Перейти к содержанию
ANDYBOND

Ваше мнение по таким подходам

Recommended Posts

ANDYBOND

Не секрет, что NIS 2009 предлагает три режима проверки системных и программных файлов: все; все, кроме доверенных (по базе); все, кроме доверенных (по базе) и имеющих цифровую подпись. По умолчанию предлагается второй вариант, но меня интересует вопрос: сколь безопасно не проверять на вирусы файлы, имеющие цифровую подпись? С доверенными файлами по базе вроде как ясно: это, как я думаю, безопасно. К слову, у меня включен первый режим: проверяются все файлы.

И ещё хотелось бы уточнить, из какой области делается выборка файлов-кандидатов на непроверку: из ядра системы или ещё откуда-то? И правильно ли я понимаю, что в остальных местах будут проверяться все файлы, пусть даже они имеют цифровую подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Не секрет, что NIS 2009 предлагает три режима проверки системных и программных файлов: все; все, кроме доверенных (по базе); все, кроме доверенных (по базе) и имеющих цифровую подпись.

То бишь это технология Norton Insight.

По умолчанию предлагается второй вариант, но меня интересует вопрос: сколь безопасно не проверять на вирусы файлы, имеющие цифровую подпись?

Безопасность этих файлов выше, чем без подписи, однако и в них могут быть обнаружены вирусы. Подробнее узнать о Norton Insight Вы можете в справке, и запустив эту технологию.

Если Вы не хотите тратить время на сканирование, можете пустить в дело Insight. Можно даже сказать, что продукты Norton 2009 и Norton 360 3.0 предлагают 5 видов сканирования.

Сканирование всей системы. Позволяет Norton сканировать весь компьютер

Полное сканирование предусматривает сканирование всех файлов компьютера без учета уровня доверия и цифровых подписей.

Обычная надежность. Позволяет Norton исключить из сканирования файлы, надежность которых проверена Norton и сообществом.

Norton будет сканировать только те файлы, у которых нет уровня надежности.

Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Norton будет сканировать только те файлы, у которых нет уровня надежности или цифровой подписи класса 3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Сколь это безопасно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
Высокая надежность. Разрешает Norton исключать из сканирования файлы, надежность которых проверена Norton или сообществом, а также файлы с известными цифровыми подписями.

Ну тут уже Вы сами должны для себя сделать выбор. Если на Вашей машине заражения нет - это так же достаточно разумный выбор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Сколь это безопасно?

У продуктов Norton 5 видов сканирования. Самое надежное - сканирование всей системы. Сканирование высокой надежности это некорректность перевода. Я бы не сканировал с помощью высокой надежности, однако если не хочется тратить время - это самый лучший метод. Быстрое сканирование длится около минуты. Соответственно сканирование высокой надежности длится дольше, но гораздо меньше чем сканирование всей системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Подождите. До данного момента я считал, что Norton Insight относится к сканированию в режиме реального времени. Получается, что я заблуждался? Получается, что в режиме реального времени на вирусы проверяются все файлы, а по требованию - по настройкам Norton Insight. Я прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

ANDYBOND

Вы можете настроить сканирование как Вам удобно. Как Вы считаете нужным. Если Вы доверяете подписям, и сообществу Norton Вы можете настроить сканирование так. Если вы доверяете только "сообществу", то можете оставить стандарт. Но я считаю, что учитывая фантастическую скорость сканирования, можно сканировать весь компьютер без технологии Norton Insight.

Insight лишь делает сканирование еще менее долгим, позволяет узнать какие файлы имеют цифровую подпись и какие файлы проверены сообществом.

Если вы настроили Norton Insight на стандартную или высокую надежность, при сканировании будут учитываться соответствующие параметры.

Если вы в настройках поставите на сканирование всей системы, то будут сканироваться абсолютно весь компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

ANDYBOND, я опишу технологию Norton Insight более подробно -

думаю это позволит получить ответы на интересующие Вас вопросы.

