Перейти к содержанию
Иван

Мифы об Антивирусе Доктор Веб

Recommended Posts

Mr. Justice
Ну что за отсутствие логики?

Видел и на многих быстрых. И даже работать можно в отличии от мультяшных аналогов.

Причем тут отсутствие логики? Иван хотел сказать' date=' что многие пользователи считают, что основное преимущество Dr. Web - малая ресурсоемкость.

Так прямо и заявляет, что ВСЮ системную информацию обо ВСЕХ объектах проверяет? И ничего не может пропустить? Да ну бросьте. Слово "большинство" тут более уместно :)

Согласен, если учитывать технологии iChecker и iSwift

Т.е. если мы возьмём определённый момент времени до обновления базы объектов автозапуска' date=' то в этот момент времени мы уже не получим ВСЮ информацию обо ВСЕХ объектах? Так? :)[/quote']

Вы правы, но следует иметь ввиду, что объекты автозапуска, работающие программы и иные критические области можно проверить впоследствии, то есть после соответсвующего обновления. В Dr. Web такая возможность есть, и проверка может производиться в автоматическом режиме, но в этом случае Dr. Web проверяет лишь работающие программы и модули, а KAV/KIS - все критические области.

Лечит' date=' но без танцев с бубном :)[/quote']

Не понял Вашу мысль, поясните пожалуйста.

Ну что за глупость' date=' право. Зачем удалять весь архив, если можно распаковать, сделать, что угодно и запаковать?[/quote']

Да? Но подавляющему большиству пользователей это неизвестно. Этим мало кто будет заниматься в реальности. Да и зачем использовать "допотопные" методы, когда это может сделать антивирус. Просто и удобно!

Ребята ну что вы говорите' date=' вы же сами дальше пишите, что в докторе есть многочисленные настройки позволяющие убыстрить работу за счет снижения уровня безопасности. Это делается под ответственность пользователя.

Делаете так вы, делают так и другие, просто у других эта настройка еще более продвинутая. Зачем же тут говорить о порочности?[/quote']

Т.е. у других ответственность на пользователя ложится полностью? :)

ЛК учитывает интересы как грамотных пользователей' date=' так и не очень. Dr. Web пытается делать тоже самое, но это у него, на мой взгляд, получается хуже. Настройки KAV/KIS более разнообразны, так как антивирус расчитан на пользователей разного уровня. Предустановленные настройки, кстати можно не менять, они подходят для большиства пользователей.

Просто сказано, что возможность такая есть.

Что можно запустить несколько сканеров, и они просканируют 2 раздела одновременно быстрее, чем 1 сканер последовательно один раздел за другим.

Будет ли кто-то на практике это использовать? Но это, как Вы правильно заметили, другой вопрос.

Кроме того у вас нельзя задать время отключения защиты' date=' нельзя включить защиту при опред событии, пользователь забыл, что отключил, полез в инет и пиши пропало.

И вообще когда говорят о отсутствии у Дрвеба такой функции говорят еще о том, что хорошо бы была автоматическая возможность приостановить задачу сканирования, если процессор занят работой с другими приложениями[/quote']

Сканирование приостановить можно. Зачем придумывать лишние фичи' date=' которые жрут драгоценные ресурсы с таймерами, если вот он, пауг с паузой нарисован? :)[/quote']

Вы ошибаетесь. Как раз наоборот. Они, как Вы выразились, не "жрут" драгоценные ресурсы", а помогают их сохранить. Когда я работал на слабой машине, мне иногда приходилось отключать резидентный файловый монитор, при этом я очень часто забывал включать его после того, как отпадала необходимость в отключении постоянной защиты, в том числе я забывал это делать при поподключении к интернету. И, думаю, таких как я не мало. Кроме того, мне иногда приходилось проводить проверку дисков сканером on demand и одновременно работать с другими приложениями, что было, мягко говоря, неудобно. Всех этих проблем удается избежать благодаря новым возможностям KAV/KIS. Эти возможности, кстати, появились впоследних версиях KAV 5.0.

Не достаточно эвристического анализатора' date=' нельзя в режиме эмуляции эвристиком многие вредоносы отловить. А функции контроля вирусной активности не имеют никакого отношения к контролю реестра, целостности приложений (сами знаете о случаях внедрения и подмены вредоносами приложений) реализованных у Панды и Касперского, ну и Битдефендера по-моему. Кроме тот же Касперский умеет следить за процессами (за их действиями) и как только принимается решение, что процесс вредоносный – Касперский может откатить все изменения сделанные этим процессом и вернуть систему к незараженному состоянии.[/quote']
Также нельзя блокировать сначала все нормальные программы' date=' устанавливать для них правила, а потом, если повезёт, нормально работать. Не забота это пользователя.[/quote'].

Повторяю, что KAV/KIS расчитан на широкий круг пользователей, имеющих разный уровень квалификации. Эта особенность в продукции ЛК реализовано более гармонично, чем в Dr.Web. По этому параметру сравнение вообще неуместно. Проактивная защита позволяет значительно повысить результативность работы антивируса. Проактивная защита на базе поведенческого - адекватный ответ угрозам нового XXI века. Традиционного сигнатурного, эвристического метода борьбы с угрозами уже недостаточно. Насколько я знаю, тот же polipos Касперский мог детектировать, фактически с момента его появления, то есть раньше других антивирусов. Это стало возможным как раз, благодаря проактивной защите продуктов от ЛК.

Незначительный урон и значительный - разные вещи :)

Никакого урона нет. KAV/KIS эфективно и быстро. Его наличие не ощущается вообще.

Другое дело' date=' _как_ они это делают.Есть тут смутные сомнения.[/quote'].

Никаких сомнений нет. Антивирус работает прекрасно. Сомнения возникают у "заинтересованных лиц", поведение которых нетрудно объяснить. Уязвимости можно найти, практически, в любом продукте. Ни один антивирус не устоит от тщательно спланированной целевой атаки.

Ну' date=' чего-чего, а ДОС-вирусняки Доктор намана лечит, не нада.[/quote']

Ну и что из этого?

Форум интересный' date=' буду заходить, если никто не против :)[/quote']

Спасибо. Думаю, никто против не будет. Я, в любом случае, буду только рад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

">Ленивый - да, не лечит

Кто именно? Ж)"

Здоров, народ! :)

To TiX:

Ну, кто именно, кто именно. Кто ленивый, кто лечение не хочет писать, конечно. Кто ленивый, и сам про это знает.

"А всеравно будет пойман Ж) Есть другие (не проактивные) технологии Ж) Уверенность придает подкрепленность фактами ж)"

Интересный, конечно подход - латать дырки одних технологий другими технологиями :) А там тоже дырка :)

"Новерное 7з мо ного раз меньше распространен... Тут же дело не в сложностях реализации а в полученной выгоде."

Т.е. сколько с пользователей будет снято денег за мультики? :)

">Но не вижу особой изюминки в том, чтобы в одних архивах лечить, а другие даже не распаковывать

Я тоже, но зделать ничего немогу ж)"

Как я тебя, Саныч, в этом плане понимаю :)

"Гдеж выгода? 2 процесса - 2 раза подгружены базы, дллки и.т.д"

Выгода во времени сканирования :)

"Можен они его сначала незамечают?"

А чем "сначала" отличается от "потом"? ;)

"Исходя из вашей логики Control-Center дрвебу ненужен.. однако сознают зачемто.. а зачем ГУИ сканнер создали? Можно вель и из командной строки проверить.. ненадо тратить память на ГУИ... Странно да?"

Да Докторовый GUI тратится меньше памяти, чем на более другой :)

"Запускал.. процесс воявляется и тутже исчезает.. странно да?"

А с шильдиком? :)

"Наверное методами отличия нормальных программ от ненормальных... Ж)"

У отличий есть методы? :)

">А КАВ может запутаться в своих "прыжках" между файлами, которые нужно через час проверить и теми, которые через месяц

Неможет к сожалению.. все четко.. "

Ну, опять такая уверенность. Вон, пользователи путаются в настройках, даже опытные :)

А если путается человек, то прога завсегда найдёт лес в поле :)

"Странно... Наклонности то ярко выраженны Ж) Мне как настоящей вольной птице это хорошо видно посидев на форуме дрвеба Ж)"

Ну, скажем так, я "осторожно симпатизирую" одной из прог. Ну так что ж с того? Меня бы тут не было, если бы не хотел увидеть "более другие" мнения и потестировать их на совместимость с собой :)

Консерватор я с тех времён, когда мы были маленькими, а компьютеры большими :)

"Почумеже... уго честно спрашивают - "Был обнаружен защищенный траффик, Антивирус .... может проверить его. Проверить?" "

А если глупый пользователь соглашается, то мы делаем то, как обычно поступают совсем не антивирусы? ;)

To Иван:

"Вообще я не собирался полемизировать, просто хотел показать, что можно на любой миф ответить своей легендой:)"

Золотые слова, держи пять :)

А для чего нужны форумы, акромя как для полемики? :)

"на нашей многострадальной Родине наверное такой ночной отдых, учитывая широту наших часовых поясов, может быть череват. Да и за пределами РОдины могут быть проблемы"

Да, засиделся вчера малость - слишком тут интересно :)

Ведь лучшая заслуга форума - это когда на нём интересно и левым, и правым, и красным, и зелёным - ведь так? ;)

To Сергей Ильин:

"Файлы то разные, только в этом случае все равно их надо считать как одно обновление, а не как три."

Какая разница, как считать? Главное, чтобы обновления были и лечили :)

To Mr. Justice:

"Причем тут отсутствие логики? Иван хотел сказать, что многие пользователи считают, что основное преимущество Dr. Web - малая ресурсоемкость. "

А, ну это совсем меняет дело :)

О, боги, когда же появится идеальный антивирус, который будет мало жрать и всё ловить? :)

Наверное, просто компьютеры пока слабые :)

"но в этом случае Dr. Web проверяет лишь работающие программы и модули, а KAV/KIS - все критические области."

Объясните разницу, плиз. Автозапуск у Доктора тоже проверяется :)

Красивый термин "критические области". АфтАру 5 :)

"Не понял Вашу мысль, поясните пожалуйста."

Ну, помню, давно, очень давно Дохтор уже лечил загрузочные сектора, но как-то умудрялся это делать без подпорок в виде реализации бэкап-технологий, на которые, кстати, тоже место на винте, наверное нужно :)

А если умел раньше, то, думаю, не разучился :)

Вспоминте, например, OneHalf - там вообще сложная шняга была :)

Да, помню, золотое время было :)

"Да? Но подавляющему большиству пользователей это неизвестно. Этим мало кто будет заниматься в реальности. Да и зачем использовать "допотопные" методы, когда это может сделать антивирус. Просто и удобно!"

Очередной развод пользователей? :)

Т.е. пользователь уверен, что архивы лечатся, но тут приходит 7Z, а пользователь об этом даже не узнает, не говоря о том, чтобы вылечить в нём :)

Чем больше количество патентов у тех, кто выпускает архиваторы, ОС и другие шняги, тем больше будет подпорок, причём это касается всех :) В первую очередь "неподготовленных" пользователей или "подготовленных байками обсуждаемого вендора" :)

В общем, даёшь оупенсорцы :)

"Будет ли кто-то на практике это использовать? Но это, как Вы правильно заметили, другой вопрос."

Мой знакомый админ ночью так сканирует винты на серверах - двумя/тремя копиями GUI-сканера :)

Ему нравится :)

Кстати, у него я этот метод в первый раз и увидел, сам бы не додумался :)

"Предустановленные настройки, кстати можно не менять, они подходят для большиства пользователей."

