[ОТВЕТИТЬ]
08.03.2008 18:04
OlegON
 
Создаем текстовичок, где пишем
Цитата:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
в первой же строке. Сохраняем... Если антивирусный монитор молчит, проверяем полученный файлик.
НОД32 однозначно прячет в карантин...
09.03.2008 02:47
Vovantus
 
Цитата:
OlegON Создаем текстовичок, где пишем

в первой же строке. Сохраняем... Если антивирусный монитор молчит, проверяем полученный файлик.
НОД32 однозначно прячет в карантин...
каспер отлавливает.. ещё бы он не отлавливал. Я похожей сигнатурой проверял антивирусы ещё лет 6 назад Пустая затея, они все её будут определять как тестовый вирус..
09.03.2008 09:40
Kryukov
 
DRWEB сказал H:\Users\Kryukov\Desktop\Новый текстовый документ.txt - инфицирован EICAR Test File (NOT a Virus!) и забил его ...
10.03.2008 13:20
OlegON
 
Это не пустая затея. Иногда вирус засандаливает антивирусу так, что выводит его из строя. Антивирус выглядит работающим, но не сообщает о вирусах и ничего не делает. Вот и проверка.
10.03.2008 14:18
Vovantus
 
Цитата:
OlegON Это не пустая затея. Иногда вирус засандаливает антивирусу так, что выводит его из строя. Антивирус выглядит работающим, но не сообщает о вирусах и ничего не делает. Вот и проверка.
возможно.. но на практике я не видел чтобы тестовая сигнатура выносила антивирус :)
10.03.2008 16:05
Mtirt
 
Дело не в том, чтобы вынести, а в том, чтобы получить ответ - "Я живой, не тычьте в меня своим вирусом, а вижу, что это вирус, и с удовольствием его потру."
А вот если ответа не получил - это уже подозрительно становится, может это уже давно не антивирус, а троянчик, маскирующий себя под антивирус.
11.03.2008 00:08
baggio
 
Цитата:
Mtirt Дело не в том, чтобы вынести, а в том, чтобы получить ответ - "Я живой, не тычьте в меня своим вирусом, а вижу, что это вирус, и с удовольствием его потру."
А вот если ответа не получил - это уже подозрительно становится, может это уже давно не антивирус, а троянчик, маскирующий себя под антивирус.
*180 *1*168 *178 *197 *70 *144 *185 *143 *57 троян под антивиркс....жесть и эдэйя одновременно...
11.03.2008 00:56
Vovantus
 
Цитата:
Mtirt Дело не в том, чтобы вынести, а в том, чтобы получить ответ - "Я живой, не тычьте в меня своим вирусом, а вижу, что это вирус, и с удовольствием его потру."
А вот если ответа не получил - это уже подозрительно становится, может это уже давно не антивирус, а троянчик, маскирующий себя под антивирус.
веришь в сказки? :) ОС со всеми обновлениями + последняя версия антивируса + свежие антивирусные базы = у меня даже идеи не возникает проверить работоспособность антивиря. Я просто уверен на 100 % что он не может быть трояном! Это из области фантастики, чтобы современные версии признанных антивирусов работали и при этом не ловили вирусов (за исключением тех случаев, когда вирус ну уж совсем свежий). Другое дело, если ОС дырявая, а версия антивиря устарела. Вот в этом случае вполне возможна ситуация что он будет молчать при налиии свежих версий вирусов в ОС. Но опять-таки простые сигнатуры он всё равно будет отлавливать. Если не согласны - ткните меня носом в объективный анализ данного вопроса, основанный на практическом опыте.
11.03.2008 07:16
Propil
 
встречал ситуацию - вирус сносил службы антивируса, который не обновлялся пару дней
В частности - DrWeb
А если в трее в соответствии с настройками паучок не отображается, можно и пропустить момент.
Другое дело - и тестирование этой сигнатурой, что Олег привел и проверка, запущены ли службы антивируса - требует одинаково усилия над собой.
11.03.2008 08:12
EugeneT
 
Цитата:
Vovantus веришь в сказки? :) ОС со всеми обновлениями + последняя версия антивируса + свежие антивирусные базы = у меня даже идеи не возникает проверить работоспособность антивиря. ...
Не давно боролся с неким зверем KillAV. Зверек деактивировал нортона и нода, при из каталога с avz стирал avz4.exe (пришлось переименовывать). В общем выковырять из системы его удалось с помощью SpywareTerminator
11.03.2008 08:56
Vovantus
 
Цитата:
EugeneT Не давно боролся с неким зверем KillAV. Зверек деактивировал нортона и нода, при из каталога с avz стирал avz4.exe (пришлось переименовывать). В общем выковырять из системы его удалось с помощью SpywareTerminator
.. видимо, этот звёрёк как раз и затачивался на вынос этих антивирусов.. вот поэтому я и пользую каспера! Самозащита у него крепкая.. Хотя, при желании, думаю и его можно вынести, ведь это не стену бетонную кулаком проломить, на программном уровне многое возможно зделать. Если есть защита, то её можно обойти, вопрос только в знаниях и в мотивации.
11.03.2008 11:21
EugeneT
 