Norton Insight - это технология, позволяющая уменьшить время сканирования

без снижения уровня защищенности компьютера. Уменьшение времени сканирования достигается

за счет исключения из проверки доверенных приложений, служб, драйверов.

Запуск Norton Insight происходит автоматически во время простоя компьютера, либо при запуске

пользователем вручную.

При запуске данной технологии, по защищенному соединению происходит сверка SHA256 hash файлов с базой данных,

содержащей информацию о известных доверенных файлах и хранящейся на серверах Symantec.

Также в базе данных Symantec содержится информация о запускаемых процессах, модулях, загружаемых в процессы, службах,

и ключах реестра.

Помимо этого, присутствует возможность сверки с базой данных Symantec отдельно взятого, выбранного пользователем файла.

Во время сверки с базой данных Symantec, используется только статистическая информация,

включающая название, версию, размер, и SHA256 hash сверяемого файла. Копия файла и какая-либо

персональная информация не отсылаются .

Информация о SHA256 hash файлов и уровне доверия для каждого файла хранятся в зашифрованном виде на компьютере пользователя.

Данная информация сверяется с базой данных Symantec во время "LiveUpdate", что позволяет, при необходимости, корректировать

уровни доверия для файлов, либо вовсе исключить файл из числа доверенных.

Также, в случае любого изменения файла - легитимного, например после обновления, либо не легитимного в случае вирусного заражения,

благодаря технологии, используемой в драйвере уровня ядра продуктов Symantec, доверие к файлу будет автоматически аннулировано,

он будет повторно просканирован, а его SHA256 hash будет повторно сверен с базой данных Symantec.

Помимо этого, во время загрузки проверяется файловая система NTFS, и в том случае, если имели место какие-либо

необъяснимые изменения, уровни доверия для всех файлов на данном разделе будут аннулированы.

Иными словами, предусмотрена сложная система проверки, многократно перекрывающая каждый из элементов,

для того чтобы уменьшение общей нагрузки на систему во время работы, а также уменьшение времени сканирования

достигалось действительно без снижения уровня защищенности компьютера.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Спасибо за подробное объяснение. :) У меня остался по Norton Insight только один вопрос. Кто использует результаты работы Norton Insight: сканирование по требованию, сканирование в реальном времени, оба этих сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

ANDYBOND

Настроив один раз Norton Insight он будет делать так, как Вы его настроили, пока Вы не измените настройки.

Vadim Fedorov

Благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Кто использует результаты работы Norton Insight: сканирование по требованию, сканирование в реальном времени, оба этих сканирования?

Результаты работы Norton Insight используются в обоих перечисленных Вами случаях:

- при сканировании по-требованию (быстрое, либо полное сканирование)

- при сканировании в реальном времени

Дополнительно, могу привести комментарий менеджера отдела разработки потребительских продуктов Symantec -

"In summary, Norton Insight reduces system performance impact in the following ways:

- By eliminating all security evaluations on trusted files, frequently accessed files, and commonly used applications running unconstrained,

the overall system performance and responsiveness is greatly improved.

- By not scanning trusted drivers, services, and startup applications as they are loaded and executed during the startup sequence,

startup and shutdown times are decreased.

- By not scanning trusted applications as they are launched, application startup times are shorter as well.

- By not scanning trusted files during quick or full system scans, scan times are shorter. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Спасибо, коллеги :) Тема раскрыта полностью. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Спасибо, коллеги smile.gif Тема раскрыта полностью. smile.gif

Но, думаю, что скоро будет о чем поговорить. Очень и очень скоро появится бета-версия продуктов Norton 2010. Интерес Symantec к домашнему рынку никак не ослаб, а увеличился, поэтому можно смело ожидать огромного количества нововведений и технологий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Очень и очень скоро появится бета-версия продуктов Norton 2010.

Хотелось бы уже поскорее. Как бы их подогнать? :)

Или подписаться на новости по email?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Андрей-001

Следите за этой страницей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Хотелось бы уже поскорее. Как бы их подогнать?

