| QUOTE (barrakuda @ 20.05.2007 - время: 17:27) | ||
Ну так инжект себя в процессы это ещё не признак вируса, нормальные проги это тоже вроде делают. Ты хочешь чтобы антивирусы палили ексешник только потому, что в нём используются определённые вызовы winapi? Так ведь так можно за вирус принять то, что им не является. Базы сигнатур это база УЖЕ обнаруженных и определённых как вирус объектов. Ничего удивительного в том, что твой незасвеченный "вирус" не определяется, пошли его касперскому по почте и через два часа будет твой вирь в базах. По этой причине и пошли по пути проактивной защиты, чтобы детектировать подозрительное поведение и таким образом палить НЕ известные вирусы. |
Если бы так было на самом деле... :)
Это ведь я отослал самый безобидный инжект. Но я когда-то писал более мощный бот, который тоже содержал инжект, - и ни один антивирус не сказал ни слова! А вот проактивная защита Каспера тут же заорала, что программа пытается инжектироваться.
Так что, во-первых, проактивная защита образует более 50% защиты антивируса.
А во-вторых, было бы неплохо, если бы постоянно встречающийся в вирусах код инжектирования (там, собственно, и изменять нечего - это несколько всем известных цепочек вызовов API-функций) - было бы неплохо, если бы он детектировался на стадии сигнатурной проверки, а не в проактивной защите, которая у большинства антивирусов и файрволов сильно хромает.
Тот факт, что инжект никем не детектируется, вообще весьма странный. Например, последовательность вызовов UrlDownloadToFile -> CopyFile -> CreateProcess многими антивирусами детектируется как однозначно "вирусная". А куда более опасное инжектирование проходит бесследно.
P.S. Посмотрел списки перехватываемых функций в разных антивирусах и файрволах. Оказалось, что следующие антивирусы точно подвержены эмуляции клавиатурного ввода: , Kerio Personal Firewall 4.3.246, Norton Personal Firewall 2006 version 9.1.0.33, BlackICE PC Protection 3.6.cpj, Outpost Firewall PRO 4.0 (964.582.059), Comodo Personal Firewall 2.3.6.81.
В то время как ZoneAlarm Pro 6.1.744.001 и Kaspersky Internet Security 6.0.2.614 такой напасти не подвержены.
| QUOTE |
| Так ведь так можно за вирус принять то, что им не является. |
:))))))
Именно это самое и происходит постоянно, когда многие безобидные программы квалифицируются как вирусы (причём даже им даются конкретные имена :)) ). Поэтому сейчас разработчики ПО вынуждены проверять свои программы у антивирусов - не дай бог их творение опознается как вирус! :)
| QUOTE (maxdiversexnarod1 @ 20.05.2007 - время: 18:20) |
| А вот, скажем, Outpost 3-ей версии (более новую просто не пробовал) ломался эмуляцией, скажем, на Basic'e парой десятков строк (см. статью 3APA3'Ы про файрволы). |
В четвертом Оутпосте эта фича не пройдет
| QUOTE (vertigo1 @ 20.05.2007 - время: 21:06) | ||
В четвертом Оутпосте эта фича не пройдет |
"Такая" не пройдёт. Зато другая - с легкостью. Дружно юзаем функцию SendInput(), о которой большинство антивирусов и файрволов почему-то забывают :)
Вообще если вирус не портит бинарники, то могу при наличии профильных средств любой вирь и тем более троян прибить. И вообще в нашем мире нужнее фареволл, а не антивирь.
Вирусописатели слишком тупы, чтобы создать что-то понастояющему опасное.
ЗЫ. А если что я все таки за Nod32 - реально самый быстрый и качественный, даже на слабых машинах.
Это сообщение отредактировал ddd13 - 24-05-2007 - 22:31
| QUOTE (ddd13 @ 24.05.2007 - время: 22:29) |
| Вирусописатели слишком тупы, чтобы создать что-то понастояющему опасное. |
Зря ты так думаешь. Словишь эксплойт на каком-нить левом сайте, сработает троян-загрузчик в контексте разрешенного файрволом приложения, загрузит файл и установит руткит - вирус-неведимку. Конечно, хороших вирей среди прочего ширпотреба не много
Стоит добавить, что всё выше описанное, если даже вам и "посчастливиться" словить такого хорошего виря, возможно только при отсутствии нормального антивируса и работе в системе с правами администратора(обычно все так и работают дома)
Касперский тормоз вовремя плановой проверки вся контора бамбук курила (компы все не ниже P4 2.8G).
И вирусы часто пропускает, хоть база обновляется.
После последнего казуса нафиг снес.
но вот беда ключа нет старый попал в чёрный список. 
Может кто подскажет где скачать. Пишите на ящик.На самом деле ЗАЦИКЛИВАТЬСЯ на одном не стоит... Сейчас масса онлайновых антивирусов - можно совмещать оффлайн антивирус и иногда включать онлайн антивирус...
| QUOTE (Rambus @ 10.07.2007 - время: 21:52) |
| Как поклонников Каспера, так и его врагов тут хватает. |
Кто не с нами - тот против нас :)
Просто надо зНАТЬ, что 100% надежного антивирусов не существует :) Это как костыль, той или иной степени удобства, у юзера должна быть опаска :) разумная ....не тянуть всякую погань в рот, не подумав :) (да и подумав... не стоит)
P.S. Вообщем то Мне ПОХ, что вирус ловит ВСЕ вирусы из тестовой коллекции :) если я словлю парочку свежих руткитов, про которых антивир еще не знает (а когда узнает, руткиты уже замаскировались :) фик найдешь)
Это сообщение отредактировал do-do - 10-07-2007 - 22:16
| QUOTE (Rambus @ 10.07.2007 - время: 21:52) |
| Я скажу что Каспером. Другие скажут что другими. Как поклонников Каспера, так и его врагов тут хватает. Но по крайней мере это мощнейший антивирь, ключи к которому я ежемесячно здесь вываливаю |
И я скажу, что Каспером. Но оговорюсь: если железо позволяет.