Ну, не нравится мне принцип, который "мы сами знаем, что нужно пользователю" :)

ИМХО, конечно :)

Пользователь должен знать, что у него на компе творится :)

Благо, курсов сейчас много для всех желающих :)

"Вы ошибаетесь. Как раз наоборот. Они, как Вы выразились, не "жрут" драгоценные ресурсы", а помогают их сохранить. Когда я работал на слабой машине, мне иногда приходилось отключать резидентный файловый монитор, при этом я очень часто забывал включать его после того, как отпадала необходимость в отключении постоянной защиты, в том числе я забывал это делать при поподключении к интернету."

Согласен, тут соль есть :)

"Насколько я знаю, тот же polipos Касперский мог детектировать, фактически с момента его появления, то есть раньше других антивирусов. Это стало возможным как раз, благодаря проактивной защите продуктов от ЛК."

А Дохтор в это время бесплатно лечил компьютеры от него :)

"Никакого урона нет. KAV/KIS эфективно и быстро. Его наличие не ощущается вообще."

Почему-то я с кепсисом отношусь к тому, чего наличие не ощущается вообще :)

"Спасибо. Думаю, никто против не будет. Я, в любом случае, буду только рад."

Интересно общаться с интересными людЯми :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ЛК учитывает интересы как грамотных пользователей, так и не очень. Dr. Web пытается делать тоже самое, но это у него, на мой взгляд, получается хуже. Настройки KAV/KIS более разнообразны, так как антивирус расчитан на пользователей разного уровня. Предустановленные настройки, кстати можно не менять, они подходят для большиства пользователей.

А вот кстати, почему бы Доктору вебу не сделать два продукта персоанльных. Первый - аналог антивируса Virus Chaser http://www.anti-malware.ru/phpbb/viewtopic.php?t=577, а второй - оставить как сейчас - условно для профессионалов и тех, кому нравится Доктор Веб в том виде, в котором он есть сейчас.

Ведь кучу проблем бы это реально решило ...

Я, конечно, не могу точно оценить ресурсы, необходимые для этого, но со стороны это выглядит не слишком сложно и дорого.

Goudron писал(а):

Ну, чего-чего, а ДОС-вирусняки Доктор намана лечит, не нада.

Ну и что из этого?

Вообще пора бы уже забыть о Дос-вирсах, жить прошлым не хорошо, нужно развиваться. Если подойти системно к вопросу, то большинство мифов, который тут обсуждаются - это как раз и появились потому, что Доктор Веб долгое время жил прошлым, закрывали глаза на очевидные вещи, требования рынка и своих пользователей, а теперь вот приходится как-то выкручиваться ...

Добавлено спустя 12 минут 10 секунд:

О, боги, когда же появится идеальный антивирус, который будет мало жрать и всё ловить?

Никогда, увы, все будет только хуже :(

Не хочу тут поднимать опять эту тему, можно обсудить это в ветке

Смерть классического антивируса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

"А вот кстати, почему бы Доктору вебу не сделать два продукта персоанльных. Первый - аналог антивируса Virus Chaser http://www.anti-malware.ru/phpbb/viewtopic.php?t=577, а второй - оставить как сейчас - условно для профессионалов и тех, кому нравится Доктор Веб в том виде, в котором он есть сейчас.

Ведь кучу проблем бы это реально решило ..."

Кстати, интересная идея, а главное, продуктивная.

Вот если бы Virus Chaser немного "довести" и начать продавать в России :)

Зачем же разрабатывать 2 продукта, если оба уже есть :)

"Вообще пора бы уже забыть о Дос-вирсах, жить прошлым не хорошо, нужно развиваться."

Вы это банкам и медицинским госучреждениям скажите.

У них досе стоит MS-DOS 6.22 и Эпсоны LX 300. Жалко людей...

"Никогда, увы, все будет только хуже Sad

Не хочу тут поднимать опять эту тему, можно обсудить это в ветке"

Есть надежда, что всё же железки будут развиваться быстрее, чем увеличиваться необходимые для антивирусных технологий ресурсы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

И так.... прочитав еще 3 поста "мягкого бреда" начну просвещать обе стороны ж) Т.к тут мало того что незнают устройства Кава так и Др.Веба оказывается ж)

Поехали...

For Mr. Justice:

>Согласен, если учитывать технологии iChecker и iSwift

Он никак не влияет на количество проверяемух обьектов автозапуска. Он только не проверяет то что неизменилось. Это разные вещи.

>Вы правы, но следует иметь ввиду, что объекты автозапуска, работающие программы и иные критические области можно проверить впоследствии, то есть после соответсвующего обновления. В Dr. Web такая возможность есть, и проверка может производиться в автоматическом режиме, но в этом случае Dr. Web проверяет лишь работающие программы и модули, а KAV/KIS - все критические области.

Тут уточнение - Критические области - это другое.. Запускается задача "Startup-Scan" - проварка процессов, модулей (дрвеб модули не проверяет) и обьектов прописанных в местах автозапуска.

For Goudron:

>Ну, кто именно, кто именно. Кто ленивый, кто лечение не хочет писать, конечно. Кто ленивый, и сам про это знает.

Parite лечат все.. ленивых тут нету Ж)

>Интересный, конечно подход - латать дырки одних технологий другими технологиями А там тоже дырка

А кто и главное что латает? И где "там" тоже дырка если вы даже назнаете за счет какой технологии вирь прописанный в неизвестном ключе авто-запуска будет пойман? Ж)

>Т.е. сколько с пользователей будет снято денег за мультики?

Нет.. в количестве выгоды которую получят пользователи... 7з во много раз мение популярен чем рар... для 7з может распространятся любимое правило - будет проверен при распаковке ж)

>Выгода во времени сканирования

Чем 2 процесса по 1 потоку отличаются от 1 процесса с 2 потоками? Ж) (Надо учитывать что каждуй сканнер запускает не просто 1 поток на сканирование но и несколько вспомогательных которые жрут процессорное время)

>А чем "сначала" отличается от "потом"?

Вот именно - ничем Ж) Поэтому намного лучне и надежней паузить на какоето время.. или если запаузили то матюкатся каждые 10 минут чтоб заметно было..

>Да Докторовый GUI тратится меньше памяти, чем на более другой

Угу.. Эт в мечтаниях.. ибо Гуи 4х модулей жрет много больше памяти ж)

>А с шильдиком?

Тоже самое.. Вам наверное известно 2 фатка

1. Шилдик инсталится сканером при запуске и сносится при выходе.. значит если сканер убить на ранней стадии - через несколько мили-секунд после запуска Ж) Он неуспеет установить и запустить драйвер шалда - это раз

2. Шилд - это только название красивое Ж) Он еще ничего не защищает.. а только помогает проверять и убивать залоченные файлы.

В отличие от каспа... где "шильдик" уже делает то что у дрвеба только планируется. Ж)

>У отличий есть методы?

Ненадо передергивать... Есть методы отличий.. но у отличий есть только признаки.

>Ну, опять такая уверенность. Вон, пользователи путаются в настройках, даже опытные

Пользователи могут мануал прочитать...

>А если путается человек, то прога завсегда найдёт лес в поле

Слабая логика...

>Ну, скажем так, я "осторожно симпатизирую" одной из прог. Ну

Оно и видно... У меня глаз на это уже наметан Ж) Не первый год на войне... Ж)

>А если глупый пользователь соглашается, то мы делаем то, как обычно поступают совсем не антивирусы?

А как поступают совсем не антивирусы?

>Да, засиделся вчера малость - слишком тут интересно

Ненадо перефразировать. Речь шла не про вас а про вирь лаб Данилова.

>Какая разница, как считать? Главное, чтобы обновления были и лечили

На форуме дрвеба часто показывают общее количество обновленый выпещунных за день. Без каких либо поправок. Классно былоб еслиб касп считал не "Сколько раз файлы обновлялись на серверах обновления" а "Сколько всего файлов обновилось за 1 сутки".

>О, боги, когда же появится идеальный антивирус, который будет мало жрать и всё ловить?

Никогда!

>Объясните разницу, плиз. Автозапуск у Доктора тоже проверяется

Красивый термин "критические области". АфтАру 5

Угу.. Еслиб вы и афтор выше понимал о чем речь. Критические области - тоже самое что и стартап + папки Windows & System32. Но это другое... Проверка авто-запуска и процессов какраз таки осуществляется после каждого обновления.

>А если умел раньше, то, думаю, не разучился

Тут другая история - как с файлами - нельзя восстановить мбр в 100% изначальный вид. Каспер тоже может лечить мбр. но зачем это делать рискуя.. когда можно восстановить бекап. А сохранить 1024 байта - это не очень много места...

>Вспоминте, например, OneHalf - там вообще сложная шняга была

Была...

>Очередной развод пользователей?

Развод - метод дрвеб... Разводит на ручные операции Ж)

>Чем больше количество патентов у тех, кто выпускает архиваторы, ОС и другие шняги, тем больше будет подпорок, причём это касается всех

Какие подпорки то? Для ног? Ах да... проще сломать еще и голову Ж) Чтоб дгугую поставили - ручками перепаковали...

>В общем, даёшь оупенсорцы

Недам, мы еще не такие бедные...

>Мой знакомый админ ночью так сканирует винты на серверах - двумя/тремя копиями GUI-сканера

Это какраз подпорки непродуманностям Доктора Ж) А что делать...

>Ну, не нравится мне принцип, который "мы сами знаем, что нужно пользователю"

Ненравится - поменайти настройки под себя Ж)

>Пользователь должен знать, что у него на компе творится

Домохозяйке обсолютно пофигу... Непофигу - пусть включит отладочные логи и смотрит до посинения Ж) Там каждый шаг описан в деталях Ж)

>Согласен, тут соль есть

Хоть в чемто Ж)

>А Дохтор в это время бесплатно лечил компьютеры от него

Сначала надо заразится.. а если не заразился то что лечить? Ж) Пс - в это время доктор его не лечил Ж)

>Почему-то я с кепсисом отношусь к тому, чего наличие не ощущается вообще

Это у вас от дрвеба впечатления остались.. Пройдут.. Надеюсь Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

"Тут уточнение - Критические области - это другое.. Запускается задача "Startup-Scan" - проварка процессов, модулей (дрвеб модули не проверяет) и обьектов прописанных в местах автозапуска. "

Ну, как же не проверяет? Проверяет стартапы же, даже те, что не в памяти :)

Вот же оно - "Scan startup files", "Scan memory" и т.д.

"Parite лечат все.. ленивых тут нету Ж)"

Где тут? Или Дохтор и Касперыч - это и всё, что есть? ;)

А полиморфики посложнее? ;)

"Нет.. в количестве выгоды которую получят пользователи... 7з во много раз мение популярен чем рар... для 7з может распространятся любимое правило - будет проверен при распаковке ж) "

Но мужыки слышали лишь это: "Лечит в архивах", об остальном-то они не знают :)

"Чем 2 процесса по 1 потоку отличаются от 1 процесса с 2 потоками? Ж) (Надо учитывать что каждуй сканнер запускает не просто 1 поток на сканирование но и несколько вспомогательных которые жрут процессорное время) "

Ну о чём тут спорить? :)

Запускаете 2 сканера и сравниваете :)

"Угу.. Эт в мечтаниях.. ибо Гуи 4х модулей жрет много больше памяти ж)"

Но работают они быстрее, чем один :)

Проверено :)

Как и почему - вопрос более второй :)

"Пользователи могут мануал прочитать... "

А где же "работает из коробки, не требует настройки"? :)

">А если путается человек, то прога завсегда найдёт лес в поле

Слабая логика... "

Человек завсегда настроит неправильно, не поняв смысл, а прога лишь сделает своё грязное дело :)

"Оно и видно... У меня глаз на это уже наметан Ж) Не первый год на войне... Ж)"

И всё же опыт в войнах моловат у тебя :)

"А как поступают совсем не антивирусы?"

Так же как и КАВ - подбирает сертификатик и вперёд.

Это называется "проверка SSL".