Быстро хорошо не бывает. Так что ждем, совсем недолго осталось, об ожидании не пожалеете...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
Так что ждем, совсем недолго осталось, об ожидании не пожалеете...

Уже то, что известно о Norton 2010 уже очень сильно интригует... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Ждём с огромным нетерпением... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Возник ещё один вопрос по Norton Insight. В соответствующей таблице есть файлы, провереные Нортон, и файлы, провереные сообществом Нортон. Интересует вопрос, как (каким образом) файл получает статус провереного сообществом Нортон? Как конечный пользователь может на наличие/отсутствие такого статуса повлиять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Возник ещё один вопрос по Norton Insight. В соответствующей таблице есть файлы, провереные Нортон, и файлы, провереные сообществом Нортон. Интересует вопрос, как (каким образом) файл получает статус провереного сообществом Нортон? Как конечный пользователь может на наличие/отсутствие такого статуса повлиять?

Здравствуйте, ANDYBOND.

Из формулировки "Community Trusted" может возникнуть ложное предположение о том,

что файлы отмеченные таким образом обладают степенью доверия со стороны некой группы людей,

и на этом основании Symantec присваивает файлам тот или иной рейтинг:).

Это конечно же не так, поэтому я опишу принцип работы интересующего Вас нюанса, как обычно, более подробно.

Соглашаясь участвовать в системе Norton Community Watch, пользователь соглашается передавать со своего

компьютера в Symantec статистическую информацию.

Передается следующая статистическая информация, представляющая интерес для Symantec -

об используемых приложениях, запущенных процессах, модулях, загруженных в запущенные процессы,

драйверах, службах, BHO (browser helper objects), файлах автозапуска из группы "startup" и "run registry key".

В основном речь идет обо всех файлах которые запущены, либо могут быть запущены в системе.

Как уже было описано выше, передается SHA256 hash, название и версия файлов.

Копии файлов и какая-либо личная информация - не передаются.

Статистическая информация о SHA256 hash позволяет Symantec проанализировать распространенность

отдельно взятых файлов среди всех ПК, участвующих в Norton Community Watch.

Далее, при помощи специальных запатентованных алгоритмов, в Symantec определяют

степень доверия к файлам и назначают для них Community Trusted рейтинг.

В Symantec классифицируют миллионы поступающих SHA256 hash в зависимости от распространенности,

а также анализируют статистические параметры наиболее распространенных файлов.

Информация о названии и версии файлов позволяет определить производителей и идентифицировать приложения.

Далее Symantec получает оригинальные установочные пакеты данных приложений,

которые затем устанавливаются в "чистой" среде, в которой гарантированно исключается

внешнее воздействие, либо вирусное заражение. После этого рассчитывается SHA256 hash

установленных файлов и сверяется с SHA256 hash, полученными посредством Norton Community Watch.

В случае совпадения, информация вносится в базу данных Symantec.

Все файлы, входящие в состав приложений тщательно анализируются, и только в случае признания их

заслуживающими доверия, в Symantec назначают Norton Trusted рейтинг для данных файлов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zanuda

патентованный алгоритм видится таким:

1 собираются хеши приложений в базу

2 выбираются самые массовые приложения

3 идентифицируют принадлежность

4 руками ставят продукты и апрувят контрольные суммы

- вполне естественный ход

в чем здесь секрет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

zanuda, кто-то говорил о секрете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
патентованный алгоритм видится таким...

zanuda, не путайте сбор статистической информации и анализ файлов при определении

степени доверия к ним.

Термин "запатентованные алгоритмы" в сообщении #20 относится к методам и последовательности действий,

используемых во время анализа файлов для определения степени доверия к ним -

"Далее, при помощи специальных запатентованных алгоритмов, в Symantec определяют

степень доверия к файлам и назначают для них Community Trusted рейтинг."

Распространенность приложения не означает автоматического назначения определенной

степени доверия. Степень доверия будет определена только после анализа всех входящих

в состав приложения файлов, а также действий, предпринимаемых этими файлами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×