Перейти к содержанию
Кирилл Керценбаум

Norton 2010

Recommended Posts

deviss
По функционалу File Insight: когда закачивал сегодня утилиту с сайта Comodo для проверки файрвола (CLT) - файл загрузился. Когда его начал распаковывать - появилось окно Nortona, где он мне рассказал, что мол файл этот мало кто загружал и вообще он какой-то нехороший и потому я его заблокировал.

Вопрос: а разве файл инсайт не должен был ДО загрузки его на компьютер попытаться остановить? (ну, там, в кеше поймать хотя бы).

В принципе, я понимаю, что свою функцию Нортон выполнил, но все же хотелось бы уточнить этот вопрос.

Да, кстати, использовались Maxthon и Opera. Или эта функция более расчитана на работу с IE и FireFox?

Простите, попутал малость. Реакция на файл была действительно от File Insight , однако мой вопрос, скорее, относится к Download Insight. Оно не сработало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Еще вопрос: а файлы, которые использовали не много людей ("Fewer then 100 user" как написано в подробностях) они автоматом значатся опасными?

Насколько я понял, когда попадаются неизвестные Norton файлы, не имеющие вообще оценки - там можно руками нажать на пункт "Сделать доверенным" (если я правильно понимаю слова Trust Now), но в некоторых случаях такой возможности нет. я, конечно, не собираюсь пытаться делать Доверенными зловреды, но в каких-то ситуациях возможны такие конфликты с самописным ПО, которое по определению не может юзать все на свете человечество, потому что писалось оно для небольшой конторы.

Простите, попутал малость. Реакция на файл была действительно от File Insight , однако мой вопрос, скорее, относится к Download Insight. Оно не сработало?

Так, на сайте вроде нашел ответ про Download Insight: Download Insight works both on Internet Explorer 6.0 and above and Firefox 3.0 and above.

А планируется ли поддержка Opera? Понимаю, что за рубежом этот браузер малопопулярен, однако есть мнение, что в России это не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Кирилл Керценбаум

Vadim Fedorov

вы могли бы прокомментировать вот это http://kltest.org.ru/viewtopic.php?f=19&am...tart=540#p14834 ? в чем там подвох?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
вы могли бы прокомментировать вот это http://kltest.org.ru/viewtopic.php?f=19&am...tart=540#p14834 ? в чем там подвох?

в том числе в заинтересованности тестировщика в определенном исходе, не воспринимайте то что делает это не вполне адекватный человек всерьез

А планируется ли поддержка Opera? Понимаю, что за рубежом этот браузер малопопулярен, однако есть мнение, что в России это не так.

Если какой-либо браузер будет популярен хотя бы более 10%, то поддержка будет точно, однако пока такой порог никто кроме IE и FireFox не перешел, к сожалению, но это так

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Кто-то, как-то, что-то сделал... и Вы ему верите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

В журналах имеется раздел Norton Product Tamper Protection. Насколько я понял, это журнал событий, связанный с работой модуля самозащиты продукта. В данном журнале имеются записи в разделе Activity вида Unauthorized Access Logged (Access Thread data), в разделе Status написано Logged, в разделе Recommended Action - No Action Required.

А как-то контролировать те самые Recommended Action возможно? Или Norton САМ знает, что для него опасно/неопасно и принимает решение в соответствии с этим своим внутренним знанием?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
А как-то контролировать те самые Recommended Action возможно? Или Norton САМ знает, что для него опасно/неопасно и принимает решение в соответствии с этим своим внутренним знанием?

Этот процесс автоматизирован, при попытке выключения продукта - он сработает, при подозрительных действиях - будет лишь мониторить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
в том числе в заинтересованности тестировщика в определенном исходе, не воспринимайте то что делает это не вполне адекватный человек всерьез.

То есть, видео - подделка или минимальные настройки NIS?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
В журналах имеется раздел Norton Product Tamper Protection. Насколько я понял, это журнал событий, связанный с работой модуля самозащиты продукта. В данном журнале имеются записи в разделе Activity вида Unauthorized Access Logged (Access Thread data)...