Т.е. SSL можно на фик выбросить, потому что Касперыч может отправить его куда угодно :)

Например, автору "шпиона" :)

">Да, засиделся вчера малость - слишком тут интересно

Ненадо перефразировать. Речь шла не про вас а про вирь лаб Данилова. "

О как :)

"На форуме дрвеба часто показывают общее количество обновленый выпещунных за день. Без каких либо поправок. Классно былоб еслиб касп считал не "Сколько раз файлы обновлялись на серверах обновления" а "Сколько всего файлов обновилось за 1 сутки". "

Количество обновлений и количество файлов - две большие разницы :)

А то, что у Касперыча больше файлов обновляется - это его личное дело :) Знач, так надо пользователю :)

"Никогда! "

Never Say Never :)

"Угу.. Еслиб вы и афтор выше понимал о чем речь. Критические области - тоже самое что и стартап + папки Windows & System32. Но это другое... Проверка авто-запуска и процессов какраз таки осуществляется после каждого обновления."

То же, что пауг делает? ;)

"Развод - метод дрвеб... Разводит на ручные операции Ж)"

На оправданные ручные операции :)

Если можно раз в неделю нажать несколько клавишей и освободить при этом пару десятков МБ оперативки, то это вполне себе оправданно :)

"Какие подпорки то? Для ног? Ах да... проще сломать еще и голову Ж) Чтоб дгугую поставили - ручками перепаковали... "

Ой, сколько полезных слов :)

"Это какраз подпорки непродуманностям Доктора Ж) А что делать... "

В остальное время работает пауг в неоптимальном режиме и обслуживает довольно себе приличное количество компов :)

Загляденье просто :)

Т.е. не подпорки, а зрелый расчёт :)

Что ещё ночью серверу делать, как не обслуживать себя? :)

"Домохозяйке обсолютно пофигу..."

Домохозяйкам "специалисты" ставят крякнутые "самые лучшие антивирусы", и не будем об этом тут говорить - не по теме :)

"Сначала надо заразится.. а если не заразился то что лечить? Ж) Пс - в это время доктор его не лечил Ж) "

А потом лечил :)

Главное - конечный результат :)

А пользователи Касперыча заражались и другим вирусом недавно :)

А потом шли и качали прогу с Дохтора и бесплатно лечили свои системы :)

Наверное, не все оценили прелести проактивки и повыключали её нафик :)

">Почему-то я с кепсисом отношусь к тому, чего наличие не ощущается вообще

Это у вас от дрвеба впечатления остались.. Пройдут.. Надеюсь Ж)"

Не вижу связи между фразой, на которую ты отвечаешь и собственно ответом :)

От меня десятками гигабайт качают инфу по сети, я работаю в куче прог одновременно, пытаюсь ещё и тут разнообразить жизнь, и где они, тормоза, про которые так все говорят? :)

Не вижу тут необходимости какие-то "оптимизационные алгоритмы в момент загруженности компьютера" вводить :)

Всего! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Ну, как же не проверяет? Проверяет стартапы же, даже те, что не в памяти

Я про модули подгруженные процессами. Большенство мест куда можно прописать модули для автозапуска дрвеб тоже не проверяет. (WinLogon Notify) к примеру...

>Где тут? Или Дохтор и Касперыч - это и всё, что есть?

Как минимум весь список вирустотала Ж)

>А полиморфики посложнее?

Естесно, но не в этом дело.

>Но мужыки слышали лишь это: "Лечит в архивах", об остальном-то они не знают

Им и ненадо Ж)

>Ну о чём тут спорить?

Запускаете 2 сканера и сравниваете

Еслиб незапускал то и не спорил бы.. Просто признайте что 2 процесса жрут памяти больше чем 2 потока в 1 процессе ж)

>Но работают они быстрее, чем один

Опять ошибаетесь Ж) Пример - разбор протокола проводит Спайдер майл и спайдер гейт. Вместо того чтобы разбирал Протоколлер и отдавал на проверку тому кому нужно.

>Проверено

Угу.. мной тоже ж)

>А где же "работает из коробки, не требует настройки"?

Совершенно верно - не требует.

Но вы особый случай - вас неустраивает когда все решают за вас Ж) Значит чатайте мануал и настраивейте как хотите Ж)

>Человек завсегда настроит неправильно, не поняв смысл, а прога лишь сделает своё грязное дело

Это неизбежность. Но хуже когда программа изначально настроена на дырявый режим (Спайдер)

>Так же как и КАВ - подбирает сертификатик и вперёд.

LOL, Подбирают у вас в конторе ж) У других все более продуманно Ж) Как - потом узнаете.

>Т.е. SSL можно на фик выбросить, потому что Касперыч может отправить его куда угодно

Например, автору "шпиона"

Зачем так сложно? Проще отослать пароли при обновлении баз Ж)

>О как

А вы как думали? Ж)

>Количество обновлений и количество файлов - две большие разницы

Во.. Пришли к тому с чего все началось. Писать что у доктора было 60 обновлений неправельно т.к их было 30 Ж)

>То же, что пауг делает?

В каком смысле? Частично да конечно..

>На оправданные ручные операции

А чем они оправданы? Ленью разработчиков или жадностью маркетинга? Ж)

>Если можно раз в неделю нажать несколько клавишей и освободить при этом пару десятков МБ оперативки, то это вполне себе оправданно

Где разница в том кто будет занимать память - архиватор или анти-вирус? Притом что Архиватор расходует доп память на свой ГУИ Ж)

>В остальное время работает пауг в неоптимальном режиме и обслуживает довольно себе приличное количество компов

Создавая дикие тормоза Ж)) На форуме дрвеба это описано про последний билд Ж)

>А потом лечил

Потом не счатается.. Основная задача антивируса - недопустить заражение. а лечение это уже побочный эффект.

>А пользователи Касперыча заражались и другим вирусом недавно

Каким простите? Ж)

>От меня десятками гигабайт качают инфу по сети, я работаю в куче прог одновременно, пытаюсь ещё и тут разнообразить жизнь, и где они, тормоза, про которые так все говорят?

Покажите мне скрин где указано количество проверенных файлов Ж) Штук 200 будет да? Ж)

>Не вижу тут необходимости какие-то "оптимизационные алгоритмы в момент загруженности компьютера" вводить

Они не для этого создавались.. вы попробуйте проделать все тоже самое но как вы сказали с 3мя запущенными сканнерами Ж) Весело да? И все летает..... но никак недолетит ибо ресурсов нехватает да? Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

"Я про модули подгруженные процессами. Большенство мест куда можно прописать модули для автозапуска дрвеб тоже не проверяет. (WinLogon Notify) к примеру... "

В этом направлении работа идёт не только у Касперыча :)

">Где тут? Или Дохтор и Касперыч - это и всё, что есть?

Как минимум весь список вирустотала Ж)"

Вирустотал извращение :)

Да и детектирование он покажет, а лечение? :)

">Но мужыки слышали лишь это: "Лечит в архивах", об остальном-то они не знают

Им и ненадо Ж) "

Ну да, мы умнее пользователей :)

Проходили :)

"Запускаете 2 сканера и сравниваете

Еслиб незапускал то и не спорил бы.. Просто признайте что 2 процесса жрут памяти больше чем 2 потока в 1 процессе ж) "

Речь в данном случае шла не о прожорстве, а об оптимизации времени :)

Не надо передёргивать :)

"Опять ошибаетесь Ж) Пример - разбор протокола проводит Спайдер майл и спайдер гейт. Вместо того чтобы разбирал Протоколлер и отдавал на проверку тому кому нужно. "

Зачем же о том, что глубоко в бете? :)

Я бы серьёзно переработал "гейта" :)

"Совершенно верно - не требует.

Но вы особый случай - вас неустраивает когда все решают за вас Ж) Значит чатайте мануал и настраивейте как хотите Ж) "

Да уж - разобраться - что же ты такое купил - это особый случай :)

Супер :)

"Это неизбежность. Но хуже когда программа изначально настроена на дырявый режим (Спайдер) "

А у Касперыча любой режим дырявый :)

"LOL, Подбирают у вас в конторе ж) У других все более продуманно Ж) Как - потом узнаете. "

Потом, так потом :)

Потом и поговорим об этом :)

"Зачем так сложно? Проще отослать пароли при обновлении баз Ж) "

Что, так просто в Касперыче и реализовано? ;)

">На оправданные ручные операции

А чем они оправданы? Ленью разработчиков или жадностью маркетинга? Ж)"

Они оправданы ресурсами компьютера пользователя :)

"Где разница в том кто будет занимать память - архиватор или анти-вирус? Притом что Архиватор расходует доп память на свой ГУИ Ж)"

Тут у пользователя больше свободы :)

По крайней мере, архиватор не висит постоянно в памяти :)

"Потом не счатается.. Основная задача антивируса - недопустить заражение. а лечение это уже побочный эффект. "

Угу :) Но бывают такие случаи как Полипос :)

Не буду про эксплуатацию этого мифа Дохтором :)

Но это может быть первым звонком, пробой пера афтара :)

"Каким простите? Ж) "

Не буду тут об очевидном :)

"Покажите мне скрин где указано количество проверенных файлов Ж) Штук 200 будет да? Ж) "

Видимо, у Дохтора тоже есть свои оптимизации, но он не кричит о них на каждом углу :)

"Они не для этого создавались.. вы попробуйте проделать все тоже самое но как вы сказали с 3мя запущенными сканнерами Ж) Весело да? И все летает..... но никак недолетит ибо ресурсов нехватает да? Ж)"

Я уже говорил, для чего можно запускать несколько сканеров :)

А ты снова передёргиваешь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Вирустотал извращение

Опять неотом, мне пофиг на вирустотал но все АВ которые там работают умеют лечить драный Парит.

>Да и детектирование он покажет, а лечение?

Думаем гловой... смелей..

>Речь в данном случае шла не о прожорстве, а об оптимизации времени

А какая разница? Что 2 потока в 2х процессах.. что 2 потока в 1 процессе?

>Зачем же о том, что глубоко в бете?

Как пример - сейчас ничего конкретного про его функционал..

>Я бы серьёзно переработал "гейта"

А яб начал писать его с 0ля ибо текущий гейт это гуано-высокосортное... Чесс слово Ж)

>А у Касперыча любой режим дырявый

Доказать слабо? (Мне нет... уже доказывал)

>Что, так просто в Касперыче и реализовано?

Так этож основная технология всех АВ... как можно быстрее, скрытнее отослать все пароли.

>По крайней мере, архиватор не висит постоянно в памяти

Алгоритмы перепаковки тоже не жрут память когда ничего не делают...

>Угу Но бывают такие случаи как Полипос

Уже сказал все ж) Вобще мне уже порядком надоел это Полипос - единственная удача доктора за 10 лет... уже все уши прожужжала Ж)

>Не буду тут об очевидном

А может всетки можно услышать вашы доводы.. А то на уход от диалога похоже?

>Видимо, у Дохтора тоже есть свои оптимизации, но он не кричит о них на каждом углу

Естесно есть.. 1 и самая крутая - не проверять вобще ничего при открытии и запуске. Запускайте вирусы...кто хочет.

>Я уже говорил, для чего можно запускать несколько сканеров

Речь не для чего а о том что тормозит все дико.

Т.к пошел оффтопик - считаю разговор оконченным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Естесно есть.. 1 и самая крутая - не проверять вобще ничего при открытии и запуске. Запускайте вирусы...кто хочет.

Это что серьезно, такая "фича" антивирусного монитора? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Господа, Вы продолжайте! Ничего более веселого, да еще и на тему антивирусных продуктов давно не читал. :D:D

Пока Саня лидирует по степени аргументации и коэффициенту объективности =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

2 TiX:

"Опять неотом, мне пофиг на вирустотал но все АВ которые там работают умеют лечить драный Парит. "

То в пример вирустотал приводишь, то пофиг :)

"А какая разница? Что 2 потока в 2х процессах.. что 2 потока в 1 процессе?"

