Перейти к содержанию
AM_Bot

Обсуждение Safe'n'Sec 2.0

Recommended Posts

AM_Bot

Коллеги, предлагаю перенести обсуждение продукта Safe'n'Sec 2.0 в эту ветку, так всем будет удобнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Ответ на http://www.anti-malware.ru/phpbb/viewtopic.php?p=391#391

Юрий, рад видель Вас на нашем форуме, надеюсь, что Выс станете у нас одним из активных участников.

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо?

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

А теперь серьезно. Я поставил 2.0 дома. О впечатлениях с точки зрения рядового пользователя - расскажу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Romko

To Admin

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

По типам активности, которую контролитует SnS. Я не буду описывать ВСЕ - правил много, приведу только некоторые для примера.

1. File. Здесь понятно. Есть критические системные файлы и данные пользователя доступ к которым надо контролировать. Пользователь может определить правила доступа например для My Documents, кто может смотреть и изменять эти данные. Системные ресурсы - изменять содержимое system32 может как очередное обновление MS, так вирье, которое очень "любит" туда прописываться.

2. Registry. Здесь тоже понятно. Типичные действие, которые могут вызвать вопросы - автозапуск или изменение настроек IE.

3. Process Interaction В основном вмешательство одних процессов в "жизнь" других, нетипичные для обычного приложения - WriteProcessMemory, TerminateProcess, SuspendThread. Думаю что не стоит объяснять предназначение этих функций и опасность которую они могут представлять. Для примера - техника dll-injection многим знакома.

4. Network Activity Функциональность firewall, но до полноценного firewall мы пока не дотягиваем. Хотя ликтесты (http://www.firewallleaktester.com/tests.htm и др.) прошли на уровне известных файерволов :) TDI драйвер. UDP и TCP. Установка соединения и передача данных. В 2.0 сетевай активность контролируется в режиме обучения, т.е. на каждое соединения подымается алерт и там приходится решеть по поводу сетевой активности приложения - разрешать или запрещать и создавать ли правила автоматом. В 2.1 докрутим нормальный режим обучения, с которого можно будет переключаться.

5. System API Call User Mode Hook. Для примера SetWindowsHookEx для установки перехватчика клавы keyloger.

To Admin

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Что обновляется:

- правила контроля активности. есть системные, есть пользователя, обновляем тока системные. Для примера в XP появилась функция SuspendProcess -добавлем ее обработчик и обновляем. Обновления редко - раз в месяц.

- база известных приложений. Приложения, которые мы можем точно идентифицировать независимо от версии и знает их активность. Обновления - раз в неделю.

- базы AV, если есть в продукте. Обновления - от вендора.

To Admin

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Учим :) См. предыдущий пост о сетевой активности и режиме обучения.

To Admin

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Romko
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Про конфликты. Совместимость с антивирусами и файерволами было основным требованием к продукту. Поэтому тестируем и проверяем. В отличиии от некоторых AV мы не выставляем требования, что необходимо удалить конкурирующее ПО и тогда будет все работать :) Была несовместимость с KAV, они обещали ее исправить - надеюсь что сделали :)

Позиционирование. Здесь ныне декларируемый принцип многослойной защиты. 100% не даст никто. И одно решение дополняет другое. Есть AV, FireWall, IDS, IPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Romko
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Я пока не видел 2006 и не смотрел что они реально добавили, поэтому пока не готов ответить. Надо посмотреть и погонять.

По 2005 версии заметил сильное торможение системы и не реагировал продукт на тесты вирусной активности. Я разговривал с их техсупортом и даже посылал семпл с кодом чтобы они объяснили почему приложение не ловит эти действия - ответа не получил. Но когда у Вас сносят системный файлы, я думаю это неприятная процедура и на нее как то надо реагировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Новый символ Safe'n'Sec - киберносорог.

Креативно, маркетологам и дизайнеру - 5 баллов :-)

blue.gif

post-4-1135686466.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×