Перейти к содержанию
Ummitium

NIS 2010 вопросы и неясности...

Recommended Posts

Ummitium

У меня возникли вопросы по поводу работы NIS 2010 и в этой теме я хочу получить разъяснения от опытных пользователей. Также, наверное, будет неплохо, если и другие пользователи будут задавать свои вопросы по работе продукта NIS 2010 в этой теме.

Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

nis5.jpg

И вообще, при ее отключении не работает только сигнатурный поиск вредоносных программ?

Norton File Insight удаляет некоторые невредоносные утилиты с пометкой Trojan-Horse, я их восстанавливаю, а он опять удаляет.

NIS детектит их сигнатурно или как?

NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом (Quick Unpack, Filemon, Regmon, а также HideToolz (даже если исполняемый HT файл внесен в исключения автоматической защиты - загрузка драйвера-руткита не препятствуется))

Как настроить NIS 2010 таким образом, чтобы он все-таки хотябы предупреждал о том, что та или иная программа пытается загрузить свой драйвер: Запретить/Разрешить?

Спасибо.

post-6265-1253341357.jpg

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Если у кого-то возникает проблема (как правило - на Windows Vista или Windows 7), что после восстановления из Карантина файла, помещенного туда с помощью SONAR, при исключении его этот файл удаляется снова - то для исправления этого уже выпущен Фикс:

Описание.

Фикс.

По поводу недоступности пункта меню: какая ОС, как выполнялась установка: поверх или с нуля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

ОС? Скриншот Главного Окна?

Norton File Insight удаляет некоторые невредоносные утилиты с пометкой Trojan-Horse, я их восстанавливаю, а он опять удаляет.

Norton File Insight - это информационная панель, удаляет АВ сканер реального времени, нужно добавить папку где у вас лежат "средства взлома ПО" в исключения, это возможно сделать прямо в разделе Карантин при восстановлении файла

NIS детектит их сигнатурно или как?

Сигнатурно по сигнатуре класса Trojan Horse

Как настроить NIS 2010 таким образом, чтобы он все-таки хотябы предупреждал о том, что та или иная программа пытается загрузить свой драйвер: Запретить/Разрешить?

Такой возможности нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Такой возможности нет

А если это вредоносное ПО пытается сделать (внедрить свой драйвер)? Получается, что если в сигнатурах такого вируса нет, а Сонар "проспит" такое внедрение - все? Драйвер загружен и может делать в системе что угодно? Или, даже если драйвер будет внедрен, Сонар будет отслеживать его поведение и "прибивать" когда он будет делать какое-нибудь непотребство?

А если нет, то, получается, внедряй свои злые драйверы и делай что хочешь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А если это вредоносное ПО пытается сделать (внедрить свой драйвер)? Получается, что если в сигнатурах такого вируса нет, а Сонар "проспит" такое внедрение - все? Драйвер загружен и может делать в системе что угодно? Или, даже если драйвер будет внедрен, Сонар будет отслеживать его поведение и "прибивать" когда он будет делать какое-нибудь непотребство?

А если нет, то, получается, внедряй свои злые драйверы и делай что хочешь?

сначала нужно внедрить :) и 100% защиту никто не обещает, ни один антивирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
сначала нужно внедрить :) и 100% защиту никто не обещает, ни один антивирус

Про 100% это я понимаю. Это я даже на данный момент и не требую (кстати, только сейчас нашел на av-comparatives августовский тест. Нортон там - МОЛОДЦОМ показал себя - ПОЗДРАВЛЯЮ! http://www.av-comparatives.org/images/stor...c_report23.pdf).

Но что значит: "сначала нужно внедрить"?. Кто ж помешает, если Norton по этому поводу не побеспокоится?

Оно, конечно, под ограниченной учетной записью вряд ли, а ну как под админом кто будет работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Но что значит: "сначала нужно внедрить"?. Кто ж помешает, если Norton по этому поводу не побеспокоится?

deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Ай, спасибо большое за пояснение. Стало существенно спокойнее.

А сможете отреагировать на вопросы здесь: http://www.anti-malware.ru/forum/index.php?showtopic=9546 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Драйвер AVZ даёт внедрить?

Если да, AVZ в белом списке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Vadim Fedorov, я же написал в первом сообщении:

NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом.
Скорее всего Кирилл имел в виду отсутствие возможности контролировать загрузку драйвера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом.

А почему Norton 2010 должен препятствовать легитимным программам в установке драйвера ?

Блокируется активность вредоносных программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Драйвер AVZ даёт внедрить?

Если да, AVZ в белом списке?

AVZ прибивается Сонаром как только пытаешься его запустить. При обычном сканировании ничего зловредного в AVZ Нортон не находит, что правильно.

На данный момент, если проверить AVZ в Norton Insight, то написано, что "есть указания на то, что этот файл заслуживает доверия".

