ANDYBOND

Ваше мнение по таким подходам

В этой теме 23 сообщений

Не секрет, что NIS 2009 предлагает три режима проверки системных и программных файлов: все; все, кроме доверенных (по базе); все, кроме доверенных (по базе) и имеющих цифровую подпись. По умолчанию предлагается второй вариант, но меня интересует вопрос: сколь безопасно не проверять на вирусы файлы, имеющие цифровую подпись? С доверенными файлами по базе вроде как ясно: это, как я думаю, безопасно. К слову, у меня включен первый режим: проверяются все файлы.

И ещё хотелось бы уточнить, из какой области делается выборка файлов-кандидатов на непроверку: из ядра системы или ещё откуда-то? И правильно ли я понимаю, что в остальных местах будут проверяться все файлы, пусть даже они имеют цифровую подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не секрет, что NIS 2009 предлагает три режима проверки системных и программных файлов: все; все, кроме доверенных (по базе); все, кроме доверенных (по базе) и имеющих цифровую подпись.

То бишь это технология Norton Insight.

По умолчанию предлагается второй вариант, но меня интересует вопрос: сколь безопасно не проверять на вирусы файлы, имеющие цифровую подпись?

Безопасность этих файлов выше, чем без подписи, однако и в них могут быть обнаружены вирусы. Подробнее узнать о Norton Insight Вы можете в справке, и запустив эту технологию.

Если Вы не хотите тратить время на сканирование, можете пустить в дело Insight. Можно даже сказать, что продукты Norton 2009 и Norton 360 3.0 предлагают 5 видов сканирования.

Сканирование всей системы. Позволяет Norton сканировать весь компьютер

Полное сканирование предусматривает сканирование всех файлов компьютера без учета уровня доверия и цифровых подписей.

Обычная надежность. Позволяет Norton исключить из сканирования файлы, надежность которых проверена Norton и сообществом.

Norton будет сканировать только те файлы, у которых нет уровня надежности.

Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Norton будет сканировать только те файлы, у которых нет уровня надежности или цифровой подписи класса 3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Сколь это безопасно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Ну тут уже Вы сами должны для себя сделать выбор. Если на Вашей машине заражения нет - это так же достаточно разумный выбор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сколь это безопасно?

У продуктов Norton 5 видов сканирования. Самое надежное - сканирование всей системы. Сканирование высокой надежности это некорректность перевода. Я бы не сканировал с помощью высокой надежности, однако если не хочется тратить время - это самый лучший метод. Быстрое сканирование длится около минуты. Соответственно сканирование высокой надежности длится дольше, но гораздо меньше чем сканирование всей системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подождите. До данного момента я считал, что Norton Insight относится к сканированию в режиме реального времени. Получается, что я заблуждался? Получается, что в режиме реального времени на вирусы проверяются все файлы, а по требованию - по настройкам Norton Insight. Я прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ANDYBOND

Вы можете настроить сканирование как Вам удобно. Как Вы считаете нужным. Если Вы доверяете подписям, и сообществу Norton Вы можете настроить сканирование так. Если вы доверяете только "сообществу", то можете оставить стандарт. Но я считаю, что учитывая фантастическую скорость сканирования, можно сканировать весь компьютер без технологии Norton Insight.

Insight лишь делает сканирование еще менее долгим, позволяет узнать какие файлы имеют цифровую подпись и какие файлы проверены сообществом.

Если вы настроили Norton Insight на стандартную или высокую надежность, при сканировании будут учитываться соответствующие параметры.

Если вы в настройках поставите на сканирование всей системы, то будут сканироваться абсолютно весь компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ANDYBOND, я опишу технологию Norton Insight более подробно -

думаю это позволит получить ответы на интересующие Вас вопросы.

Norton Insight - это технология, позволяющая уменьшить время сканирования

без снижения уровня защищенности компьютера. Уменьшение времени сканирования достигается

за счет исключения из проверки доверенных приложений, служб, драйверов.

Запуск Norton Insight происходит автоматически во время простоя компьютера, либо при запуске

пользователем вручную.

При запуске данной технологии, по защищенному соединению происходит сверка SHA256 hash файлов с базой данных,

содержащей информацию о известных доверенных файлах и хранящейся на серверах Symantec.

Также в базе данных Symantec содержится информация о запускаемых процессах, модулях, загружаемых в процессы, службах,

и ключах реестра.

Помимо этого, присутствует возможность сверки с базой данных Symantec отдельно взятого, выбранного пользователем файла.

Во время сверки с базой данных Symantec, используется только статистическая информация,

включающая название, версию, размер, и SHA256 hash сверяемого файла. Копия файла и какая-либо

персональная информация не отсылаются .

Информация о SHA256 hash файлов и уровне доверия для каждого файла хранятся в зашифрованном виде на компьютере пользователя.

Данная информация сверяется с базой данных Symantec во время "LiveUpdate", что позволяет, при необходимости, корректировать

уровни доверия для файлов, либо вовсе исключить файл из числа доверенных.

Также, в случае любого изменения файла - легитимного, например после обновления, либо не легитимного в случае вирусного заражения,

благодаря технологии, используемой в драйвере уровня ядра продуктов Symantec, доверие к файлу будет автоматически аннулировано,

он будет повторно просканирован, а его SHA256 hash будет повторно сверен с базой данных Symantec.

Помимо этого, во время загрузки проверяется файловая система NTFS, и в том случае, если имели место какие-либо

необъяснимые изменения, уровни доверия для всех файлов на данном разделе будут аннулированы.