Да нет никакой принципиальной разницы :)

Был миф про то, что 2 сканера запускать нельзя :)

Но можно же? :)

Что ещё надо? :)

">А у Касперыча любой режим дырявый

Доказать слабо? (Мне нет... уже доказывал)"

Начало доказательства :)

"Нет защиты, которые нельзя обойти" :)

Конец доказательства :)

"Так этож основная технология всех АВ... как можно быстрее, скрытнее отослать все пароли. "

:)

"Алгоритмы перепаковки тоже не жрут память когда ничего не делают..."

То они делают, то не делают. Ничего не понимаю :)

"Уже сказал все ж) Вобще мне уже порядком надоел это Полипос - единственная удача доктора за 10 лет... уже все уши прожужжала Ж)"

А если появится Polipos.2 ? :)

"А может всетки можно услышать вашы доводы.. А то на уход от диалога похоже? "

Ну, Полипоса и имел в виду. Как наиболее свежего примера :)

"Речь не для чего а о том что тормозит все дико. "

Так а зачем во время работы запускать несколько сканеров? :)

Об этом никто и не говорил :)

Разговор, напомню, был о том, можно ли одновременно два сканера пустить :)

"А народ чудно верит в супер скоростного доктора.. а когда включают "полный" режим на форуме начинаются крики про зависание системы при запуске Firefox на 2 минуты.. "

Да адекватно он на угрозы реагирует, оптимальный режим, не нада :)

Громадные сети с паугами себя хорошо чувствуют, причём продолжается это годами :)

To XL:

"Господа, Вы продолжайте! Ничего более веселого, да еще и на тему антивирусных продуктов давно не читал. Very Happy Very Happy "

Да Саныч вроде как не хочет уже :)

"Пока Саня лидирует по степени аргументации и коэффициенту объективности =)"

Я бы сказал, по высокомерию :)

Проще надо быть, и люди потянутся :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Начало доказательства

"Нет защиты, которые нельзя обойти"

Конец доказательства

Тут 1 поправка... в одном случае вирус запускается даже если есть в базах (дрвеб) в другом запускается когда его там нет (КАВ)...

>А если появится Polipos.2 ?

Подождем увидим..чего годать то..

>Так а зачем во время работы запускать несколько сканеров?

Зачем его вобще запускать? Дрвеб не Пуп земли.. никто не будет оставлять домашний комн наночь включенным только ради дрвеба Ж)

>Да адекватно он на угрозы реагирует, оптимальный режим, не нада

Отключите спайдер (аналог незнания вируса на момент скачки), скачайте вирус, включите спайдера, запустите вирус(аналог - файл запустили на следующий день забыв проверить его сканнером когда вирус уже попал в базы)... ждите сколько времени вирус будет активен.

>Да Саныч вроде как не хочет уже

Угу... скучно стало.. уже прирекаемся.. конструктив закончился. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

To TiX:

"в одном случае вирус запускается даже если есть в базах (дрвеб) в другом запускается когда его там нет (КАВ)..."

Вот сижу и не знаю, что делать с этой фразой :)

Вот если восприму как написано, ты скажешь, что к словам цепляюсь :)

Но ты говоришь, что вирус запускается при использовании КАВ, если его нет в его базах :)

Это вообще про что? :)

Что проактивка не работает? ;)

Или что никто её не включает? :)

"Подождем увидим..чего годать то.. "

Ну что ты, когда заходит дело про сложные и интересные вирусы, всё напотом откладываешь? :)

Где коронные фразы про проактивку? :)

Или проактивка реагирует только на известные угрозы? :)

Так зачем тогда? :)

"Дрвеб не Пуп земли.. никто не будет оставлять домашний комн наночь включенным только ради дрвеба Ж) "

Естественно, тут выбор за пользователем :)

Либо просканировать раз в неделю ночью, либо лишних несколько десятков МБ постоянно занимать :)

"Отключите спайдер (аналог незнания вируса на момент скачки), скачайте вирус, включите спайдера, запустите вирус(аналог - файл запустили на следующий день забыв проверить его сканнером когда вирус уже попал в базы)... ждите сколько времени вирус будет активен. "

Не забывайте :)

В планировщике на этот случай есть предустановленное задание :)

Его _очень_ несложно включить :)

А в ES оно даже включено по умолчанию, по-моему на 4 утра :)

"Угу... скучно стало.. уже прирекаемся.. конструктив закончился. Sad"

Ну, чего эт тебе так взгрустнулось? :)

Посмотри, сколько я тебе конструктива в этом сообщении написал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Ходит миф, что в Антивирусе Dr.Web должен быть и файервол, т.к. он есть в некоторых других антивирусах.

Firewall (брандмауэр) и антивирус - слишком разные типы программ.

Это обман клиентов. Тандем firewall-антивирус это абсолютно логично. Современный продукт обязан обеспечивать защиту, как на сетевом ("firewall"), так и на прикладном уровне ("антивирус"). Вопрос только в том, насколько удалось создать сквозую защиту, а не просто "два продукта в одной коробке".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Что проактивка не работает?

Может тебе еще расказать по какому принципу работают проактивки? Чтоб глупых вопросов небыло?

>Ну что ты, когда заходит дело про сложные и интересные вирусы, всё напотом откладываешь?

Polipos.2 нету Ж) Немогу обсуждать то что несуществует.

>Где коронные фразы про проактивку?

Это пусть маркетинг каспа рассказывает. Мне и так все известно.

>В планировщике на этот случай есть предустановленное задание

После запуска вируса планировщик уже ничего назапустить.. поверьте ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

2 Dmitry Perets:

"Как я это сделал? Как и сказал TiX: вирусы были скопированы на комп при отключенном Спайдере."

Отключённый пауг и неизвестный вирус на момент проникновения - это (в некотором роде) внештатная ситуация :)

Каждый из антивирусов решает её по-своему :)

"Затем Спайдер был включен обратно - результат нулевой. Стоило мне попытаться скопировать заражённые файлы в другую папку, как Спайдер проснулся и заорал."

Ух ты, зверюка :)

"Причём тут же нашёл кучу заражённых Полипосом файлов - что говорит о том, что троян отработал успешно."

Ну как же успешно, если пауг нашёл всё, что Полип заразил и вылечил это всё? :)

Вот в Касперыче он бы отработал успешно - он бы его детектировал, но сделать с ним ничего бы не смог :)

"Кстати, прикол: даже после того, как он словил вирусы в новой папке, я по прежнему спокойно мог запускать их из старой папки - Спайдер молчал как партизан."

Проблема в том, что Касперыч проблему с отключением монитора или незнанием вируса может решить только кучей подпорок (простите, технологий) которые висят в памяти, а Дохтур это решает простым сканированием :)

Дохтуру этого достаточно, потому что он может лечить, а Касперыч пошёл в другом направлении :)

Но лечить-то тожа надо? :)

Иначе весь маркетинг насмарку :)

Кто заражается, идут к Дохтуру за Куритом и читают его агитки :)

To Михаил Кондрашин:

"Это обман клиентов. Тандем firewall-антивирус это абсолютно логично. Современный продукт обязан обеспечивать защиту, как на сетевом ("firewall"), так и на прикладном уровне ("антивирус"). Вопрос только в том, насколько удалось создать сквозую защиту, а не просто "два продукта в одной коробке"."

Михаил, тандем стенки и антивируса - это логично :)

А вот то, будет ли у них один производитель или нет - это абсолютно неважно :)

Более того, по моему убеждению и практическому опыту, производители антивирусов пишут худшие стенки, чем независимые производители стенок :)

Да и некоторые стенки бесплатны, а в составе авира это может ещё и на копеечку уплаченную повлиять :)

To TiX:

"Может тебе еще расказать по какому принципу работают проактивки? Чтоб глупых вопросов небыло?"

Буду премного благодарен :)

А заодно объясни пользователЯм, почему при постановке офиса в компьютер хвалёная проактивка срабатывает раз 40? :)

"Polipos.2 нету Ж) Немогу обсуждать то что несуществует."

Ну, например Encode'ров уже несколько есть :)

Почему Полипов не может быть больше? :)

Или будем постоянно пользователей Касперыча в напряжении держать? :)

Будут они постоянно думать - а вдруг сегодня появится очередной Полип? :) Да не, обещали, что не появится :)

"После запуска вируса планировщик уже ничего назапустить.. поверьте ж)"

После запуска вируса сканер можно запустить самому :)

Ярлык на рабочем столе найти не трудно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, давайте все таки придерживаться темы топика

"Мифы об Антвирусе Доктор Веб", а то дискуссия уже куда-то не туда пошла. :off:

Все сообщение об особенностях реализации антивирусного мониторинга в антивирусах Доктор Веб и Касперском вынесены в отдельную тему

http://www.anti-malware.ru/phpbb/viewtopic.php?t=788

Просьба обсуждать ее там.

P.S. Кстати сама тема мифов осталась почти не раскрыта.

Например, это касается заявления, что Доктор Веб не подходит для корпоративного использования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Отключённый пауг и неизвестный вирус на момент проникновения - это (в некотором роде) внештатная ситуация

Угу... но когда вирус известен и паук включен - пропуск - критическая ситуация.

>Ну как же успешно, если пауг нашёл всё, что Полип заразил и вылечил это всё?

А еслиб вместо заражения от просто отослал пароли? Ж)

>Вот в Касперыче он бы отработал успешно - он бы его детектировал, но сделать с ним ничего бы не смог

Он бы незапустился Ж)

>Проблема в том, что Касперыч проблему с отключением монитора или незнанием вируса может решить только кучей подпорок

Опять нетуда поехал. Оключиние АВ - был способ симитировать незнание вируса. Ловлю недетектируемых вирусов Дрвеб не решает вобще в отличие от каспа.

>а Дохтур это решает простым сканированием

Как можно найти недетектируемый вирус простым сканированием? Ж)

>А вот то, будет ли у них один производитель или нет - это абсолютно неважно

Если они от 1 производителя то вероятность конфликтов близится к 0, иначе к бесконечности.

>Более того, по моему убеждению и практическому опыту, производители антивирусов пишут худшие стенки

У каса на данным момент наивысший балл по ловле лик-тестов.

>Буду премного благодарен

Основной принцип - анализ действий запущенного процесса.

>Ну, например Encode'ров уже несколько есть

Угу.. их дешифровывали без подпорок(кав), а у дрвеба в виде выпуска отдельной программы

>Почему Полипов не может быть больше?

Может.. но обсуждать то чего нету бесполезно.

>Или будем постоянно пользователей Касперыча в напряжении держать?

Небудет т.к известно что он будет пойман проактивкой а дрвебу надо будет базы обновлять Ж)

>После запуска вируса сканер можно запустить самому

С чего вы взяли? Его уже небудет на диске либо он будет умирать сразу при стартке ж)

>Ярлык на рабочем столе найти не трудно

А если его там нету? Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

PS....

Решил всё же проверить

У меня на диске C: установлен WinXP, а на диске E: установлен WinXP x64.

Винчестер "обычный" SATA Seagate 300Гб

Компьютер: 3ГГц, 1Гб.

Сканировал "Все файлы", но с отключёнными архивами. Цель сканирования:

на диске C: и E: соответствующие папки Windows.

Эксперимент 1. Последовательное сканирование обоих целей.

Результат:

Время: 00:10:53

Скорость: 5794 КБ/сек.

Эксперимент 2. Параллельное сканирование. 2 копии сканера. В одной копии

проверяется Windows с диска C:, в другой - Windows с диска E:

Результат первой копии:

Время: 00:10:38

Скорость: 2959 КБ/сек.

Результат второй копии:

Время: 00:10:41

Скорость: 2957 КБ/сек.