вот с virusinfo.info
Цитата:
Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
Так что ручной работы не избежать, никакой каспер не поможет. Поможет обрубание прав юзерам по самое не хочу и стойкие пароли на локального и доменного админов.
Вообще, для общего развития, вот эту темку рекомендую почитать -
Полно заразы которая, при наличии соотв. прав у юзера в контексте которого она выполняется, способна вынести почти любой антивирь.
12.03.2008 03:05
Vovantus
 
EugeneT, ты предметно подошёл к вопросу Я про это и писал, что если есть программная зашита, то её мона проломить с помощью других программ, был бы мотив у программиста и знания. Но, полагаю, эта тема уже выходит за рамки обсуждаемой темы..
12.03.2008 07:56
Mtirt
 
Как-то не соотносится у меня последняя фраза с тем, что было написано выше:
Цитата:
веришь в сказки? *05 ОС со всеми обновлениями + последняя версия антивируса + свежие антивирусные базы = у меня даже идеи не возникает проверить работоспособность антивиря. Я просто уверен на 100 % что он не может быть трояном! Это из области фантастики, чтобы современные версии признанных антивирусов работали и при этом не ловили вирусов (за исключением тех случаев, когда вирус ну уж совсем свежий). Другое дело, если ОС дырявая, а версия антивиря устарела. Вот в этом случае вполне возможна ситуация что он будет молчать при налиии свежих версий вирусов в ОС. Но опять-таки простые сигнатуры он всё равно будет отлавливать. Если не согласны - ткните меня носом в объективный анализ данного вопроса, основанный на практическом опыте.
Я думаю, что не стоило писать столь резко и беаппеляционно.
12.03.2008 12:03
Vovantus
 
ну нафиг, я тему больше не развиваю.. когда женщины начинают цеплятся за слова, это плохой признак
12.03.2008 14:15
Propil
 
Бывают случАи, когда компьютер ведет себя подозрительно, либо файл новый вызывает сомнения, а антивирус молчит...
Тогда я пользуюсь этим сервисом:

Отправляю туда файлик и он сканируется движками большинства антивирусов.
Ну и выдает ответ - хто это у вас ))
12.03.2008 15:16
OlegON
 
Отсюда брал? ;)
https://olegon.ru/showthread.php?t=1437
На самом деле многие вирусы проскакивают и эту проверку, например пинчи новые и кое-какие уродцы... По скорости появления сигнатур в базе все таки Каспер лидер, но этого тормоза-параноика я себе не поставлю. У меня комп не только на антивирус работать должен...
13.03.2008 07:10
Vovantus
 
Цитата:
OlegON Отсюда брал? ;)
https://olegon.ru/showthread.php?t=1437
На самом деле многие вирусы проскакивают и эту проверку, например пинчи новые и кое-какие уродцы... По скорости появления сигнатур в базе все таки Каспер лидер, но этого тормоза-параноика я себе не поставлю. У меня комп не только на антивирус работать должен...
.. не могу с тобой согласиться.. но и сказать что каспер самый быстрый тоже не могу. У всех антивирусов один алгоритм работы - поиск вирусов ведётся на основе вирусных сигнатур. В этом они все одинаковы. Другое дело, что современные версии антивирей - это уже не просто программы для поиска и удаления вирусов. Это комбайны, которые выполняют разнообразные дополнительные функции. У каспера, особенно в версии KIS, дофига вспомогательных модулей для защиты компьютера. Если нафиг всё поотключать, то и работать он будет шустро. В любом случае скорость работы определяется настройками программы. А настроек у каспера дофига. Например, я отключил поиск вирусов в тех файлах, которые по определению не могут получить доступ к памяти. У меня та сигнатура, которую Олег привёл в начале топика, сохранённая в текстовом формате вообще не определяется как вирус.. тоже самое можно сказать про архивы. Зачем их проверять? Ведь при запуске любого файла из архива, он должен быть сначало сохранён на диске, иначе он никогда не получит доступ к памяти. Именно на этом месте антивирус его и отловит. И таких мелочей масса.. Понимая как функционирует антивирус совместно с ОС, можно чётко подстраивать защиту, не теряя при этом в скорости работы. Любой антивирус будет тормазить систему, потому что он работает и потребляет системные мощности. И выбор режимов скорость/безопасность всегда остаётся за пользователем. Это моё ИМХО.
13.03.2008 10:16
OlegON
 
Не согласен с твоим ИМХО, у меня оно другое и касается того, что алгоритм и его реализация могут быть разными по оптимальности. И что Каспер при одинаковом функционале меньше глючит и тормозит, чем NOD ты меня не убедишь. И что текстовики не нужно проверять, ты меня тоже не убедишь. Там может быть код, который можно подгрузить безобидным лодером прямо в память и передать управление.
13.03.2008 10:45
Vovantus
 