Иными словами, предусмотрена сложная система проверки, многократно перекрывающая каждый из элементов,

для того чтобы уменьшение общей нагрузки на систему во время работы, а также уменьшение времени сканирования

достигалось действительно без снижения уровня защищенности компьютера.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за подробное объяснение. :) У меня остался по Norton Insight только один вопрос. Кто использует результаты работы Norton Insight: сканирование по требованию, сканирование в реальном времени, оба этих сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ANDYBOND

Настроив один раз Norton Insight он будет делать так, как Вы его настроили, пока Вы не измените настройки.

Vadim Fedorov

Благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...Кто использует результаты работы Norton Insight: сканирование по требованию, сканирование в реальном времени, оба этих сканирования?

Результаты работы Norton Insight используются в обоих перечисленных Вами случаях:

- при сканировании по-требованию (быстрое, либо полное сканирование)

- при сканировании в реальном времени

Дополнительно, могу привести комментарий менеджера отдела разработки потребительских продуктов Symantec -

"In summary, Norton Insight reduces system performance impact in the following ways:

- By eliminating all security evaluations on trusted files, frequently accessed files, and commonly used applications running unconstrained,

the overall system performance and responsiveness is greatly improved.

- By not scanning trusted drivers, services, and startup applications as they are loaded and executed during the startup sequence,

startup and shutdown times are decreased.

- By not scanning trusted applications as they are launched, application startup times are shorter as well.

- By not scanning trusted files during quick or full system scans, scan times are shorter. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, коллеги :) Тема раскрыта полностью. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спасибо, коллеги smile.gif Тема раскрыта полностью. smile.gif

Но, думаю, что скоро будет о чем поговорить. Очень и очень скоро появится бета-версия продуктов Norton 2010. Интерес Symantec к домашнему рынку никак не ослаб, а увеличился, поэтому можно смело ожидать огромного количества нововведений и технологий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень и очень скоро появится бета-версия продуктов Norton 2010.

Хотелось бы уже поскорее. Как бы их подогнать? :)

Или подписаться на новости по email?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотелось бы уже поскорее. Как бы их подогнать?

Быстро хорошо не бывает. Так что ждем, совсем недолго осталось, об ожидании не пожалеете...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так что ждем, совсем недолго осталось, об ожидании не пожалеете...

Уже то, что известно о Norton 2010 уже очень сильно интригует... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ждём с огромным нетерпением... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Возник ещё один вопрос по Norton Insight. В соответствующей таблице есть файлы, провереные Нортон, и файлы, провереные сообществом Нортон. Интересует вопрос, как (каким образом) файл получает статус провереного сообществом Нортон? Как конечный пользователь может на наличие/отсутствие такого статуса повлиять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Возник ещё один вопрос по Norton Insight. В соответствующей таблице есть файлы, провереные Нортон, и файлы, провереные сообществом Нортон. Интересует вопрос, как (каким образом) файл получает статус провереного сообществом Нортон? Как конечный пользователь может на наличие/отсутствие такого статуса повлиять?

Здравствуйте, ANDYBOND.

Из формулировки "Community Trusted" может возникнуть ложное предположение о том,

что файлы отмеченные таким образом обладают степенью доверия со стороны некой группы людей,

и на этом основании Symantec присваивает файлам тот или иной рейтинг:).

Это конечно же не так, поэтому я опишу принцип работы интересующего Вас нюанса, как обычно, более подробно.

Соглашаясь участвовать в системе Norton Community Watch, пользователь соглашается передавать со своего

компьютера в Symantec статистическую информацию.

Передается следующая статистическая информация, представляющая интерес для Symantec -

об используемых приложениях, запущенных процессах, модулях, загруженных в запущенные процессы,

драйверах, службах, BHO (browser helper objects), файлах автозапуска из группы "startup" и "run registry key".

В основном речь идет обо всех файлах которые запущены, либо могут быть запущены в системе.

Как уже было описано выше, передается SHA256 hash, название и версия файлов.

Копии файлов и какая-либо личная информация - не передаются.

Статистическая информация о SHA256 hash позволяет Symantec проанализировать распространенность

отдельно взятых файлов среди всех ПК, участвующих в Norton Community Watch.

Далее, при помощи специальных запатентованных алгоритмов, в Symantec определяют

степень доверия к файлам и назначают для них Community Trusted рейтинг.

В Symantec классифицируют миллионы поступающих SHA256 hash в зависимости от распространенности,

а также анализируют статистические параметры наиболее распространенных файлов.

Информация о названии и версии файлов позволяет определить производителей и идентифицировать приложения.

Далее Symantec получает оригинальные установочные пакеты данных приложений,

которые затем устанавливаются в "чистой" среде, в которой гарантированно исключается

внешнее воздействие, либо вирусное заражение. После этого рассчитывается SHA256 hash

установленных файлов и сверяется с SHA256 hash, полученными посредством Norton Community Watch.

В случае совпадения, информация вносится в базу данных Symantec.

Все файлы, входящие в состав приложений тщательно анализируются, и только в случае признания их

заслуживающими доверия, в Symantec назначают Norton Trusted рейтинг для данных файлов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

патентованный алгоритм видится таким:

1 собираются хеши приложений в базу

2 выбираются самые массовые приложения

3 идентифицируют принадлежность

4 руками ставят продукты и апрувят контрольные суммы

- вполне естественный ход

в чем здесь секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
патентованный алгоритм видится таким...

zanuda, не путайте сбор статистической информации и анализ файлов при определении

степени доверия к ним.

Термин "запатентованные алгоритмы" в сообщении #20 относится к методам и последовательности действий,

используемых во время анализа файлов для определения степени доверия к ним -

"Далее, при помощи специальных запатентованных алгоритмов, в Symantec определяют

степень доверия к файлам и назначают для них Community Trusted рейтинг."

Распространенность приложения не означает автоматического назначения определенной

степени доверия. Степень доверия будет определена только после анализа всех входящих

в состав приложения файлов, а также действий, предпринимаемых этими файлами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.