Выводы:

1. Да, выигрыш в несколько секунд на одном винчестере нельзя считать

существенным, хотя он получился всё же

2. "Заметно больше времени", тем не менее, не понадобилось

Но на RAID же выигрыш существенный - раза в 1,5 - я засекал, тут

сомнений быть не может

--

Valery Ledovskoy,

technical writer,

Doctor Web, Ltd., Stavropol

[email protected]

Миф о 2х сканнерах развеян Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
И так.... прочитав еще 3 поста "мягкого бреда" начну просвещать обе стороны ж) Т.к тут мало того что незнают устройства Кава так и Др.Веба оказывается ж)

Слишком категорично сказано.

For Mr. Justice:

>Согласен, если учитывать технологии iChecker и iSwift

Он никак не влияет на количество проверяемух обьектов автозапуска. Он только не проверяет то что неизменилось. Это разные вещи.

Прочитайте еще раз Ваш ответ. Противоречия не находите? У меня в отчетах пишет iChecker, вместо проверен. Антивирус проверяет контрольные суммы и т.д., но не сверяет его с сигнатурой, то есть не проверяет его. Не так ли? А то, что это разные вещи - с этим никто не спорит.

Тут уточнение - Критические области - это другое.. Запускается задача "Startup-Scan" - проварка процессов, модулей (дрвеб модули не проверяет) и обьектов прописанных в местах автозапуска.

Согласен. Я неправильно выразился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Прочитайте еще раз Ваш ответ. Противоречия не находите?

Нет... слово "проверяет" подразумевает как проверку по сигнатурам.. так и прокерку по чек-сумме ж)

>Не так ли?

Так.

>У меня в отчетах пишет iChecker, вместо проверен

Надеюсь никто небудет опять возражать против этого ссылаясь на "дырявость технологий".

Я вам вот что еще скажу - иЧекер2 (6.0) в отличие от иЧекета(5.0) насколько я помню проверяет не только свои сигнатуры но и подпось файлов и если он подписан Майкросовтом и подпись не поврежденна то такой файл тоже не проверяется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Новый миф

Говорят, что после сканирования диска Антивирусом Dr.Web другие антивирусы могут находить на этом же диске вирусы.

Для объяснения этого факта надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды, что делается некоторыми другими антивирусными вендорами. Мы не стремимся наполнить вирусную базу «нерабочими» сигнатурами (вирусными записями), которые только утяжеляют ее, но не несут реальной защиты пользователям. Кроме того, появление на экране предупреждения от антивируса об обнаруженном неработоспособном «вирусе» только пугает пользователей. Если код не рабочий и ни при каких условиях не может быть запущен - это не вирус, не троянская программа - это вообще НИЧТО, а значит, не несет в себе вреда и, как правило, не вносится в вирусную базу Dr.Web.

Если у пользователя есть сомнение в каком-то файле или файлах, на сайте нашем существует форма для отправки подозрительных образцов.

Я думал, что объяснения этого факта надо понимать, что согласно тесту на коллекции почти в 250 000 вирусов (http://www.av-comparatives.org)

Касперские поймали - 99,57% вредоносов

Eset - 97,89%

Symantec - 97,61%

McAfee - 96,41%

Avast - 89,24% (помню Гладких говорил, что у аваста с ловлей вирусов все не так здорово)

Доктор Веб - 88,76%

PAnda -85,7%.

Так что вполне понятно, что те 30 000 вирусов, что Доктор пропустил после него легко найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
>Прочитайте еще раз Ваш ответ. Противоречия не находите?

Нет... слово "проверяет" подразумевает как проверку по сигнатурам.. так и прокерку по чек-сумме ж)

Я использую слова "проверяет" и "пропускает" аналогично тому, как это делает ЛК. Цитата:

" При последующей проверке объекта сверяется предыдущая контрольная сумма с текущей. Если она была изменена, значит объект был изменен и будет ПРОВЕРЕН (выделено здесь и далее мной - Mr. Justice) повторно на наличие вредоносного кода. Если нет, то объект ПРОПУСКАЕТСЯ". См. http://www.kaspersky.ru/faq?qid=184932720

>Не так ли?

Так.

Знаете Tix наш спор не имеет большого практического значения. Мы с Вами просто одни и те же вещи называем разными именами. Не находите? :)

Надеюсь никто небудет опять возражать против этого ссылаясь на "дырявость технологий".

Надеюсь, что нет.

Я вам вот что еще скажу - иЧекер2 (6.0) в отличие от иЧекета(5.0) насколько я помню проверяет не только свои сигнатуры но и подпось файлов и если он подписан Майкросовтом и подпись не поврежденна то такой файл тоже не проверяется.

Хм...интересная информация. А откуда она у Вас? Из личных наблюдений или об этом где-то сказано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dobrohotov
Я думал, что объяснения этого факта надо понимать, что согласно тесту на коллекции почти в 250 000 вирусов (http://www.av-comparatives.org)

Касперские поймали - 99,57% вредоносов

Eset - 97,89%

Symantec - 97,61%

McAfee - 96,41%

Avast - 89,24% (помню Гладких говорил, что у аваста с ловлей вирусов все не так здорово)

Доктор Веб - 88,76%

PAnda -85,7%.

Так что вполне понятно, что те 30 000 вирусов, что Доктор пропустил после него легко найти.

Уважаемый Иван! Из Вашего поста не совсем понятно, что Вы хотели сказать. 250 000 вирусов из коллекции, о которой Вы упомянули - это все подтвержденные Вами вирусы? Есть уверенность, что они все были запущены в момент отбора в коллекцию? Ведь не секрет, что Симантек спокойно срабатывает (то есть, фактически называет вирусом) на убитые тушки, потому что находит в них сигнатуры, но не задается вопросом, запустятся ли они или нет. Почему же такие файлы надо называть вирусами? Вы бы лично их вирусами назвали?

