Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

[ Закрыто ] Тесты на лечение активного заражения

RSS
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 12.10.2012 00:07:17
Всем привет!

Вот тут на анти-малваре.ру свежие тесты лечения активных угроз подоспели.
Неужели в целом по индустрии все так плохо?



Источник: http://www.anti-malware.ru/antivirus_tests

Методология теста опубликована здесь http://www.anti-malware.ru/node/10211
Изменено: mike 1 - 12.10.2012 00:09:43
Михаил

Ответы

Пред. 1 2 3 4 5
 
Kapral
Kapral
Пользователь
Сообщений: 38
Баллов: 19
Регистрация: 11.08.2012
Размещено 16.10.2012 20:28:09
Цитата
RP55 RP55 пишет:
Идеально когда  база проверенных не занимает лишнего  места на диске.
Для этого необходимо взаимодействие с облаком.
Антивирус регистрирует все системные файлы = проводит расчёт их SHA1 отправляет пакет/запрос №****.
Происходит ответ.
К примеру 80% всех файлов системы уже известны/проходили проверку.
Значит, при соответствующей настройке антивируса можно передать для анализа оставшиеся 20% ( если позволяет связь )

В этом случае база не будет занимать 30-40 или 100 mb.
В базе будут собственно только файлы системы т.е. эти 80% + ....
= 60kb.
2я часть марлезонского балета © :D

iChecker | iSwift
Это то что было давным давно, с года так 2006го, а может и раньше
Технологии iChecker и iSwift: общая информация и принципы работы в Kaspersky Internet Security 2011/2012
Грубая схема работы каспера (всех тонкостей не знаю)

Запуск файла
Проверяем цифр.подпись  - если есть то файл белый и пушистый - максимально доступные возможности
(отдельная статья если подпись скомпроментирована ;) )
нет подписи - запрос в облако (несколько килобайт, примерное время ответа около 1-5  минут) - плохого не сказали
Оценивается локально (эвристик, прогон эмуляции и фиг его знает что еще)
дается права слабо ограниченные (в принципе запрет на опасные действия) и сильно ограниченные (права - как у негра на плантации)
В любом случае ведется логирование действий
Если вдруг стояла временной триггер и прога проявила свою подлую сучность ;) все её действия откаываются
В облако идет вердикт - кусь-кусь
И все кто успел заслать запрос о наличии такой программы получают вердикт - "КИСуля, взять" ))
потом отрабатывает или автодятел или сменные аналитики - и если надо дописывают дополнительные действия по ликвидации
Вот они скорее всего приходят с базами

Вот отсюда проблемы с разными г..сборками винды, со сбитыми подписями
КИСуля начинает сношать все системные файлы и выяснять а может тут подпись сбилась и за счет малвари
иЧекер/иСвифт конечно отрабатывают, но все же
Да и под сигнатуру угодить недолго ;)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 16.10.2012 22:44:02
С этим ясно.
Единственно разница...
одно дело когда Антивирус сам выставляет статус/уровень угрозы - локально или в облаке принимая за основу вариации SHA1.
и совсем другое когда файл был проверен в вир.лабе. компании и внесён в статусный список = базу.
 
Kapral
Kapral
Пользователь
Сообщений: 38
Баллов: 19
Регистрация: 11.08.2012
Размещено 17.10.2012 01:21:01
Цитата
RP55 RP55 пишет:
С этим ясно.
Единственно разница...
одно дело когда Антивирус сам выставляет статус/уровень угрозы - локально или в облаке принимая за основу вариации SHA1.
и совсем другое когда файл был проверен в вир.лабе. компании и внесён в статусный список = базу.

(((
Сорри, чуточку не ясно написал
Если нет установленно уровня защиты в КСН, то определяется локально, а потом все равно подтягивается из облака
Вместе с прочей информацией (когда появился, сколько юзают и т.д. почти аналогично инфе что дает облако ESET)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2012 14:27:36
вместо обсуждения результатов теста
http://www.anti-malware.ru/forum/index.php?showtopic=24034&view=getnewpost
разговор плавно перешел в обсуждение явных и мнимых достоинств антивируса Касперского.
[ Как создать образ автозапуска? ]
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 17.10.2012 17:56:09
В связи с чем, тему закрываю.
ESET Technical Support
 
Пред. 1 2 3 4 5
Читают тему