Предложения по функционалу продуктов ESET

Пред. 1 ... 3 4 5 6 7 ... 52 След.
RSS
Цитата
Сергей Ласкин пишет:
изменение hosts - в основном бесполезная вещь. в последнее время вирусы прописывают маршруты, заполняют arp-кэш и прочее.

изменение важных системных файлов - вирусам трудно получить к таким файлам доступ. а если уж пишется такой вирус, то скорее всего и защиту антивирусную он обойдет.

1) Не забывайте, что именно записи в файле hosts перенаправляют нас на n-ные сайты, если в файле что то прописано. И от этого никуда не денешься. И хоть куда они пусть еще прописываются - hosts будет всегда актуален.
2) Трудного там ничего нет, в плане получении прав. Зловреду достаточно залочить процесс, что очень успешно делается. Иногда не без участия пользователя. А что касается обхода АВ защиты, то если учесть, что основное оружие - сигнатуры, то тут все просто. Проведу аналогию. Сам пользуюсь продукцией Dr.Web, ну и как то, от нечего делать, решил поискать парочку свежих зловредов. Благо "помоек" в рунете хватает. Нашел достаточно быстро. Dr.Web его не знал на тот момент. Вот ссылка на VirusTotal на день обнаружения. Суслика отправил в вирлаб. Через дня 3 поступил ответ, мол угроза, Trojan.BrowseBan.252. Через 3 дня Dr.Web уже детектил эту угрозу. Таких примеров можно привести массу, но суть то одна. и Вы ее поняли. За эти 3 дня заразиться этим сусликом мог кто угодно. Я нашел его на помойке, а ведь кто то мог его притянуть с тем же рефератом, "очередным" кряком для свежей игры да или просто поймать через уязвимость ПО. Тут тоже за примерами далеко ходить не надо. А вот блокировки hosts, важных системных процессов - это только та малая часть функционала антивируса, которая позволяет хоть как то противостоять угрозе. пусть если хоть не найдет суслика - то помешает его "нормальной" работе. Поэтому не надо сразу так категорично, уважаемый. говорить о достоинства/недостатках можно много, но вот это конкретный пример того, что не мешало бы иметь в продуктах семейства eset. Я высказался, спасибо за внимание. Комментарии приветствуются.  :)
Цитата
Сергей Ласкин пишет:
пароль не получится снести за три нажатия на enter. более того, с админскими правами даже в реестре ничего не получится исправить, чтобы снести пароль с антивируса.
так что решение проблемы - поставить пароль.

Хм... А ведь и действительно - не сносится уже. Проверил сейчас на 4.0.474 - не даёт уже из реестра косить себя. То-то я смотрю - из "базы знаний" этот пунктик вдруг исчез.
Ну что-ж, самозащиту подтянули, поздравляю. Хотя, если признаться - сам грешил этим способом частенько. Там-сям понаставишь паролей, либо юзеры сами, а записать забывают. А тут отмычка такая удобная....была.

Но я-то в пожеланиях к опционалу писал чуток о другом, если Вы заметили, - о расширении списка логируемых событий.
Цитата
Сергей Ласкин пишет:
так что решение проблемы - поставить пароль.

В реальной жизни, увы, всё не так просто. Я тоже на разных форумах могу всем советы давать типа: "загоните юзеров в AD и отберите все права на изменения ПО". Это кстати дейсвительно самый надёжный вариант защиты наверное от 90% всякой заразы. И даже без установки антивируса вообще. В реальности многим админам приходится разгребать разные последствия в условиях, когда юзер на своём пк желает быть(и есть) полным хозяином и не приемлет никаких ограничений.
При включённом "Интерактивном режиме", добавить дату+время в сообщении о блокировании доступа программы или процесса.

Пример:
Сделать нормальную лечилку от вируса Jeefo. Нод его лечит коряво... то ексешники вообще не пашут - то не не лечит.
Прочитал весь топик...

Конечно, уж простите, но просьбы отключения автозапуска - это действительно немного глупо. Все это делается средствами Windows - достаточно хоть немного погуглить - и можно найти достаточно информации что и где изменить, запустив известную на весь мир "Пуск - Выполнить - regedit".

Теперь немного о серьезном с "легкой грустью" в глазах моих. Конечно же, что только в версии 5.0 возможна реализация следующего:
1) нормальный RescueCD. Который не будет создаваться после установки монстра по имени Windows AIK. Не хочется делать сравнения, но придется - было бы неплохо, чтобы создавался на примере Касперского - готовый диск скачивался по умолчанию с вашего сервера (или создавался автоматически программой на ПК пользователя), а сам антивирус бы только обновил в нем базы до актуальных. Линуксовый или нет - это уже вам решать.
2) наверное все же стоит сделать ручную настройку нормального обновленного HIPS. Для "зеленых" пользователей можно расписать в руководстве что это такое и как вы советуете настроить для оптимальной работы.
3) есть идея добавления в параметры функции "блокировать изменение системных файлов", в том числе HOSTS. Мало ли, мы-то знаем как работают любимцы народа конфикер и компания.
4) сделать нормальную интеграцию в The Bat! 4.x. На сегодня в 4.0 ее в списке нет, предоставляется только отдельный модуль "ESET NOD32 Antivirus Module for The Bat!", который качается на вашем сайте.

По мере раздумий буду пополнять сабж. Всем спасибо за отличную работу.
Windows 7 Ultimate SP1 x64 Rus + ESET Smart Security 4.2.71.3 x64 Home Edition Rus + Malwarebytes' Anti-Malware 1.50.1.1100 + HiJackThis 2.0.4 + AdGuard 4.1.9.0
Цитата
nickelback87 пишет:
Прочитал весь топик...

По всем пунктам работаем)
ESET Technical Support
Нужно,чтобы в появляющемся окошке в интерактивном режиме указывался протокол входящего и исходящего трафика.Можно поставить прямо под портом.
Замечания по NOD32 4.2.40.10:
1) невозможно создать аварийный диск (в англ. версии тоже);
2) ширина древа настроек не увеличена (в англ. версии — в порядке);
3) ошибка вызова справки из подразделов «Фильтрации протоколов»;
4) прочие неисправленные ошибки в переводе, о которых сообщалось.
Изменено: Ego Dekker - 09.04.2010 00:51:26
Предложил бы поддержку некоторых форматов архивов, и exe-пакеров. Иногда так делаются дроперы - программы, которые в зашифрованном виде содержат другие вредоносные программы. Своего рода "кокон". Эвристика разработана хорошо - эмулятор процессора, флай код - не совсем. Конечно, при защите реального времени это и не нужно, т.к. все эти вычисления накроют систему, но при запуске файла, или сканировании - будет как раз кстати. Потом, а антивирусе слабо развита, или ее вообще нет система контроля реестра. Я через программу свободно удаляю ключ автозапуска антивируса с реестра. И до одного места селф-протекшн. Вирус отключит антивирус, подождет до следующей перезагрузки, и сделает свое грязное дело.
Пред. 1 ... 3 4 5 6 7 ... 52 След.
Читают тему (гостей: 3)