И ссылаясь на упомянутое Вами тестирование, вы не можете ведь утверждать, что среди тех 250 000 файлов абсолютно все РАБОТОСПОСОБНЫЕ вирусы? Или такая уверенность у Вас есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • AM_Bot
      Для того чтобы обеспечить надлежащий уровень защиты информационной инфраструктуры от угроз, организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности (Security Operations Center, далее — «SOC»), целью которых является быстрое реагирование на ИБ-инциденты с их последующим устранением. Но для эффективной борьбы с современными угрозами уже недостаточно просто создать SOC: необходимо оснастить его технологиями, актуальной информацией и знаниями. В этом могут помочь профильные сервисы «Лаборатории Касперского».   ВведениеСостав сервисов «Лаборатории Касперского» для корпоративного SOCОсновные возможности сервисов «Лаборатории Касперского» для корпоративного SOCОписание сервисов «Лаборатории Касперского» для корпоративного SOC4.1. Kaspersky Threat Hunting4.2. Kaspersky Threat Intelligence4.3. Kaspersky Anti Targeted Attack4.4. Kaspersky Endpoint Detection and ResponseРеагирование на инцидентыАнализ защищённости и тестирование на проникновениеЭкспертные тренинги для специалистов SOCВыводы ВведениеМы не раз уже ссылались на исследование «Лаборатории Касперского» под названием «Прогнозы по продвинутым угрозам на 2020 год». Помимо прочего, оно подтверждает рост сложности методов проведения атак. Злоумышленники намеренно пытаются проводить свои операции под ложным «флагом», чтобы отвести от себя первоначальные подозрения, и точечно выбирают жертв, которые готовы заплатить значительные суммы за восстановление данных. Не перестают появляться новые варианты вредоносных действий в сфере финансовых услуг (в частности — в онлайн-банкинге). При этом в настоящее время средства защиты часто нацелены на обеспечение безопасности рабочих станций, в то время как злоумышленники расширяют свой инструментарий и распространяют атаки не на терминалы, а на сетевое оборудование. Обнаружить такие воздействия всё сложнее.Накопленный специалистами «Лаборатории Касперского» опыт изучения компьютерных угроз и разработки высокоэффективных технологий защиты от них, глубокая экспертиза и практические навыки реализации сложных проектов в области кибербезопасности, реализованные в сервисах компании, обеспечат многоуровневую поддержку SOC организации для повышения его эффективности в борьбе с комплексными угрозами. Состав сервисов «Лаборатории Касперского» для корпоративного SOCСервисы «Лаборатории Касперского» для SOC нацелены на обеспечение эталонного подхода к защите, используя четыре ключевых элемента: управление знаниями, анализ угроз, активный поиск угроз и грамотно налаженный процесс реагирования на инциденты. Сообразно этому комплекс сервисов содержит несколько перечисленных далее частей.Threat Hunting: услуга Kaspersky Managed Protection позволяет своевременно обнаружить атаки, обходящие превентивные системы защиты, путём круглосуточного мониторинга и анализа угроз информационной безопасности экспертами «Лаборатории Касперского».Threat Intelligence: потоки данных об угрозах, индивидуализированные отчёты (аналитика о проблемах безопасности для конкретных компаний или стран, а также финансовых организаций), аналитические отчёты о постоянных угрозах повышенной сложности (APT), сервисы Threat Lookup, Cloud Sandbox, CyberTrace.Kaspersky Anti Targeted Attack: защита корпоративной сети от целевых атак злоумышленников.Kaspersky Endpoint Detection and Response: защита рабочих станций.Реагирование на инциденты, в том числе — анализ вредоносных программ и цифровая криминалистика.Анализ защищённости и тестирование на проникновение: проверка надёжности корпоративной системы борьбы с угрозами и компетентности персонала, ответственного за неё.Экспертные тренинги: формирование у специалистов SOC навыков в области реагирования на инциденты, цифровой криминалистики, анализа вредоносных программ. Рисунок 1. Сравнение классического SOC и SOC на основе сервисов «Лаборатории Касперского»  Основные возможности сервисов «Лаборатории Касперского» для корпоративного SOCИспользование сервисов «Лаборатории Касперского» для SOC предоставляет организации следующие возможности и преимущества:Своевременное обнаружение угроз посредством использования машинного обучения и множества аналитических данных, что позволяет быстро и эффективно выявлять и отражать сложные атаки.Использование аналитических данных, предоставляемых в различных форматах и по разным каналам, для понимания контекста проблемы и обеспечения SOC требуемыми актуальными сведениями. Это даст возможность непрерывно адаптироваться к постоянно меняющимся условиям, а также активно обнаруживать и приоритизировать угрозы информационной безопасности.Активный поиск угроз, реализуемый за счёт постоянного мониторинга событий, обнаружения новой и ранее неизвестной активности злоумышленников.Помощь экспертов «Лаборатории Касперского» в анализе вредоносных программ и цифровой криминалистике, благодаря чему можно своевременно получить полную картину инцидента для совершенствования текущих мер защиты.Своевременное реагирование на инциденты, выполняемое компетентными специалистами и позволяющее быстро обнаружить и предотвратить любую вредоносную активность, восстановить системы и бизнес-процессы.Анализ защищённости в реальных условиях, реализуемый за счёт глубоких экспертных знаний вместе с передовыми методами исследования.Тестирование на проникновение, которое показывает существующие сценарии атак на основе собранных данных об угрозах. Это даёт возможность оценить готовность средств защиты к отражению нападений.Экспертные тренинги для специалистов SOC, повышающие их квалификацию в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ. Сотрудники центра мониторинга и оперативного реагирования на инциденты информационной безопасности получат знания и опыт, которые позволят правильно проанализировать большие объёмы данных и выбрать направление для дальнейшего расследования. Описание сервисов «Лаборатории Касперского» для корпоративного SOCKaspersky Threat HuntingСервис Threat Hunting представляет собой круглосуточную службу мониторинга и реагирования на инциденты — Kaspersky Managed Protection. Для конкретной организации формируется команда экспертов, обладающих богатым практическим опытом в области анализа угроз; это позволяет предоставить сервис, подобранный полностью индивидуально и нацеленный на непрерывное обнаружение и исследование проблем информационной безопасности, равно как и на защиту от них. Круглосуточная служба мониторинга своевременно выявляет инциденты, собирает необходимые для классификации данные, определяет степень уникальности атаки, в случае необходимости запускает процесс реагирования на инцидент и обновление баз знаний средств защиты для блокировки угрозы, а также ретроспективно анализирует системную и сетевую активность процессов и приложений с целью расследования инцидентов.Использование сервиса предоставляет следующие преимущества:Качественная и своевременная защита от целевых атак и вредоносных программ посредством взаимодействия с экспертами «Лаборатории Касперского».Обнаружение нестандартных атак (т.н. non-malware attacks, атаки с применением неизвестных ранее инструментов, эксплуатирующие уязвимости нулевого дня).Оперативная защита от обнаруженных угроз посредством мгновенного обновления баз данных.Комплексный анализ инцидентов, в том числе — на основе методов и технологий, используемых злоумышленниками.Комплексный подход к организации полного цикла защиты от целевых атак. Рисунок 2. Защита инфраструктуры организации с помощью круглосуточной службы Kaspersky Managed Protection  Kaspersky Threat IntelligenceСервис Kaspersky Threat Intelligence является источником информации для SOC и состоит из следующих компонентов.Потоки данных об угрозах, предназначенные для того, чтобы дополнять существующие средства защиты и повышать уровень экспертного анализа специалистов SOC, предоставляя актуальные данные об индикаторах угроз (IP- и URL-адреса, домены, контрольные суммы файлов и т.д.).Индивидуализированные аналитические отчёты об угрозах для конкретных компаний или стран, для финансовых организаций, об APT.Сервис Threat Lookup, представляющий собой единую платформу с доступом к накопленным «Лабораторией Касперского» данным о компьютерных угрозах и их взаимосвязях, а также с возможностью поиска в режиме реального времени. Непрерывное аккумулирование информации об индикаторах угроз позволяет специалистам SOC предотвращать атаки злоумышленников ещё до того, как безопасности компании будет нанесён ущерб. Результатом работы сервиса является отчёт, в котором содержатся краткое описание проблем безопасности, технические подробности и список соответствующих индикаторов компрометации.Сервис Cloud Sandbox — облачная песочница, позволяющая мгновенно реагировать на инциденты, определять источники вредоносных файлов и защищать от неизвестных угроз посредством проверки поведения подозрительного объекта на виртуальной машине, изолированной от реальной инфраструктуры организации. В результате сервис подготавливает отчёт с описанием исследуемого файла, техническими подробностями и списком индикаторов компрометации, имеющих отношение к изученному образцу.Сервис CyberTrace, предназначенный для повышения эффективности классификации событий ИБ и первоначального реагирования на инциденты. Он позволяет упростить интеграцию потоков аналитических данных об угрозах с SIEM-системами и источниками журналов, тем самым обеспечивая специалистам SOC своевременную осведомлённость, необходимую для принятия решений.Стоит отметить, что части сервиса Kaspersky Threat Intelligence показывают максимальную эффективность в том случае, если работают вместе и дополняют друг друга. Каждый компонент является источником данных для остальных. Рисунок 3. Главное окно Kaspersky Threat Intelligence   Kaspersky Anti Targeted AttackСервис Kaspersky Anti Targeted Attack — это платформа для обнаружения и противодействия комплексным угрозам на уровне сети. Доступны следующие возможности:визуализация корпоративной инфраструктуры,централизованный и автоматизированный процесс сбора и хранения данных,анализ инцидентов с помощью передовых технологий на базе машинного обучения, что позволяет свести к минимуму количество рутинных задач, связанных с обнаружением угроз,взаимодействие компонентов платформы в режиме реального времени, что даёт возможность сопоставлять данные с вердиктами от компонентов детектирования и ретроспективными материалами,сведение всей информации в единый инцидент для мгновенного реагирования и расследования,автоматизация задач по расследованию инцидентов, что ведёт к оптимизации расходования ресурсов специалистами SOC.Автоматизация отслеживания и реагирования на угрозы в Kaspersky Anti Targeted Attack реализована за счёт единой работы множества компонентов. В их числе — динамический анализ и эмуляция угроз с помощью песочницы; современные технологии обнаружения, включающие антивирусное ядро, использование YARA-правил, анализ сетевых пакетов и мобильных приложений на наличие вредоносной активности, проверку репутации URL-адресов и доменных имён и многое другое; анализатор целевых атак на основе машинного обучения, поведенческого анализа и автоматизированного сопоставления вердиктов (полученных от песочницы и механизмов обнаружения) с ретроспективными данными; репутационная база угроз, позволяющая держать руку на пульсе новых проблем безопасности, что повышает вероятность раннего обнаружения атак. Рисунок 4. Автоматизированное отслеживание угроз в сети и реагирование на них с помощью Kaspersky Anti Targeted Attack  Kaspersky Endpoint Detection and ResponseСервис Kaspersky Endpoint Detection and Response представляет собой платформу, обеспечивающую защиту рабочих мест. Сервис показывает картину событий безопасности в корпоративной инфраструктуре и позволяет автоматизировать выполнение рутинных операций по выявлению, приоритизации, расследованию и нейтрализации сложных угроз. Использование сервиса позволяет решать следующие задачи:формирование целостного подхода к выявлению и расследованию инцидентов, а также реагированию на них,исполнение рекомендаций ФинЦЕРТ, Федерального закона № 187-ФЗ и положений Указа Президента РФ № 31с «О создании ГосСОПКА»,постоянный мониторинг и активный поиск нелегитимной активности и индикаторов компрометации на всех рабочих местах,повышение эффективности реагирования на инциденты за счёт дополнения SIEM или SOC вспомогательными данными с возможностью сопоставления результатов с событиями других систем,быстрое реагирование на инцидент и прекращение его развития, а также устранение последствий атаки на рабочих станциях и восстановление их работоспособности без влияния на работу пользователей.К преимуществам сервиса можно отнести единый агент для защиты и контроля рабочих станций и серверов, централизованный сбор, запись и хранение данных о событиях безопасности (обеспечивает оперативный доступ к ретроспективным материалам при расследовании продолжительных атак), автоматический сбор, анализ и сопоставление данных для автоматизации и оптимизации работы специалистов SOC, единую консоль для реагирования на угрозы, обеспечение комплексной многоуровневой защиты посредством совместной работы с Kaspersky Anti Targeted Attack, а также использование Kaspersky Private Security Network для защиты инфраструктуры с повышенными требованиями к изоляции. Рисунок 5. Комплексная защита рабочих станций на основе сервиса Kaspersky Endpoint Detection and Response, интегрированного с Kaspersky Endpoint Security  Реагирование на инцидентыРеагирование на инциденты информационной безопасности, включающее цифровую криминалистику и анализ вредоносных программ, требует оперативного выделения значительных внутренних ресурсов. Речь идёт о компетентных специалистах, которые готовы оценить масштабы инцидента и быстро принять меры против распространения атаки: чем скорее последует реакция, тем меньше будет негативных последствий. Но реалии таковы, что даже у грамотно организованного SOC не хватает внутренних возможностей (как временных, так и профессиональных) для незамедлительной остановки атаки.В рамках сервиса «Лаборатории Касперского» специалисты компании оказывают услуги или проводят консультации по реагированию на инциденты, что позволяет быстро и компетентно ответить на угрозу. Эксперты проводят следующие действия:выявление скомпрометированных ресурсов, изоляция угрозы и остановка распространения атаки,поиск, сбор и анализ улик, а также восстановление хронологической картины и логики развития инцидента,анализ вредоносных программ, использованных для атаки (в случае их обнаружения),выявление источников атаки и дополнительных скомпрометированных систем, проверка инфраструктуры организации на возможные признаки компрометации,анализ исходящих соединений сети с внешними ресурсами для выявления нелегитимных объектов,устранение угрозы и выдача рекомендаций в отношении дальнейших действий по устранению последствий.