Цитата:
OlegON Не согласен с твоим ИМХО, у меня оно другое и касается того, что алгоритм и его реализация могут быть разными по оптимальности. И что Каспер при одинаковом функционале меньше глючит и тормозит, чем NOD ты меня не убедишь. И что текстовики не нужно проверять, ты меня тоже не убедишь. Там может быть код, который можно подгрузить безобидным лодером прямо в память и передать управление.
.. возвращаемся к тому, что любою защиту можно пробить, правильно? А на практике я за 2007 год установил каспера более чем на 100 компьютеров. И единственная проблема за это время была, когда разрабы выпустили кривую версию антивирусных сигнатур и касперский глюканул из-за этого и просил дамп отправить.. исправили в течении нескольких часов, единственное что поплясать пришлось немного вычищая эти кривые сигнатуры.. Всё, головняков больше не было, вообще! Я к тому говорю, что бесполезно такие темы обсуждать. У каждого своё ИМХО основанное на личном опыте, а если нет своего мнения, так оно придёт, с опытом. Лично мне НОД не нравится, субективно конечно. Ловил проблемы с работой этого антивируса, вплоть до синего экрана. Согласен, что возможно дело не в нём, а в ОС, но какого хрена тогда разрабы не продумали варианты возможной несовместимости с ОС? Да потому что НОД на рынке всего несколько лет. Там ещё нет команды классных программистов, там нет таких финансовых вложений, как у каспера, следовательно нет мотивации сделать что-то действительно стоящее и превосходящее другие продукты. На выходе имеем сырой, глючный продукт, практически без возможности что-то настроить. Который возможно и сканирует быстрее, но в ущерб удобству и безопасности.
13.03.2008 13:21
OlegON
 
Цитата:
Vovantus На выходе имеем сырой, глючный продукт, практически без возможности что-то настроить. Который возможно и сканирует быстрее, но в ущерб удобству и безопасности.
"Абаснуй..." ;) Вообще-то NOD награду антивируса года в 2006, кажется получил... А вот насчет сырости и глючности, это 100% попадание в описание кошмарского. С синими экранами и прочим. Причем не только у тебя, но и у многих других. А вот про НОД я такого не слышал. Наверное потому, что это было у тех, кто по пять антивирусов запускает на одной машине :) Я не говорю, что НОД 100% защита, нельзя это сказать и про Касперского со всеми обновлениями и патчами к операционке. А если так, то зачем мне нагружать бедную машину бесконечными сканированиями и отбиваться от идиотских вопросов?
13.03.2008 18:24
deucel
 
Цитата:
Vovantus ... Да потому что НОД на рынке всего несколько лет.


а там есть интересная строчка
Цитата:
Copyright © 1992-2008 by ESET, LLC and ESET, spol. s.r.o. All rights reserved.
или по-русски

14.03.2008 00:16
Vovantus
 
Товарищи! Не занимайтесь фигнёй. Нафиг мне ссылки на сайт производителя, где само собой будут говорить какой НОД хороший и как он превосходит каспера. На российском рынке этот антивирь появился около 4 лет назад. Я помню тот день когда я скачал одну из самых первых версий и плювался потом, очищая ОС. После этого я ещё неоднократно под давлением общественности пробовал на него перейти, последний раз буквально в конце прошлого года, когда система в синий экран ушла после установки и перезагрузки. Проблемы какие-то всегда возникали, из-за которых НОД для меня оставался глючной и сырой программой. Поэтому мне паралельно чужое мнение, если у меня уже давно сложилось своё. Я перепробовал массу антивирей, как для персонального режима, так и для работы в сети. Лучше каспера я не нашёл. Поэтому, я полагаю, безполезно тему продолжать.. Реально протестировать все популярные антивирусы, непредвзято и объективно, в одних условия вы не сможете. Каждый из здесь присутствующих будет высказывать своё мнение, основанное на личном опыте.
14.03.2008 08:53
EugeneT
 
Я вот выбираю НОД по таким причинам:
1. Отличная консоль удаленного администрирования, развитый механизм отчетов.
2. Простота создания локального сервера обновлений.
3. Удаленная установка клиента (со всеми настройками).
4. Небольшой объем файлов обновлений (Симантек таскает по сети всю базу и когда все компы утром включаются - трафик мама не балуй)
То что он ловит не всю заразу - лично меня не очень заботит т.к.:
1. Ни один антивирь на обеспечивает 100% защиты.
2. Обычно неуловимая им зараза вредит только при наличии у юзера этого компа прав локального админа, а их у меня немного и с ними я сам разберусь при помощи avz, cureit, hijackThis и прочих.
Опции темы


Часовой пояс GMT +3, время: 06:36.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.