У меня AVZ запускается, потому что я нажал в Нортон Инсайт "Считать надежным", однако и после этого при запуске появилось предупреждение, что, мол, файл выполняет подозрительные действия и есть выбор - прекратить или продолжить работу его. После того, как я нажал продолжить работу - он стал запускаться без дальнейших вопросов (и после перезагрузок и т.д.). В журнале Сонара написано, что файл выполняет подозрительное действие, вы выбрали Разрешить.

Кстати, у меня в связи с этим вопрос к специалистам по Нортону: а как обратно вернуть состояние, при котором Сонар снова будет подозревать подозрительные действия (пусть, к примеру, того же AVZ)?

Ну, ведь всяко же бывает, мало ли, кто-то случайно нажал разрешить, а потом спохватился, ан нет - подозрительными эти действа уже не будут считаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

nis5.jpg

Спасибо.

Для решения проблемы достаточно из учётки с правами администратора разрешить в настройках антивируса изменение параметров с неадминистративными правами. (Настройки-прочие параметры).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Для решения проблемы достаточно из учётки с правами администратора разрешить в настройках антивируса изменение параметров с неадминистративными правами. (Настройки-прочие параметры).

После установки продукта это строка была доступна, потом были манипуляции с выключением/включением защиты... Учетка у меня и так одна и всегда была с правами администратора. Сейчас не могу воспроизвести, потому что переустановил NIS и не могу обновить продукт через Live Update:

nis.jpg

Я ничего не выдумываю, реально не получается обновиться, когда перед прошлым удалением выбрал сохранение всех нстроек NIS.

post-6265-1253432351_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я ничего не выдумываю, реально не получается обновиться, когда перед прошлым удалением выбрал сохранение всех нстроек NIS.

Подождите немного, бывает после первой установки что через некоторое время все обновляется без проблем, сам с этим никогда не сталкивался, но видимо такое бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Удалил полностью NIS без сохранения настроек и установил заново - обновился без проблем.

Вопрос насчет сетевого экрана. Все приложения выходят в сеть без запроса, утилита для тестирования фаерволов с 2ip.ru успешно выходит в сеть. Как настроить NIS так, чтобы он выдавал запрос на выход в сеть? Есть такая возможность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ummitium, по умолчанию ручной режим файервола отключен, включается через Компьютер: Параметры - Параметры сети - Интеллектуальный брандмауэр - дополнительные параметры - настроить. Пункт "Автоматическое управление программами" ставим в положение "выкл".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

--->

6bfb5a3fa03b.png

При желании, можно также перевести в положение "ON" пункт меню "Advanced Events Monitoring" -

появится возможность самостоятельного контроля дополнительных параметров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Но потом не забывать включать "тихий" режим при запуске полноэкранных приложений, иначе будут проблемы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Спасибо! Разобрался с сетевым экраном. Вот еще вопрос:

С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts. Как включить контроль системных файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Спасибо! Разобрался с сетевым экраном. Вот еще вопрос:

С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts. Как включить контроль системных файлов?

Никак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts.

А о каких нелегитимных программах идет речь ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А о каких нелегитимных программах идет речь ?

наверное речь идет об этом http://antivirus.about.com/od/securitytips/ss/hosts.htm (как пример)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
После установки продукта это строка была доступна, потом были манипуляции с выключением/включением защиты...

Что за манипуляции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

При обновлении из файлика "virus definitions" скачанного с сайта Symantec, NIS 2010 не правильно проставляет дату обновления. NIS ставит - как будто обновление и сигнатуры скачаны только что. Причём интернет выключен, т.е. pulse update тут не при чём.

Так же приходится тащить почти всю антивирусную базу при полной перестановке NIS.

4.54 МБ

2.42 МБ

45.84 МБ <---- вот оно virus definitions. Хотя с сайта Symantec сигнатуры скачаны файликом 2 дня назад.

Почему бы не внедрять инкементные обновления именно тут??? Для низкоскоростных, узких линий это было бы как нельзя лучше....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
    • vesorv
      1. На жесткий диск загружаются дистрибутивы антивирусов и "свежие" вредоносные программы (только те, которые не обнаруживает сканер антивируса, то есть кнопочка эта в антивирусе называется "выборочная проверка файлов"), работающие без интернета. 2. На операционной системе запускают вредоносные программы (антивирус не установлен) и убеждаются в том, что они работают. 3. На чистую операционную систему из дистрибутива устанавливают антивирус, отключают интернет, и запускают вредоносные программы. Записывают все действия антивируса - сколько угроз обнаружил, когда обнаружил, какой компонент обнаружил, проводил ли антивирус лечение, что изменилось в системе после лечения. Потом ставят другой антивирус на чистую систему и проводят те же операции.  Данный тест покажет способность антивирусов защищать от угроз и лечить систему без использования облака. Насколько данный тест отображает реальные возможности (то есть с применением облака) защиты антивирусов от новейших угроз и лечения системы от действий вредоносных программ ? Раньше на форуме было относительно много людей, которые обсуждали интерестные темы (в том числе эксперты). Куда ушли эти люди, где они сейчас общаются, на каких интернет-площадках ?
    • Deniis
×