Перейти к содержанию
  • Сообщения

    • PR55.RP55
      Если в каталоге один тип вируса ( или его разновидности ) скажем всего пять файлов тогда достаточно будет одной настройки на все пять файлов. ( в пять раз быстрее ) А если не удаётся путём увеличения длинны сигнатуры избежать ложных срабатываний ? Это больше технический вопрос - алгоритм работы uVS.  Сама идея стоящая. Все сигнатуры получают имя\дату. Можно ориентироваться по принципу: если имя угрозы это каталог, значит нужно переименовать ( при аналогичном\повторном случае заражения ), или сортировка по дате.
    • santy
      смысл в том, что приходится настраивать длину активной части сигнатуры, а так же ее параметры (выгрузки из памяти, удаления  ссылок, и удаления тела). . а имя каталога, которым ограничивается поле деятельности сигнатуры тоже потом добавлять и хранить в сигнатуре? а у него и так есть свобода выбора: удалять через сигнатуру, удалить просто файл или вместе с ссылкой, удалить файл через удаление исполняемых в данном каталоге.... если потом возвращаться и править, перенастраивать, и переименовать сигнатуры, то где же здесь автоматизация. потом еще надо найти эту сигнатуру с обезличенным именем в списке сигнатур.
    • PR55.RP55
      Оператор проверяет файлы > файлы получают соответствующий вердикт по результату V.T. > тип угрозы пишется в имя сигнатуры > сигнатура всех файлов каталога добавляется в скрипт и вирусную базу. Если в каталоге есть файл подписанный известной ЭЦП  - файл пропускается. Можно одной командой добавить и 10 и 20 сигнатур. Мы же за автоматизацию. Какой смысл добавлять по одной сигнатуре за раз ? Ложные срабатывания, как и раньше в ручную обрабатывает оператор. Или, как я уже предлагал добавить команду: " Ограничить действие сигнатуры данным каталогом " тогда любое срабатывание на файл вне каталога - ложное. А для чего тогда сигнатуры. У оператора должен быть выбор - свобода действия. А если файл не проверен на V.T., или нет доступа к сети. Оператор может позже в свободное время вернуться к сигнатуре и переименовать её. ( что имеет смысл только при аналогичном\повторном случае ) т.е. пролечили РС, на другом РС тот же вирус - пишем верное наименование угрозы.
    • santy
      если лень добавить сигнатуры, можно и через deldir зачистить. а название сигнатуры должно иметь смысл, соответствующий угрозе, а не от каталога.
    • PR55.RP55
      Интегрировать в меню команду: " Добавить сигнатуры всех файлов каталога в скрипт и вирусную базу. " Примерно для таких случаев: https://forum.esetnod32.ru/messages/forum3/topic15563/message107797/#message107797 Например есть каталог и в нём 10-20 файлов. Добавлять поочерёдно сигнатуры долго... Удалять по одному файлу - без сигнатур, если это вирус удаление может быть не эффективно. Название сигнатуры _автоматически по имени каталога + дата добавления сигнатуры. Если есть ложное срабатывание, или файл подписан известной ЭЦП  - файл пропускается. * Для всех каталогов _кроме системных.
×