McAfee VSE8 - ограничение по времени Real-Time скана файлов

[SpasitelofMoney 0]

Стоит McAfee VSE8+P11a+AntiSpyware

Вхожу в VirusScan Console (при дефолтных настройках - то есть ничего сам не менял)

On-Access Scanner

В вкладке General

есть раздел

Scan time

Maximum archive scan time (seconds) - 15

V - Enforce maximum scan time for all files

Maximum scan time (seconds) - 45

всегда в режиме Real-Time Scan, если в указанное время файло не успело проверится то его проверка прекращается и в лог. делается соотв. запись

Правильно ли я понимаю, что если хочется на самом деле защиты от

вирусов в Real-Time - надо отказаться от такого ограничения по времени проверки?

Если так, то кому может быть нужно такое ограничение ?

Типа приходишь выпить в кафе чашку кофе, а тебе и говорят:

"Все что не выпьешь за 30 секунд - отнимем".

А если на винчестере будет лежать достаточно большой зараженный

файл, который я запущу на выполнение.

VSE8 его будет проверять 45 секунд, но потом бросит в виду того что истекут 45 секунд, далее произойдет заражение моего компьютера со всеми вытекающими...

Так?

Я никогда в жизни не видел настройки ограничения времени проверки Real-Time файлов

в Symantec Antivirus Corporate Edition ...1.0-10.1.0.400.

[Yurk 0]

Symantec Antivirus Corporate Edition ...

Поэтому он и вешает систему секунд на 30?

А на самом деле, я подозреваю, то что ты не видел не говорит о том, что ограничения нет. Скорее всего есть, но не регулируется. Кстати многие отличия SAV9 от SAV8 заключались в выводе в пользовательский интерфейс тех настроек, которые были только в реестре.

А как вам умные пользователи которые (дабы спрятать от злого админа) переименовывают *.avi размером 700 Мб в *.exe ?!!!! У меня так пару раз ложили слабенький сервер.

[Кирилл Керценбаум 671]

Я никогда в жизни не видел настройки ограничения времени проверки Real-Time файлов

в Symantec Antivirus Corporate Edition ...1.0-10.1.0.400.

Не знаю насчет Corporate Edition, но например в Web Security for ISA 2004 такой параметр есть: максимальный размер архива после распаковки и максимальное время на его распаковку и сканирование

А как вам умные пользователи которые (дабы спрятать от злого админа) переименовывают *.avi размером 700 Мб в *.exe ?!!!! У меня так пару раз ложили слабенький сервер.

А против таких пользователей нужно использовать соответствующее ПО для файловых хранилищ, например Veritas Storage Exec

[Yurk 0]

А против таких пользователей нужно использовать соответствующее ПО для файловых хранилищ, например Veritas Storage Exec

Ага, и хорошо быть здоровым и богатым... :wink:

[SpasitelofMoney 0]

о вирусах больше нескольких киллобайт я не слышал.

На сколько я понимаю есть очень четкая связь между размером проверяемого файла и временем, которое

нужно потратить на то чтобы его проверить на вирусы. То есть время скана определяется размером файла а не размером вируса которым он заражен.

Так есть уязвимость по этому признаку у антивируса или нет?

Например имеет ли смысл задаваться вопросом, какой максимальный размер файлов, которые могут оказаться зараженными надо разрешить иметь пользователям на компьютере чтобы 45сек. VSE8 хватало чтобы их проверить?

[Сергей Ильин 1538]

Так есть уязвимость по этому признаку у антивируса или нет?

Формально конечно есть, большие файлы не будут проверяться, но тут это вилка получается. Представте, что у вас в сетке лимит снят, я это знаю. Мне задосить вас будет просто элементарно, достаточно просто скнить, скажем, по мылу несколько крупных файлов :-)

[SpasitelofMoney 0]

Сергей Ильин

Не получится - у меня ограничение по размеру файла по почте 10 мб.

А может быть другая эффективная DoS атака, которой будет все равно, что есть ограничение 10 мб. и которая навредит мне если я отключу ограничение по времени проверки?

[Сергей Ильин 1538]

А может быть другая эффективная DoS атака, которой будет все равно, что есть ограничение 10 мб. и которая навредит мне если я отключу ограничение по времени проверки?

Может, можно запаковать 10Мb сразу несколькими упаковщиками, если в настройках будет стоять большая глубина для проверки вложенных архивов, то это займет ощутимые ресурсы и время проверки. А если отправить таких файлов не одни, а скажем 1000 с зомби сети ...

[SpasitelofMoney 0]

Сергей Ильин

Не думаю что есть смысл в Real-Time проверке архивов.

Ее надо отключать если влючена.

Зато если - 7мб архив распакуется - размер будет не так велик чтобы тормозить комп при отключенном ограничении на время скана в Real-Time.

На счет приема 1000 писем по почте - пользователю это быстро надоест и он выключит Outlook раньше чем примет их.

Да и не пилит она ломы...

[Dmitry Perets 30]

Не думаю что есть смысл в Real-Time проверке архивов.

Ее надо отключать если влючена.

Зато если - 7мб архив распакуется - размер будет не так велик чтобы тормозить комп при отключенном ограничении на время скана в Real-Time.

Сергей Ильин имел в виду не архивы, а упаковщики (в смысле PE-пакеры, UPX и проч.), насколько я понял. Распаковка пакеров требует ресурсов. При этом заражённый упакованный файл всё равно опасен, ведь он по прежнему исполняем...

[Сергей Ильин 1538]

Сергей Ильин имел в виду не архивы, а упаковщики (в смысле PE-пакеры, UPX и проч.), насколько я понял. Распаковка пакеров требует ресурсов. При этом заражённый упакованный файл всё равно опасен, ведь он по прежнему исполняем...

Да, правильно, именно об упаковщиках речь.

Интересно при каком количестве таких писем начнутся проблемы на уровне почтового сервера :?

[spw 190]

о вирусах больше нескольких киллобайт я не слышал.

А зря. Бразильские банковские трояны легко по 30Mb+, да уже давно и не только они.

____

Почти "Итальянская забастовка". Я добрый, отзывчивый, культурный, все строго по правилам. Прошу обращаться на ВЫ