканирование стартап обьектов + сканятся все файлы к которым система обращалась при загрузке.. поймает кароче ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вообщето и ента версия оказалась с глюками. Такие ощущения, что эти ошибки в KAV6 будут вечно и никогда билда норм не выйдет. тьфу-тьфу

Основные известные ошибки Kaspersky Anti-Virus Personal 2006 6.0.0.299:08173 После установки поверх KAV5 или Outpost, от этих продуктов остаются пустые папки 09049 Неточная надпись о нехватке прав при установке английской KIS6 06521 AH: Файервол фиксирует сетевую активность с удал хостом "локальная машина" (Inactive) 09123 PDM: выдаем 2-а алерта при запуске браузке с командлайн по линку из Outlook-а (Inactive) 09142 PIW: не работает линк Help в окне Please wait while check sums of executable... (Inactive) 09251 Installer: Не удаляется драйвер klmc и klif при установке поверх Security Suite (Inactive) 09300 При установке на Outpost остается папка с файлами и ветка в реестре. (Inactive) 09439 Help: Непонятная ссылка в общей информации (Inactive) 09444 Scheduler: отсутствует настройка Run task if skipped (Inactive) 09457 Help: противоречие в описании работы с Аварийным диском (Inactive) 09465 Не подцепляются настройки Reg Guard при деинсталляции/инсталляции. (Inactive) 09477 ger: Неправильный символ в надписи при установке. (Inactive) 09480 Через балун можно в обход пароля отключить все notifications. (Inactive) 09484 Необходимо убрать все телефоны из Support-a во всех локализациях! (Inactive) 09492 ger: В сообщении антиспама о необходимости тренировки письмах сливаются слова (Inactive) 09504 линк "Служба Поддержки" в инф. окне в Ru, Fr, De версиях KIS ведет на Eng сайт (Inactive) 09510 Неверно обрабатываются умлауты при отправлении нотификаций по мылу. (Inactive) 09513 Нужна галка отключения отправки уведомлений на мыло (Inactive) 09518 Падение в модуле avs.ppl при старте и лечении всех ранее обнаруженных объектов (Inactive) 09539 Некорректно работает Schedule в режиме "каждый 1 час" для Update (Inactive) 09581 GUI: Ссылка на покупку лицензии не ведет на нужную страницу. (Фр. локаль). (Inactive)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×