Перейти к содержанию
deviss

Антируткит в продуктах Симантек

Recommended Posts

deviss

У меня вопрос насчет антируткита, имеющегося в продуктах симантек, в частности, NIS 2010. На сайте заявлена защита от руткитов, что, естественно, подразумевает наличие антируткита. Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы или в процессах, вероятно он как-то "зашит" в основной процесс симантека). И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще? Конечно, я не обладаю специальными познаниями в области антивирусной защиты, но мне представляется, что работа руткитов несколько отлична от работы "простых" вирусов, и, соответственно, и методика борьбы с ними также отличается. Достаточно ли здесь лишь сигнатурного анализа и/или анализа поведения (на мой неискушенный взгляд, отлично реализованного в Сонаре)?

P.S. Решил открыть новую тему, поскольку поиск по форуму в ветке Симантека не дал искомого результата (а может не так искал и этот или подобный вопрос уже обсуждался здесь?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...отдельно обозначенного антируткита в том же НИС не представлено (не в смысле, что антируткита нет, а в смысле, что его не видно нигде в настройках программы...).

Вы невнимательно изучили раздел настроек:

--->

2df8d61a3541t.jpg

И все же, есть какие-то подробности работы этого антируткита? по какому он расписанию работает - вместе с быстрым/полным сканом? Подразумевается ли его участие в т.н. "ранней загрузке" или что-то еще?

Модуль, отвечающий за противодействие Rootkits, задействуется во всех упомянутых Вами случаях -

и при "Quick Scan", и при "Full System Scan", и при активации функции "Early-Load".

Помимо этого, данный модуль находится в непосредственном взаимодействии с модулем SONAR 2,

а также рядом других модулей, которые работают в виде единой взаимосвязанной системы.

Детальный алгоритм работы данной системы, либо ее отдельных модулей по вполне понятным причинам

(из соображений безопасности, коммерческой тайны, и т.д.) не подлежит огласке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Вы невнимательно изучили раздел настроек:

какой клёвый интерфейс, а есть где нибудь скрины и других окон антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
kvit.v, см. здесь

и здесь

Однако, насколько я понимаю, отдельно обозначенного антируткита в том же НИС не представлено

Отдельно он не представлен, так как он полностью интегрирован в сканер Реального времени, сделать это бесшовно позволило то, что Руткит технология Symantec базируется на уникальной технологии Veritas (ранее купленного Symantec) - VxMS (Veritas Mapping Service), ранее использовавшейся только в продуктах для резервного копирования и позволяющей получать доступ к диску на низком уровне:

http://en.wikipedia.org/wiki/Rootkit

Veritas VxMS (Veritas Mapping Service) позволяет антивирусным сканерам обходить Windows File System API, которые управляются операционной системой и, следовательно, уязвимы для манипуляций со стороны руткита. VxMS напрямую обращается на низком уровне к файлам на Windows NT File System. В сущности, VxMS может сопоставлять данные, сравнивать их со структурой файлов Windows, и изолировать какие-либо обнаруженные несоответствия. Технология VxMS впервые появилась в продуктах Norton компании Symantec в 2007 году и сейчас доступна также в продуктах Symantec Endpoint Protection 11.x
  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Внесу и свои 10 копеек иллюстрацией параметров, где сокрыт антируткит, т.к. был представлен скриншот только англоязычного интерфейса. Для наглядности - теперь и по-русски.

fdb67863049ft.jpg 10371a4ac60at.jpg

Ай-яй-яй, позор на мою голову! :unsure: Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента т.с. в режиме реального времени (где он там копается и чего видит :-)) нет, но в целом ответ уважаемого Кирилла Керценбаума меня устроил. Спасибо всем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Слона-то я и не приметил. Спасибо, что ткнули носом, хотя это только включение самой функции, а вот каких-либо дополнительных настроек и возможности оценить работу данного инструмента...

deviss

Ну что Вы, я и не думал даже про это. И соответствующего обращения к Вам - вставить ник - в посте не было. Эту ведь тему придут и другие люди читать, зададутся аналогичным вопросом, посмотрят, прочитают, найдут, оценят. Только и всего.

А подробно раскрыть работу технологии – это совсем другое. Даже, если и будет когда-то опубликовано её описание, то оно же всё равно будет подано в несколько урезанном виде. Всех секретов работы разработчикам раскрывать неразумно, ведь кое-кто может сотворить для них "некое противодействие".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
    • Mawa27
      Здравствуйте)Я довольно часто заказываю букеты, так как живу далеко от своих родственников и единственным вариантом их поздравить остается букет на заказ. Чаще всего пользуюсь фирмой https://kvitochka.kiev.ua/ .У них очень оригинальные и красивые букеты, особенно люблю те, что в коробках. Смотрятся очень стильно и при этом красиво.Так что рекомендую вам)
    • Sawa26
      Где заказать шикарный букет цветов?
    • Mawa27
      Компания ProHoster запускает линейку дешевых выделенных серверов LC Intel  от 26,7$. Рекордно низкая стоимость обеспечит Вам максимальный доход. Размещение - Украина. Процессоры Intel и Intel Core. Есть возможность установить ОС Windows server 2008 R2 и Windows server 2012 R2. Доступ к серверу через DCI панель.     Конфигурации серверов:   Тариф LC Intel G1610 по цене $26.7/месяц + Установочная цена 12$ 4Gb ОЗУ 500GB Intel G1610 CPU or similar 1 IPv4    Тариф LC Intel Core i5 по цене $34.7/месяц + Установочная цена 12$ 8Gb ОЗУ 2x500GB Intel i5 CPU or similar 1 IPv4   Тариф LC Intel Core i7 по цене $40/месяц + Установочная цена 12$ 16Gb ОЗУ 2x500GB Intel i7 CPU or similar 1 IPv4   Подробнее о тарифах, а также информацию о других услугах можете найти на нашем сайте
×