Для наиболее эффективного и оперативного отклика на инциденты процесс реагирования должен включать шаги, представленные на рисунке 6. Рисунок 6. Процесс реагирования на инциденты  Анализ вредоносных программ предназначен для понимания их поведения, а также целей, которые преследуют злоумышленники. Эксперты составляют подробный отчёт, содержащий свойства экземпляра программного обеспечения (краткое описание и вердикт по классификации «Лаборатории Касперского»), детальное описание (анализ функций, поведения и целей программы, индикаторы компрометации, предназначенные для нейтрализации угрозы) и сценарий устранения последствий с рекомендациями по защите инфраструктуры организации от угроз данного типа.В ходе проведения цифрового криминалистического анализа эксперты «Лаборатории Касперского» используют для восстановления картины инцидента множество источников: трассировки сети, образы жёстких дисков, дампы памяти и т.д. Как указано на рисунке 6, в начале расследования клиент собирает улики и предоставляет описание инцидента, а эксперты исследуют симптомы последнего, идентифицируют исполняемый файл вредоносной программы (если он есть) и проводят его анализ. Итогом становится содержательный отчёт, включающий меры по ликвидации последствий.Сервис доступен по подписке или для устранения единичного инцидента. Анализ защищённости и тестирование на проникновениеСервис тестирования на проникновение подразумевает, что эксперты «Лаборатории Касперского» проводят анализ уязвимостей объектов инфраструктуры и возможных последствий их эксплуатации, оценивают эффективность текущих мер защиты, а также планируют меры по устранению обнаруженных недостатков и повышению уровня защищённости. В результате организация получает практическую демонстрацию реальных сценариев атаки с выявленными изъянами защиты корпоративной сети, а своевременное обнаружение последних позволяет не допустить финансового, операционного и репутационного ущерба. Сервис также обеспечивает соответствие государственным, отраслевым и корпоративным стандартам, включая GDPR.Виды тестирования на проникновение, проводимого экспертами «Лаборатории Касперского»:внешнее (без априорных данных об инфраструктуре организации);внутреннее (например, имитация действий посетителя, имеющего только физический доступ в офис);с использованием методов социальной инженерии (фишинг, небезопасные ссылки в электронных письмах и т.п.) для оценки уровня осведомлённости сотрудников организации в вопросах информационной безопасности.Стоит отметить, что в рамках сервиса может производиться анализ защищённости беспроводных сетей на территории организации.Сервис анализа защищённости включает три вида проверок, перечисленные далее.Анализ защищённости приложений предназначен для выявления уязвимостей в прикладных программах любого типа (крупные облачные решения, ERP-системы, механизмы дистанционного банковского обслуживания и другие специализированные бизнес-приложения, а также встроенные программы и мобильное ПО). Сервис позволяет избежать потерь различного рода, свести к минимуму издержки на ликвидацию последствий, организовать непрерывность жизненного цикла безопасной разработки программного обеспечения, а также выполнить требования государственных, отраслевых или корпоративных стандартов.Анализ защищённости банкоматов и POS-терминалов обнаруживает недостатки защиты платёжных устройств и позволяет снизить риск их компрометации за счёт заблаговременного выявления уязвимостей. Так же, как и в предыдущем случае, с помощью сервиса можно улучшить механизмы безопасности, избежать различного рода потерь в результате возможной атаки и обеспечить выполнение требований регуляторов.Анализ защищённости телекоммуникационных сетей включает проверку конфигурации инфраструктуры, сетей связи по стандартам GSM, UMTS и LTE, приложений, обеспечивающих пользование сервисами (например, IP-телевидением), средств голосового общения через интернет (VoIP) и телекоммуникационного оборудования. Экспертные тренинги для специалистов SOCНавыки в области реагирования на инциденты, цифровой криминалистики и анализа вредоносных программ являются обязательными для специалистов SOC. В рамках тренингов эксперты «Лаборатории Касперского» делятся практическими знаниями и опытом в области информационной безопасности, а также уникальными данными об угрозах.Тренинги, формирующие вышеуказанные навыки, продолжаются по 5 дней и делятся на два уровня: базовый и экспертный.Тренинг по реагированию на инциденты и цифровой криминалистике позволит специалистам SOC лучше понять все стадии расследования инцидентов и даст необходимые сведения для успешного самостоятельного устранения последствий. Также он укрепит знания специалистов во всём, что касается поиска следов киберпреступления и анализа различных типов данных с целью установить источник и временные параметры атаки. После прохождения тренинга специалисты SOC самостоятельно смогут своевременно реагировать на инциденты, анализировать улики, восстанавливать хронологию и логику инцидентов, определять источники атаки и дополнительные скомпрометированные системы, а также выяснять причины инцидента для предотвращения подобных нарушений в будущем.Тренинг по анализу вредоносных программ поможет специалистам SOC качественнее проводить расследования атак, анализировать вредоносные объекты, выявлять индикаторы компрометации, писать сигнатуры для обнаружения опасных файлов либо заражённых рабочих станций. После прохождения тренинга специалисты SOC смогут самостоятельно проводить анализ подозрительного образца и его возможностей, определять степень  его вредоносности, выявлять возможности его воздействия на скомпрометированные системы организации, а  также составлять план устранения последствий. ВыводыУгрозы безопасности информационных активов организаций постоянно меняются, и для защиты от них необходимо оперировать максимально возможным объёмом информации, развивать экспертные компетенции специалистов, оперативно реагировать на инциденты и на регулярной основе проводить анализ защищённости инфраструктуры. Современные организации создают центры мониторинга и оперативного реагирования на инциденты информационной безопасности, чтобы достичь требуемого уровня борьбы с угрозами; но для максимальной эффективности работы SOC необходимо наладить взаимодействие с сервисами или продуктами, которые, с одной стороны, снабдят SOC необходимыми актуальными данными, а с другой стороны, будут помогать принимать решения и расследовать инциденты.Сервисы «Лаборатории Касперского» позволяют повысить уровень безопасности организации, встретить во всеоружии комплексные и целевые угрозы, а также обеспечить такое взаимодействие с SOC, при котором специалисты центра будут полностью освобождены от рутинных операций, а организация получит мощный инструмент для своевременного обнаружения угроз и реагирования на инциденты. Также с помощью этих сервисов можно получать экспертную помощь «Лаборатории Касперского» в исследовании вредоносных программ и в цифровой криминалистике, а также в анализе защищённости, тестировании на проникновение и многом другом. Читать далее
    • AM_Bot
      Недавно специалисты компании Positive Technologies представили новую версию системы MaxPatrol SIEM 5.1, предназначенной для выявления киберинцидентов. Команда разработчиков и продуктового маркетинга рассказала Anti-Malware.ru о новых возможностях продукта и продемонстрировала их.     ВведениеУскоряем работу на 30%Ищем атаки в прошлом с помощью правил корреляцииУправляем ролями пользователейОбъединяем похожие события в один инцидентЗашел, увидел, загрузил: как установить пакеты экспертизы в два «клика»Анализируем «сырые» событияНазывайте как хотите: кастомизация полей в виджетахВыводы ВведениеВ марте Positive Technologies выпустила новую версию системы для выявления инцидентов MaxPatrol SIEM. В MaxPatrol SIEM 5.1 теперь есть возможность уменьшить время реагирования на похожие инциденты, гибко управлять ролями пользователей, проводить ретроспективный анализ по правилам корреляции, анализировать «сырые» события и устанавливать пакеты экспертизы в два щелчка мышью. При этом скорость обработки данных на одной инсталляции выросла благодаря переходу на новую версию поисковой системы. Ускоряем работу на 30%MaxPatrol SIEM «переехал» на версию 7.4 ядра Elasticsearch. Внутреннее тестирование показало, что обновление увеличило скорость работы продукта на треть. Версия 5.0 обрабатывала до 30 тысяч событий в секунду (EPS, events per second) на одной инсталляции; теперь в таких же условиях EPS достигает 40 тысяч. Это важно для компаний с большой инфраструктурой, требующей высокой скорости. Ищем атаки в прошлом с помощью правил корреляцииПредставьте, что в новостях появилась информация об атаке на компании вашей отрасли. Вы хотите проверить, не взломана ли ваша инфраструктура по той же схеме. В этом случае поможет ретроспективный анализ — проверка сохранённых событий ИБ на наличие в них данных об угрозах, о которых стало известно только сейчас.Пользователи MaxPatrol SIEM 5.1 могут делать это двумя способами: по индикаторам компрометации и по правилам детектирования угроз (правилам корреляции). Соответственно, после установки последних можно ещё раз «проиграть» поток поступивших ранее событий и применить к ним новые правила. Это особенно полезно для тех, кто пишет собственные правила и использует пакеты экспертизы (то есть наборы способов обнаружения атак и рекомендаций по реагированию, разработанные Positive Technologies).Чтобы ретроспективный анализ заработал, нужно:создать профиль для задачи ретроспективного анализа,указать в нём период, за который нужно проверить данные, и параметры выполнения задачи (продолжительность и скорость выполнения, ограничение по количеству срабатываний правил),создать и запустить задачу на ретроспективную корреляцию событий для созданного профиля.Если вы ничего не поняли, или поняли, но не всё, то посмотрите видеоролик — в нём всё понятно и наглядно показано (и озвучка приятная): Управляем ролями пользователейРанее в системе можно было задать две роли — администратора или оператора. Теперь SIEM-администраторы смогут создавать другие новые роли и разрешать им доступ к определённым разделам продукта. Смотрите, как это можно сделать за три минуты:Гибкое управление ролями пользователей особенно полезно для компаний с иерархической или географически распределённой инфраструктурой, когда нужно дать пользователям возможность работать только с теми данными, которые относятся к их области мониторинга. Именно такие компании настойчиво просили об этой «фиче».В следующую версию мы добавим возможность ограничить доступ не только к разделам, но и к группам активов и событий. Иначе говоря, можно будет выбрать определённый набор активов, с которыми могут работать пользователи с одной ролью, и отказать им в доступе ко всем остальным активам. Сейчас такое возможно реализовать, если задать права каждому пользователю по отдельности. Объединяем похожие события в один инцидентЧтобы избавить пользователей от потока одинаковых инцидентов и помочь им снизить трудозатраты на реагирование на похожие подозрительные события, мы добавили в MaxPatrol SIEM возможность настраивать их агрегацию в один инцидент.Для этого в конструкторе правил корреляции пользователю нужно выбрать правило и задать параметры «склеивания»: к какому инциденту добавить события (уже закрытому или новому), как считать уровень опасности инцидента, за какой временной интервал агрегировать события и с какого момента его отсчитывать. К примеру, несколько последовательных неудачных попыток аутентификации можно задать как один инцидент. Это мы и сделали в видео: Зашёл, увидел, загрузил: как установить пакеты экспертизы в два «клика»Использование пакетов экспертизы стало значительно более удобным. Теперь в базе знаний появился раздел «Пакеты экспертизы», в котором наборы правил обнаружения угроз, разработанные экспертами Positive Technologies, сгруппированы в тематические папки. Вместе с правилами в папках вы найдёте белые списки, обновления параметров сбора и обработки событий ИБ, рекомендации по реагированию. Здесь же хранятся базовые правила обнаружения угроз, доступные «из коробки».У каждого пакета экспертизы есть подробное описание: какие правила есть в его составе, как настроить источники событий, как правильно реагировать на инцидент. Описание доступно прямо из интерфейса. Если описание пакета экспертизы устраивает пользователя и он хочет установить правила на свою инсталляцию, то теперь он может это сделать в два «клика».Посмотрите, как выглядят пакеты экспертизы в MaxPatrol SIEM 5.1:На апрель 2020 года пользователям MaxPatrol SIEM доступны 17 пакетов экспертизы, которые содержат более 370 правил обнаружения атак. Новые пакеты мы загружаем ежемесячно. Анализируем «сырые» событияДля анализа и обработки событий ИБ из разных систем нужно привести эти события к единому формату. Для этого в SIEM используются парсеры, которые обрабатывают события с помощью формул нормализации. Производители систем, подключённых к SIEM, регулярно обновляют свои продукты и могут изменить формат данных или добавить новые типы событий.Чтобы получать все необходимые данные в MaxPatrol SIEM и быть уверенными в том, что формулы нормализации работают корректно, пользователи теперь могут работать с «сырыми» событиями. Исходное событие можно скопировать в один «клик» и добавить его в инструмент создания правил (Software Development Kit, SDK) для написания формулы нормализации.Если хотите наглядности, то смотрите видео с демонстрацией того, как выглядят «сырые» события в MaxPatrol SIEM, как создать виджет для контроля их поступления и как работает полнотекстовый поиск по событиям:Если вы предпочитаете текст, то читайте дальше. Здесь тоже коротко и весьма наглядно.Чтобы оперативно следить за тем, попадают ли в MaxPatrol SIEM события, которые не проходят нормализацию, можно настроить виджет на панели мониторинга (дашборде) и автоматическую отправку уведомлений на почту. Рисунок 1. Как следить с помощью виджета, поступают ли в систему события без нормализации  Содержимое всех событий — и нормализованных, и сырых — пользователи MaxPatrol SIEM могут найти по полнотекстовому поиску. Для этого в строку поиска достаточно ввести любой из признаков события. Такая функциональность полезна в случаях, когда есть время на глубокий анализ подозрительных действий. Например, можно отфильтровать события по IP-адресу или имени пользователя и увидеть всю их активность. Называйте как хотите: индивидуализация полей в виджетахС новой версией пользователи могут присвоить собственные названия полям событий и активов в выборках данных. Это поможет упростить понимание виджетов и отчётов, в которых такие поля используются. Покажем это на примере. Ниже приводим виджет без кастомизации названия полей (приходится догадываться, о чём он, не так ли?). Рисунок 2. Виджет без индивидуализации названия полей  А вот тот же самый виджет после обновления MaxPatrol SIEM до версии 5.1 и после изменения названий полей. Рисунок 3. Виджет после обновления MaxPatrol SIEM до версии 5.1  О том, как это получилось, мы рассказали в двухминутном видео: ВыводыМы перечислили новые возможности продукта MaxPatrol SIEM 5.1, а также продемонстрировали его преимущества. Если вы хотите протестировать нововведения, заполните короткую форму на сайте и выберите источники событий ИБ для подключения к MaxPatrol SIEM.Если вы уже пользуетесь MaxPatrol SIEM, то для обновления до последней версии обратитесь в техническую поддержку или к вашему интегратору — партнёру Positive Technologies. Читать далее
