Перейти к содержанию
AM_Bot

Обсуждение Safe'n'Sec 2.0

Автор AM_Bot, в Выбор домашних средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

Коллеги, предлагаю перенести обсуждение продукта Safe'n'Sec 2.0 в эту ветку, так всем будет удобнее.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AM_Bot    48

AM_Bot
Опубликовано

Ответ на http://www.anti-malware.ru/phpbb/viewtopic.php?p=391#391

Юрий, рад видель Вас на нашем форуме, надеюсь, что Выс станете у нас одним из активных участников.

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо?

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

VladB    60

VladB
Опубликовано
Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AM_Bot    48

AM_Bot
Опубликовано

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

VladB    60

VladB
Опубликовано

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

А теперь серьезно. Я поставил 2.0 дома. О впечатлениях с точки зрения рядового пользователя - расскажу

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Romko    0

Romko
Опубликовано

To Admin

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

По типам активности, которую контролитует SnS. Я не буду описывать ВСЕ - правил много, приведу только некоторые для примера.

1. File. Здесь понятно. Есть критические системные файлы и данные пользователя доступ к которым надо контролировать. Пользователь может определить правила доступа например для My Documents, кто может смотреть и изменять эти данные. Системные ресурсы - изменять содержимое system32 может как очередное обновление MS, так вирье, которое очень "любит" туда прописываться.

2. Registry. Здесь тоже понятно. Типичные действие, которые могут вызвать вопросы - автозапуск или изменение настроек IE.

3. Process Interaction В основном вмешательство одних процессов в "жизнь" других, нетипичные для обычного приложения - WriteProcessMemory, TerminateProcess, SuspendThread. Думаю что не стоит объяснять предназначение этих функций и опасность которую они могут представлять. Для примера - техника dll-injection многим знакома.

4. Network Activity Функциональность firewall, но до полноценного firewall мы пока не дотягиваем. Хотя ликтесты (http://www.firewallleaktester.com/tests.htm и др.) прошли на уровне известных файерволов :) TDI драйвер. UDP и TCP. Установка соединения и передача данных. В 2.0 сетевай активность контролируется в режиме обучения, т.е. на каждое соединения подымается алерт и там приходится решеть по поводу сетевой активности приложения - разрешать или запрещать и создавать ли правила автоматом. В 2.1 докрутим нормальный режим обучения, с которого можно будет переключаться.

5. System API Call User Mode Hook. Для примера SetWindowsHookEx для установки перехватчика клавы keyloger.

To Admin

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Что обновляется:

- правила контроля активности. есть системные, есть пользователя, обновляем тока системные. Для примера в XP появилась функция SuspendProcess -добавлем ее обработчик и обновляем. Обновления редко - раз в месяц.

- база известных приложений. Приложения, которые мы можем точно идентифицировать независимо от версии и знает их активность. Обновления - раз в неделю.

- базы AV, если есть в продукте. Обновления - от вендора.

To Admin

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Учим :) См. предыдущий пост о сетевой активности и режиме обучения.

To Admin

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AM_Bot    48

AM_Bot
Опубликовано
1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

VladB    60

VladB
Опубликовано
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Romko    0

Romko
Опубликовано
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Про конфликты. Совместимость с антивирусами и файерволами было основным требованием к продукту. Поэтому тестируем и проверяем. В отличиии от некоторых AV мы не выставляем требования, что необходимо удалить конкурирующее ПО и тогда будет все работать :) Была несовместимость с KAV, они обещали ее исправить - надеюсь что сделали :)

Позиционирование. Здесь ныне декларируемый принцип многослойной защиты. 100% не даст никто. И одно решение дополняет другое. Есть AV, FireWall, IDS, IPS.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AM_Bot    48

AM_Bot
Опубликовано
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Romko    0

Romko
Опубликовано
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Я пока не видел 2006 и не смотрел что они реально добавили, поэтому пока не готов ответить. Надо посмотреть и погонять.

По 2005 версии заметил сильное торможение системы и не реагировал продукт на тесты вирусной активности. Я разговривал с их техсупортом и даже посылал семпл с кодом чтобы они объяснили почему приложение не ловит эти действия - ответа не получил. Но когда у Вас сносят системный файлы, я думаю это неприятная процедура и на нее как то надо реагировать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Новый символ Safe'n'Sec - киберносорог.

Креативно, маркетологам и дизайнеру - 5 баллов :-)

blue.gif

post-4-1135686466.gif

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
×