katbert

Symantec Antivirus Corporate Edition

В этой теме 8 сообщений

На Windows 2003 SP2 стоит антивирусный сервер 10.1.8.8000

Функция Risk tracer по умолчанию включена, однако при записи в сетевую папку EICAR в журнале исправно фиксируется пользователь, из-под которого подключались к папке, а в поле "компьютер" записан сам сервер

При отключенной Risk Tracer пользователь тоже фиксируется

Пробовал закидывать EICAR с WinXP SP2, Vista SP1, Win2003 SP1 - все без уставленного клиента SAV

Пробовал изменять период опроса подключений с 1000 до 100, затем до 50 мс - не помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Cудя по этой - статье

В журнале должны бить поля Source Computer и Name Source Computer IP

А я таких не наблюдаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

а в поле "компьютер" записан сам сервер

так и должно быть - источник, давший предупреждение. Собственно, сам сервер там и значится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы пытаетесь отследить этот компьютер? Если записывается пользователь - то в чем проблемы? Или от system идут сообщения?

Немного непонятна преследуемая Вами цель.

Пользователь определяется правильно, и это происходит независимо от того, включена ли фича Risk Tracer

Судя по приведенному мною постом выше описанию, эта технология должна показать именно имя компьютер-источника заразы

А она не показывает - см. скрин-шот

risk_tracer.jpg

post-359-1249013032_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я могу ошибаться, но не зависит ли это определение от опции "Network Scanning options"? Я не знаю тонкого построения компонентов SAV и их взаимосвязей. Но по идее, в Вашем случае Risk tracer работает четко с файловым антивирусом. То есть, SAV видит что от конкретного пользователя лежит файл с сигнатурой - и это отображает в лог-файле. Собственно, пользователь - из владельцев (сразу скажу по опыту, что с Sality - это бесполезно :) ). Из этого можно судить - что для определения на уровне сети (а там, и только там можно взять IP и имя компа-источника) - нужна проверка на уровне сети. Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Попробуйте активировать функцию. Предупрежу сразу, что она значительно тормозила работу с файл-серверами до версии 1.1.5.5000.

Оно включено по умолчанию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Еще нашел в документации:

Информацию программы Threat Tracer можно просмотреть в окне диалога

«Свойства угрозы». Она доступна только для тех угроз, которые связаны с

заражением файлов.

То есть если речь идет именно о ЗАРАЖЕНИИ существующих файлов - тогда фича теоретически должна сработать

А если я сразу закидываю eicar в сетевую папку - оно его не видит

Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но тогда останется неопознанным и вирус, кидающий свои exe-файлы во все доступные папки

Есть ли у кого возможность проверить это?

Если вирус закинут под учеткой пользователя - будет значится имя пользователя в логах. Источником будет тот SAV, который нашел этот вирус. Если вирус детектится постфактум, в ходе плановой полной проверки - то, в большинстве случаев, от пользователя system.

Это Вы хотели услышать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Pechalka
    • Pechalka
      А я впервые слышу, точнее читаю про существование такого телефона) А вообще замена экрана дело не такое уж и сложное, мне кажется в хорошем сервисе вполне произведут ремонт. Другой вопрос, сколько это стоить будет. Может проще новый телефон купить?
    • rustlakov
      Да собственно с ремонтом дисплея у телефонов вообще ни каких проблем не должно быть. Ремонт элементарный и исправить данную неисправность может любой сервисный центр. Главное наличие дисплея в сервисном центре именно для вашей модели телефона.
    • fafa
      А что это совсем за аппарат массунг? Как мне кажется, то любые аппараты совсем являются ремонтируемыми. А все зависит только от того в какую фирму понесете. Так, что все реально сделать в наше время, были бы деньги только.
    • fafa
      Если есть совсем мало места, то почему же не ставить. Если посмотреть, то ни какой вариант с ванной ни как не спасает нас, так как места займет она точно больше, в наше время это решает. Для моей квартиры в 60 квадратов так тем более.