    • AM_Bot
      Surfshark VPN — быстро растущий платный VPN-сервис, способный работать под управлением любой популярной операционной системы. Помимо кросс-платформенности Surfshark VPN выделяется отсутствием лимитов на количество подключений и объём трафика, а стоимость услуг на фоне конкурентов выглядит низкой. Хватит ли этому сервису преимуществ для того, чтобы можно было предпочесть его остальным? ВведениеФункциональные возможности Surfshark VPNТестирование Surfshark VPN3.1. Запуск и настройки3.2. Тестирование скорости3.3. Тестирование доступа к региональным ресурсамТехнические характеристики Surfshark VPNЦеновая политикаБезопасность и хранение данныхВыводы Введение Рынок VPN-приложений в последние годы переживает взрывной рост, при этом особенно активно развиваются кросс-платформенные решения. Согласно отчёту Global Market Insights, в 2019 году только для мобильных платформ было скачано 480 млн экземпляров клиентских программ VPN-сервисов.На этой волне появившийся в 2018 году Surfshark VPN начал быстро набирать популярность, и на сегодняшний день разработчики считают его наиболее интенсивно растущим платным VPN-сервисом в мире: за два года количество пользователей успело превысить миллион. Официальные презентации сервиса вызывают интерес: вендор обещает высокие скорости соединения, гарантию анонимности и немалое количество дополнительных функций за скромную цену. Функциональные возможности Surfshark VPNОсновная задача Surfshark VPN решается благодаря широкому спектру географических положений: пользователям доступна возможность подключаться из 61 страны через 1 040 серверов. Такой выбор помогает не только добиваться анонимности, но и пользоваться регионально ограниченными услугами — например, получать доступ к библиотеке Netflix, BBC iPlayer, Amazon Fire TV.Для повышенной безопасности решение предлагает воспользоваться функцией MultiHop — подключением к сети через два разных сервера. Многоуровневое туннелирование не только усложняет деанонимизацию, но и в некоторых случаях ускоряет подключение.Для сохранения скорости связи с проверенными ресурсами Surfshark VPN содержит функцию белых списков: пользователь может выбрать, какие приложения, сайты или IP-адреса будут обходить VPN.Кроме того, Surfshark способен решить проблему деанонимизации при разрывах связи: с помощью функции Kill Switch доступ к интернету автоматически отключается, если VPN-подключение прервётся.Ещё одно приятное дополнение — фильтр рекламы, блокировка трекеров и вредоносных скриптов с функцией CleanWeb. Тестирование Surfshark VPNЗапуск и настройкиДля регистрации аккаунта на сайте surfshark.com понадобится ввести только адрес электронной почты. Никаких дополнительных данных вендор не собирает — это большой «плюс» для тех, кто ценит приватность.Surfshark обладает простым интерфейсом. Главное окно, открывающееся при запуске, настроено для немедленной анонимизации: здесь присутствует всего одна яркая кнопка «Подключить», которая соединяет с ближайшим к пользователю или с самым быстрым на данный момент сервером. Рисунок 1. Запуск Surfshark VPN, главный экран  Здесь же будет сохраняться список последних подключений пользователя. Кроме того, из главного экрана можно перейти в режим Kill Switch, разрывающий незащищённое соединение с интернетом. Рисунок 2. Функция Kill Switch в Surfshark VPN  В разделе «Места» можно подключиться к одному из 1 040 серверов во всём мире. К сожалению, среди этого разнообразия нет возможности симулировать соединение из Китая — такая функция бывает полезной для тех, кто работает с этой страной из-за границы. Однако для работы внутри зоны «Великого файрволла» в Surfshark VPN есть функция NoBorder, позволяющая обходить такие ограничения.Также в интерфейсе есть индикатор ожидаемой скорости подключения, что очень удобно при выборе среди нескольких серверов в одной стране. Стоит отметить, что не все доступные серверы физически расположены в соответствующих странах: некоторые IP-адреса являются виртуальными, однако это — единичные случаи. Рисунок 3. География серверов в Surfshark VPN  Возможность получить статический IP-адрес, защищённый виртуальной частной сетью, очень порадует владельцев персональных серверов. Такая функция есть далеко не у всех VPN-сервисов и часто продаётся отдельно. Surfshark VPN предлагает на выбор несколько вариантов — в Германии, Японии, Нидерландах, Сингапуре, Великобритании или США. Рисунок 4. Доступные статические IP-адреса в Surfshark VPN  Сторонние тесты на анонимизацию подтверждают, что Surfshark VPN хорошо подменяет IP-адреса и передаёт координаты провайдера выбранного региона. Присвоенные сетевые идентификаторы в большинстве случаев не числятся в чёрных списках и принимаются сайтами как реальные данные пользователя. Системное время и язык браузера при этом не меняются, для полной анонимизации их нужно модифицировать вручную. Рисунок 5. Результаты проверки анонимности при подключении к украинскому серверу Surfshark VPN  Режим автозапуска Surfshark VPN имеет несколько полезных гибких настроек. Например, пользователь может создать список доверенных сетей, при сеансах связи из которых VPN не используется. Это позволит не задумываться о безопасности соединения, если часто приходится подключаться к интернету в общественных местах.В разделе дополнительных настроек можно составить белый список сайтов и приложений — при обращении к ним трафик будет идти напрямую, минуя VPN. Рисунок 6. Дополнительные настройки в Surfshark VPN  Разработчики уделили много внимания повышенной безопасности пользователя — это видно по ряду настроек и дополнительных функций. Так, Surfshark VPN может защитить от рекламы и следящих скриптов с функцией CleanWeb или предотвратить потенциальные атаки со стороны интернета вещей путём запрета входящих подключений других устройств локальной сети в режиме «Невидимка для устройств». Рисунок 7. Настройки протоколов в Surfshark VPN  Тестирование скоростиТестирование соединения показало, что Surfshark VPN почти не снижает скорость скачивания файлов, но отдача трафика заметно страдает. Рекомендованный приложением самый быстрый сервер находился в Москве и обеспечивал скорость в 25 Мбит/с входящего трафика и 9 Мбит/с исходящего. Рисунок 8. Результаты тестирования скорости подключения самого быстрого сервера Surfshark VPN  Интересны результаты серверов из других стран. Мы подключились к серверу в Орландо, США и проверили показатели. Скорость входящего соединения в среднем составила 14 Мбит/с (примерно 1,8 МБ/с), скорость отдачи трафика не превышала 7 Мбит/с (800 КБ/с) при средней скорости в 0,6 Мбит/с. Это подходит для веб-сёрфинга без заметных задержек. Рисунок 9. Результаты тестирования скорости подключения к американскому серверу Surfshark VPN  Функция MultiHop проводит туннель через две страны. Пользователю доступно около дюжины пар серверов. При использовании двойного туннеля можно не только повысить уровень безопасности, но и ускорить соединение. Рисунок 10. Функция двойного подключения MultiHop в Surfshark VPN  Мы попробовали соединиться с сервером в США через Австралию и сделали замеры скорости. Результаты действительно стали немного лучше — 16 Мбит/с входящего трафика и 1,3 Мбит/с исходящего. Пинг-тест при этом показал результаты вдвое хуже — задержка передачи пакетов составила 531 мс против 244 мс в классическом туннеле. Рисунок 11. Результаты тестирования скорости двойного подключения к американскому серверу в Surfshark VPN  Тестирование доступа к региональным ресурсамДалеко не все VPN-сервисы годятся для доступа к региональному контенту. Тот же Netflix системно борется с VPN-подключениями и отправляет IP-адреса в стоп-листы целыми диапазонами. Проверим, способны ли алгоритмы Surfshark VPN обходить защиту регионально ограниченных ресурсов.Обойти блокировки американских сервисов с помощью Surfshark VPN удалось. Так, Netflix свободно допускает пользователя к своим библиотекам при подключении через любой сервер в США. Рисунок 12. Доступ к ограниченному контенту Netflix через Surfshark VPN  В свою очередь, IP-адреса серверов в Великобритании на момент теста оказались в стоп-листах. И BBC iPlayer, и HBO GO распознали VPN и заблокировали соединение. Рисунок 13. Доступ к ограниченному контенту BBC через Surfshark VPN  Так или иначе с проблемами периодической блокировки IP-адресов приходится сталкиваться любому VPN-сервису, поэтому будем считать, что нам повезло оценить скорость решения проблемы во время теста. Техническая поддержка Surfshark VPN сработала быстро: уже на следующий день удалось получить свободный доступ к обоим сервисам через сервер в Манчестере. Рисунок 14. Доступ к ограниченному контенту HBO через Surfshark VPN  Сайты, заблокированные на территории России, этот VPN также успешно открывает. Требований по ограничению доступа на данный момент Surfshark VPN от Роскомнадзора не получал. Технические характеристики Surfshark VPNРазработчики постарались сделать интерфейс максимально удобным для кросс-платформенного использования, поэтому Surfshark VPN готов предложить подходящий вариант исполнения для почти любого типа устройств:агенты для Windows, macOS, Linux, Raspberry Pi;мобильные приложения для iOS и Android;плагины для браузеров Chrome и Firefox;приложения для Fire TV и Apple TV;Smart DNS — потоковая передача контента на устройствах, не поддерживающих VPN-приложения, например консолях Xbox и Playstation, ТВ-приставках.Шифрование в Surfshark VPN происходит по наиболее быстрому алгоритму AES-256-GCM. Это — не уникальное преимущество, поскольку такой алгоритм стал стандартом качества хороших VPN-сервисов, но факт его применения можно считать достоинством.Для подключения Surfshark VPN по умолчанию использует протокол IKEv2, но вручную можно выбрать и другие варианты, такие как OpenVPN (TCP / UDP) или Shadowsocks. Ценовая политикаПри выборе тарифного плана Surfshark VPN стоит обращать внимание на скидки и акции. Так, на момент написания обзора можно абонировать сервис за два доллара США при подписке на два года вперёд, что является одним из наиболее выгодных предложений на рынке. Самое важное — то, что в стоимость подписки входит неограниченное количество подключений с любых поддерживаемых устройств. Таким образом, один аккаунт защитит и мобильный телефон, и рабочий ноутбук, и ТВ-приставку, и домашний сервер. Рисунок 15. Тарифная политика Surfshark VPN  Для пользователей iOS, macOS и Android доступна бесплатная пробная версия приложения Surfshark VPN на 7 дней. Для других платформ пробных версий не предусмотрено, но есть гарантия возврата денег в течение 30 дней, если приложение не понравилось. Безопасность и хранение данныхШтаб-квартира Surfshark LTD зарегистрирована на Британских Виргинских островах — в популярном офшоре, оберегающем приватность своих резидентов. Здесь нет требований по хранению информации о пользователях, что и зафиксировано в политике конфиденциальности Surfshark VPN.Surfshark LTD не собирает никаких сведений о действиях своих подписчиков: IP-адреса, история просмотров, информация о сеансе, используемая пропускная способность, метки времени подключения, сетевой трафик и другие подобные данные нигде не сохраняются. Для регистрации аккаунта требуется минимально необходимая информация — адрес электронной почты и основные платёжные данные (сумма платежа, валюта, дата оплаты и история заказов). Оплатить сервис Surfshark VPN можно и анонимно, с использованием криптовалют.Несмотря на то, что данных о пользователе у вендора практически нет, Surfshark LTD публикует отчёты по принципу «свидетельства канарейки». «Свидетельство канарейки» — способ обхода запретов на разглашение информации об изъятии данных пользователей. Такие отчёты выпускаются постольку, поскольку компания не получает никаких судебных и правительственных постановлений, и прекращают публиковаться в случае изъятия сведений. ВыводыПри неплохих показателях скорости разработчики Surfshark VPN добавили полезные дополнительные функции для повышения удобства пользования продуктом: белые списки сайтов и сетей подключения, разрыв связи при потере VPN-соединения, двойное туннелирование, присвоение статических IP-адресов и многое другое.Хотя количество доступных серверов здесь — не самое большое, географии подключений уже сейчас достаточно для реализации любого сценария использования VPN.Заметными достоинствами являются поддержка торрент-протоколов и отсутствие ограничений по объёму трафика. Поскольку во многих странах распространение торрентов запрещено, Surfshark VPN будет удобен для использования за рубежом.Удачным решением стали неограниченные одновременные подключения. Это позволяет использовать Surfshark как универсальный VPN-шлюз на мобильных устройствах, компьютерах и локальных устройствах. Скачать Surfshark VPN можно по этой ссылке.Преимущества:Широкий спектр вариантов подключения — более 1 000 серверов в 61 стране.Простые процессы установки и управления, возможность автоматического поиска самого быстрого сервера.Отсутствие практики сохранения журналов пользовательской активности.Кросс-платформенность, адаптированность к разным типам настольной и мобильной техники.Неограниченное количество одновременно подключаемых устройств.Поддержка торрент-протоколов.Белые списки сайтов и сетей подключения для гибкой настройки.Доступ к Netflix, Hulu, BBC iPlayer, Sky TV, HBO GO, YouTube, ESPN и другим регионально ограниченным ресурсам.Недостатки:Нет пробной версии для пользователей Windows.Небольшое количество точек подключения в Азии, отсутствие сервера в Китае.Высокая стоимость при ежемесячной оплате. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
×