Перейти к содержанию
katbert

Symantec Antivirus Corporate Edition

Recommended Posts

katbert

На Windows 2003 SP2 стоит антивирусный сервер 10.1.8.8000

Функция Risk tracer по умолчанию включена, однако при записи в сетевую папку EICAR в журнале исправно фиксируется пользователь, из-под которого подключались к папке, а в поле "компьютер" записан сам сервер

При отключенной Risk Tracer пользователь тоже фиксируется

Пробовал закидывать EICAR с WinXP SP2, Vista SP1, Win2003 SP1 - все без уставленного клиента SAV

Пробовал изменять период опроса подключений с 1000 до 100, затем до 50 мс - не помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Cудя по этой - статье

В журнале должны бить поля Source Computer и Name Source Computer IP

А я таких не наблюдаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

а в поле "компьютер" записан сам сервер

так и должно быть - источник, давший предупреждение. Собственно, сам сервер там и значится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert
Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

Пользователь определяется правильно, и это происходит независимо от того, включена ли фича Risk Tracer

Судя по приведенному мною постом выше описанию, эта технология должна показать именно имя компьютер-источника заразы

А она не показывает - см. скрин-шот

risk_tracer.jpg

post-359-1249013032_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Я могу ошибаться, но не зависит ли это определение от опции "Network Scanning options"? Я не знаю тонкого построения компонентов SAV и их взаимосвязей. Но по идее, в Вашем случае Risk tracer работает четко с файловым антивирусом. То есть, SAV видит что от конкретного пользователя лежит файл с сигнатурой - и это отображает в лог-файле. Собственно, пользователь - из владельцев (сразу скажу по опыту, что с Sality - это бесполезно :) ). Из этого можно судить - что для определения на уровне сети (а там, и только там можно взять IP и имя компа-источника) - нужна проверка на уровне сети. Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert
Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Оно включено по умолчанию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
katbert

Еще нашел в документации:

Информацию программы Threat Tracer можно просмотреть в окне диалога

«Свойства угрозы». Она доступна только для тех угроз, которые связаны с

заражением файлов.

То есть если речь идет именно о ЗАРАЖЕНИИ существующих файлов - тогда фича теоретически должна сработать

А если я сразу закидываю eicar в сетевую папку - оно его не видит

Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Если вирус закинут под учеткой пользователя - будет значится имя пользователя в логах. Источником будет тот SAV, который нашел этот вирус. Если вирус детектится постфактум, в ходе плановой полной проверки - то, в большинстве случаев, от пользователя system.

Это Вы хотели услышать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
    • Gabrielmop
      Какое абстрактное мышление
      filmkont.online
    • Richardcrere
      Реально, https://intervision.ua/videonablyudenie - видеонаблюдение поможет в данной ситуации!
      Цифровые камеры передают четкую детализированную картинку. Чем выше качество изображения, тем «тяжелее» потоковое видео. В этом случае поможет видеорегистратор с емким жестким диском. Для удаленного контроля лучше использовать цифровые IP-видеокамеры, которые шифруют и сжимают сигнал. К тому же, многие IP-модели запитываются по витой паре или оптоволокну посредством технологии PoE. Благодаря этому системами IP-видеонаблюдения оснащают строящиеся объекты.
      https://intervision.ua/videonabludenie/lte-camera - 4g видеокамера
      Как установить видеонаблюдение для дома
      Установка и настройка аппаратуры происходит в несколько этапов. Сначала нужно подобрать и установить видеокамеры, записывающее устройство, а также обеспечить передачу сигнала и постоянное питание. Обратите внимание: проводное подключение требует прокладки кабелей для соединения компонентов. Для этого стоит вызвать мастера.
    • PR55.RP55
      В uVS есть возможность добавлять в базу проверенных: IPL; MBR и т.д. т.е. программа обрабатывает данные и преобразует их в SHA1 Аналогичным образом можно обработать записи: WMI ( и все стандартные\проверенные записи добавить в базу проверенных) Возможно, что-то ещё можно обработать аналогичным образом.    
×