В продуктах Norton 2010 был внесен ряд усовершенствований в Tamper Protection, поэтому подобные записи

в журналах событий будут появляться чаще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
То есть, видео - подделка или минимальные настройки NIS?

Создание искусственных условий, чтобы результат теста был нужным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
Создание искусственных условий, чтобы результат теста был нужным.

В чем заключается эта искуственность условий? NIS установлен/настроен неправильно? Флэшка неправильно подключена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
В чем заключается эта искуственность условий? NIS установлен/настроен неправильно? Флэшка неправильно подключена?

можно линк на это видео в личку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Компания Symantec резко изменить тактику защиты от кибератак - вплоть до перехода к нападению. В связи с этим, в новую версию Norton Internet Security, которая будет представлена сегодня, встроена функция по сбору сведений о попытках атаковать компьютеры пользователей и отправке этих данных в правоохранительные органы...

Данный функционал будет включаться по желанию пользователей Norton Internet Security 2010. Технология, получившая название Autopsy, ставит подозрительное ПО, загружающееся на компьютер, на карантин и выдаёт пользователю предупреждение о том, что это ПО пришло из "неожиданного места". Сервис Norton Community Watch, также дебютирующий в версии 2010, собирает эти данные и отсылает в полицию...

http://www.securitylab.ru/news/384938.php

Можно ли получить пояснение по данному вопросу?

А оно уже реализовано? А где оно включается/выключается?

А можно ли будет отключить данную функцию без ущерба для защиты системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...Можно ли получить пояснение по данному вопросу?

А оно уже реализовано? А где оно включается/выключается?

А можно ли будет отключить данную функцию без ущерба для защиты системы?

deviss, Вы можете найти ответы на Ваши вопросы, ознакомившись со статьей "Задействование пользователей в поимке хакеров".

Иллюстрации к статье:

b2a1bc7a36b8t.jpg*58f1d44e4f6et.jpg*e84e05acbf5bt.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Еще вопрос: а файлы, которые использовали не много людей ("Fewer then 100 user" как написано в подробностях) они автоматом значатся опасными?

Насколько я понял, когда попадаются неизвестные Norton файлы, не имеющие вообще оценки - там можно руками нажать на пункт "Сделать доверенным" (если я правильно понимаю слова Trust Now), но в некоторых случаях такой возможности нет. я, конечно, не собираюсь пытаться делать Доверенными зловреды, но в каких-то ситуациях возможны такие конфликты с самописным ПО, которое по определению не может юзать все на свете человечество, потому что писалось оно для небольшой конторы.

Так, на сайте вроде нашел ответ про Download Insight: Download Insight works both on Internet Explorer 6.0 and above and Firefox 3.0 and above.

А планируется ли поддержка Opera? Понимаю, что за рубежом этот браузер малопопулярен, однако есть мнение, что в России это не так.

Снова про Insight (и теперь еще про Сонар).

Скачал утилиту AVZ.

Сонар прибил ее.

восстанавливаю из карантина, оставляю галочку внести в исключения.

Зашел через application ratings - нажал trust now.

Сонар снова прибивает файл. Оставил его пока лежать в карантине.

Вопросы:

1. Когда при восстановлении из карантина галочку оставляю - внести в исключения - на Сонар не действует это?

2. Сколько пользователей должны попользоваться файлом безопасно, чтобы файл стал считаться доверенным?

2.1. Или надо файл отправить в лабораторию Симантек? (Однако в опциях в карантине отсутствует пункт Submit to Symantec и именно на этом файле, тогда как на некоторых других файлах - реальных вирусах такой пункт в меню есть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Скачал утилиту AVZ.

Сонар прибил ее.

Подобное программное обеспечение (Антивирусная утилита AVZ, etc.) рекомендуется запускать при отключенном

антивирусном продукте, установленном на компьютере пользователя для обеспечения постоянной защиты ПК.

Сколько пользователей должны попользоваться файлом безопасно, чтобы файл стал считаться доверенным?

Ознакомьтесь, пожалуйста, со следующими сообщениями:

http://www.anti-malware.ru/forum/index.php...ost&p=68172

http://www.anti-malware.ru/forum/index.php...ost&p=69311

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Поздравляю всех сотрудников Symantec и поклонников продукции этого вендора с релизом! Новая линейка очень нравится, обязательно потестирую NIS 2010 у себя дома :)

Никто не хочет по горячим следам описать впечатления о новинках в блогах на нашем сайте? ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Снова про Insight (и теперь еще про Сонар).

