[ОТВЕТИТЬ]
Опции темы
11.03.2008 08:56  
Vovantus
Цитата:
Сообщение от EugeneT
Не давно боролся с неким зверем KillAV. Зверек деактивировал нортона и нода, при из каталога с avz стирал avz4.exe (пришлось переименовывать). В общем выковырять из системы его удалось с помощью SpywareTerminator
.. видимо, этот звёрёк как раз и затачивался на вынос этих антивирусов.. вот поэтому я и пользую каспера! Самозащита у него крепкая.. Хотя, при желании, думаю и его можно вынести, ведь это не стену бетонную кулаком проломить, на программном уровне многое возможно зделать. Если есть защита, то её можно обойти, вопрос только в знаниях и в мотивации.
 
11.03.2008 11:21  
EugeneT
вот с virusinfo.info
Цитата:
Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
Так что ручной работы не избежать, никакой каспер не поможет. Поможет обрубание прав юзерам по самое не хочу и стойкие пароли на локального и доменного админов.
Вообще, для общего развития, вот эту темку рекомендую почитать -
Полно заразы которая, при наличии соотв. прав у юзера в контексте которого она выполняется, способна вынести почти любой антивирь.
 
12.03.2008 03:05  
Vovantus
EugeneT, ты предметно подошёл к вопросу Я про это и писал, что если есть программная зашита, то её мона проломить с помощью других программ, был бы мотив у программиста и знания. Но, полагаю, эта тема уже выходит за рамки обсуждаемой темы..
 
12.03.2008 07:56  
Mtirt
Как-то не соотносится у меня последняя фраза с тем, что было написано выше:
Цитата:
веришь в сказки? *05 ОС со всеми обновлениями + последняя версия антивируса + свежие антивирусные базы = у меня даже идеи не возникает проверить работоспособность антивиря. Я просто уверен на 100 % что он не может быть трояном! Это из области фантастики, чтобы современные версии признанных антивирусов работали и при этом не ловили вирусов (за исключением тех случаев, когда вирус ну уж совсем свежий). Другое дело, если ОС дырявая, а версия антивиря устарела. Вот в этом случае вполне возможна ситуация что он будет молчать при налиии свежих версий вирусов в ОС. Но опять-таки простые сигнатуры он всё равно будет отлавливать. Если не согласны - ткните меня носом в объективный анализ данного вопроса, основанный на практическом опыте.
Я думаю, что не стоило писать столь резко и беаппеляционно.
 
12.03.2008 12:03  
Vovantus
ну нафиг, я тему больше не развиваю.. когда женщины начинают цеплятся за слова, это плохой признак
 
12.03.2008 14:15  
Propil
Бывают случАи, когда компьютер ведет себя подозрительно, либо файл новый вызывает сомнения, а антивирус молчит...
Тогда я пользуюсь этим сервисом:

Отправляю туда файлик и он сканируется движками большинства антивирусов.
Ну и выдает ответ - хто это у вас ))
 
12.03.2008 15:16  
OlegON
Отсюда брал? ;)
https://olegon.ru/showthread.php?t=1437
На самом деле многие вирусы проскакивают и эту проверку, например пинчи новые и кое-какие уродцы... По скорости появления сигнатур в базе все таки Каспер лидер, но этого тормоза-параноика я себе не поставлю. У меня комп не только на антивирус работать должен...
 
13.03.2008 07:10  
Vovantus
Цитата:
Сообщение от OlegON
Отсюда брал? ;)
https://olegon.ru/showthread.php?t=1437
На самом деле многие вирусы проскакивают и эту проверку, например пинчи новые и кое-какие уродцы... По скорости появления сигнатур в базе все таки Каспер лидер, но этого тормоза-параноика я себе не поставлю. У меня комп не только на антивирус работать должен...
.. не могу с тобой согласиться.. но и сказать что каспер самый быстрый тоже не могу. У всех антивирусов один алгоритм работы - поиск вирусов ведётся на основе вирусных сигнатур. В этом они все одинаковы. Другое дело, что современные версии антивирей - это уже не просто программы для поиска и удаления вирусов. Это комбайны, которые выполняют разнообразные дополнительные функции. У каспера, особенно в версии KIS, дофига вспомогательных модулей для защиты компьютера. Если нафиг всё поотключать, то и работать он будет шустро. В любом случае скорость работы определяется настройками программы. А настроек у каспера дофига. Например, я отключил поиск вирусов в тех файлах, которые по определению не могут получить доступ к памяти. У меня та сигнатура, которую Олег привёл в начале топика, сохранённая в текстовом формате вообще не определяется как вирус.. тоже самое можно сказать про архивы. Зачем их проверять? Ведь при запуске любого файла из архива, он должен быть сначало сохранён на диске, иначе он никогда не получит доступ к памяти. Именно на этом месте антивирус его и отловит. И таких мелочей масса.. Понимая как функционирует антивирус совместно с ОС, можно чётко подстраивать защиту, не теряя при этом в скорости работы. Любой антивирус будет тормазить систему, потому что он работает и потребляет системные мощности. И выбор режимов скорость/безопасность всегда остаётся за пользователем. Это моё ИМХО.
 
13.03.2008 10:16  
OlegON
Не согласен с твоим ИМХО, у меня оно другое и касается того, что алгоритм и его реализация могут быть разными по оптимальности. И что Каспер при одинаковом функционале меньше глючит и тормозит, чем NOD ты меня не убедишь. И что текстовики не нужно проверять, ты меня тоже не убедишь. Там может быть код, который можно подгрузить безобидным лодером прямо в память и передать управление.
 
13.03.2008 10:45  
Vovantus
Цитата:
Сообщение от OlegON
Не согласен с твоим ИМХО, у меня оно другое и касается того, что алгоритм и его реализация могут быть разными по оптимальности. И что Каспер при одинаковом функционале меньше глючит и тормозит, чем NOD ты меня не убедишь. И что текстовики не нужно проверять, ты меня тоже не убедишь. Там может быть код, который можно подгрузить безобидным лодером прямо в память и передать управление.
.. возвращаемся к тому, что любою защиту можно пробить, правильно? А на практике я за 2007 год установил каспера более чем на 100 компьютеров. И единственная проблема за это время была, когда разрабы выпустили кривую версию антивирусных сигнатур и касперский глюканул из-за этого и просил дамп отправить.. исправили в течении нескольких часов, единственное что поплясать пришлось немного вычищая эти кривые сигнатуры.. Всё, головняков больше не было, вообще! Я к тому говорю, что бесполезно такие темы обсуждать. У каждого своё ИМХО основанное на личном опыте, а если нет своего мнения, так оно придёт, с опытом. Лично мне НОД не нравится, субективно конечно. Ловил проблемы с работой этого антивируса, вплоть до синего экрана. Согласен, что возможно дело не в нём, а в ОС, но какого хрена тогда разрабы не продумали варианты возможной несовместимости с ОС? Да потому что НОД на рынке всего несколько лет. Там ещё нет команды классных программистов, там нет таких финансовых вложений, как у каспера, следовательно нет мотивации сделать что-то действительно стоящее и превосходящее другие продукты. На выходе имеем сырой, глючный продукт, практически без возможности что-то настроить. Который возможно и сканирует быстрее, но в ущерб удобству и безопасности.
 
 


Опции темы



Часовой пояс GMT +3, время: 05:29.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.