Скачал утилиту AVZ.

Сонар прибил ее.

AVZ устанавливает драйверы для своей работы... естественно подобные действия очень подозрительны.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Globus291

Здравствуйте.Пожалуйста,проконсультируйте по следующему вопросу.

Установлен Norton AV 2009(лицензия).Узнав о выходе новой версии сразу хотел обновить.Через Norton Account проверил свою версию,но Norton Update Center сообщил,что установлена самая последняя версия.В связи с этим вопрос.

Связано ли это с тем что русская версия еще не вышла или возможны какие- то другие причины?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Связано ли это с тем что русская версия еще не вышла или возможны какие- то другие причины?

Именно так, если переключите язык Norton Update Center на английский, то увидите уведомление о новой версии. Как только русская версия появится (думаю в течение 2 недель) - и Вы увидите обновление о новой версии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Подобное программное обеспечение (Антивирусная утилита AVZ, etc.) рекомендуется запускать при отключенном

антивирусном продукте, установленном на компьютере пользователя для обеспечения постоянной защиты ПК.

Ознакомьтесь, пожалуйста, со следующими сообщениями:

http://www.anti-malware.ru/forum/index.php...ost&p=68172

http://www.anti-malware.ru/forum/index.php...ost&p=69311

Про Insight достаточно подробно, доступно, понятно. Благодарю.

Однако по-прежнему неясна ситуация с тем, что когда я вытаскиваю этот файл из карантина - там же целая специальная галочка стоит - добавить в исключения и более не сканировать.

Для Сонара исключения созданные пользователем не помеха?

P.S. А установка драйвера AVZ - не будет являться помехой для дальнейшей работы Norton? (тем паче, что его еще установить надо - специально, через меню в утилите, а ведь я просто пытался запустить этот файл). Понимаю, что не совсем в тему вопрос, но так - для интереса. Если кто ответит, буду признателен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
P.S. А установка драйвера AVZ - не будет являться помехой для дальнейшей работы Norton? (тем паче, что его еще установить надо - специально, через меню в утилите, а ведь я просто пытался запустить этот файл). Понимаю, что не совсем в тему вопрос, но так - для интереса. Если кто ответит, буду признателен.

Через меню устанавливается драйвер для расширенного мониторинга процессов, а другие драйвера устанавливаются сами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Всем здравствуйте.

Продолжаю задавать разные вопросы (надеюсь на понимание и терпение участников) (и ответы тоже).

При загрузке ОС Windows есть возможность выбрать загрузку в т.н. безопасном режиме, когда множество запускаемых в обычном режиме служб и драйверов не запускается.

Как правило это сильно полезно в ситуациях, когда неудачно было установлено какое-то ПО, некорректно работающее в обычном режиме и в безопасном режиме его проще деинсталлировать (хотя бывают и исключения), или в таком режиме проще избавиться от вирусов.

Как к безопасному режиму относятся продукты Симантек? В том смысле, что, если они в безопасном режиме не запускаются, значит ли это, что какой-нибудь зловред может "воспользоваться ситуацией" и навредить системе, пока та не контролируется защитными системами (а есть такие вирусы?)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

А вот что еще что хотелось бы понять. Скачивая пробную версию NIS 2010 получил одну ссылку безотносительно к типу используемой операционной системы (ну, вроде, выберите x86 или x64). Сам я работаю на Windows 7 x64. Но поскольку 32-битные программы могут работать на 64 битных системах, вопрос: а насколько вообще это критично/актуально, написан ли продукт кокнретно под 32-бит или под 64-бит. систему? Не сказывается ли это каким-либо образом на некоторых защитных свойствах NIS?

Читал в некоторых обсуждениях на форумах, что х64 системы пока еще чуть более безопасные, чем 32 битные. Так ли это? Основаны ли подобного рода размышления на реальных фактах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

У меня такой вопрос: Будет ли SONAR 2 в отдельном виде? Ну типо Norton Antibot 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×