| QUOTE |
| P.S. Вообщем то Мне ПОХ, что вирус ловит ВСЕ вирусы из тестовой коллекции :) если я словлю парочку свежих руткитов, про которых антивир еще не знает (а когда узнает, руткиты уже замаскировались :) фик найдешь) |
Ну... насколько я помню, руткитов нельзя обнаружить антивирём, только седьмой Каспер за них взялся пока что... А если и другие антивири их не словят, то зачем тогда наезжать на этот? Конечно если он не справится с каким-нибудь вирём, а подозрения в заражении будут, ничто не мешает снести его на время и перелопатить систему другим..
| QUOTE |
| Кто не с нами - тот против нас :) |
В большинстве топиков именно так, есть лагерь тех, кто хвалит Каспера и есть лагерь тех, у кого другие антивири. И между собой они не препираются, наоборот-они весьма солидарны в деле охаивания Каспера.
| QUOTE |
| Просто надо зНАТЬ, что 100% надежного антивирусов не существует :) |
Ну так никто 100% защиты и не обещает, просто из имеющегося надо выбирать лучшее. Разумеется это всегда игра в рулетку-никогда не знаешь что подцепишь и чем это вылечится. Я другу дал Каспера-он до этого доктором Вебом пользовался, да ключ кончился-и в результате проверки Касперыч завалил штук 8 троянов, которые Доктор спокойно проморгал. Аналогичные истории есть и против Каспера...
Главное помнить, что единовременно должен стоять всего 1 антивирь на 1 компе, иначе они только друг с дружкой посрутся. Дуэль антивирей, надеюсь, смотреть никто у себя на компе не желает
| QUOTE (Rambus @ 11.07.2007 - время: 00:22) |
| Я другу дал Каспера-он до этого доктором Вебом пользовался, да ключ кончился-и в результате проверки Касперыч завалил штук 8 троянов, которые Доктор спокойно проморгал. |
Доктор Веб - это какой-то ужос. Во первых, у него есть как минимум три официальных русских сайта, на которых даны совершенно разные центральные офисы. Подозрительно.
Во-вторых, в копирайтах программы даны годы 199какой-то - 2005. Значит ли это, что программа уже два года не дорабатывалась? Не знаю. Интерфейс доктора совсем уж никудышний, как и значки непонятного предназначения, которые толпой висят в трее. В тестах антивирусных он никогда не блестал. Да и что это за антивирь, который тупо можно выгрузить через диспетчер задач? В общем удалил я его, ещё не успев перезагрузится после установки...
Позвали седне вирусяку удалить. Штатный антивир его типа видит, отправляет в карантин, НО зараза в компе остается.
Думаю, махну пару раз шашкой и все в магазин успею метнуться. Фигушки.. не тут то было... засел засранец глыбко, клаву на себя забрал (типа шпионит), тушку свою прячет от ПРОСТО ПРОГЛЯДЫВАНИЯ (ежли штатными средствами глядеть...ну нету такого файлу)...
Вообщем потрахался с использованием 4 антивиров
AntiVir
drWeb
Kav (старенький)
AVZ
и утилки
HijackThis (советую кстати)
Говорят знаем, грят убиваем нафик - но куда там (кстати руткит технологию трояны вполне освовили :) живее всех живых.
Пришлось запускать LiveCD (а то, даже в сейф моде вирусяка жила)
и из под нее убивать гадость, как антивирусами, так и пальцами.
Где ток оно свое тельце не засунуло и В Документы и в систем32 и в System Volume Information и даже в мусорную корзину
Это сообщение отредактировал do-do - 11-07-2007 - 17:19
| QUOTE (Rambus @ 10.07.2007 - время: 21:52) |
| Я скажу что Каспером. Другие скажут что другими. Как поклонников Каспера, так и его врагов тут хватает. Но по крайней мере это мощнейший антивирь, ключи к которому я ежемесячно здесь вываливаю |
Скажи пожалуйста, есть ли у тебя ключ для KIS 6.0.0.303
И ещё вопрос, какая версия каспера сейчас последняя? И где её можно скачать?
http://www.kaspersky.ru/productupdates
ток не подумайте шо выпендриваюсь.... просто уж лет ...много Каспера не юзаю (практически) и не знаю, что они выкладывают у себя на серваке
"Крутость" антивируса Касперского создана мощной рекламной кампанией. Где-то у меня были результаты объективного тестирования антивирусов, проводившегося за границей. Антивирус Касперского находился где-то в конце итоговой таблицы. Ещё к нам на работу недавно пришли компьютеры с предустановленным Касперским - через несколько дней я уже вычищал эту дрянь: на компьютерах было невозможно работать, а количество ложных срабатываний просто бесило. Есть, конечно, люди, которые считают, что самая вкусная шоколадка - это "Сникерс", самая вкусная еда - из Макдональдса, а самый лучший антивирус - это антивирус Касперского. Но я к таким людям не отношусь.
Поэтому вместо антивируса Касперского или Dr. Web советую поставить NOD32 или Norton AntiVirus. Лучше первый, ссылка, по которой можно скачать тестовую и коммерческую версии - http://nod-32.ru/.
Касперский был, но не устраивал. Нелицензионные дома не пользую.
P.S. НОД 32 от сетевых атак отбивает?
Это сообщение отредактировал NEV1 - 14-07-2007 - 12:41
| QUOTE |
| Есть, конечно, люди, которые считают, что самая вкусная шоколадка - это "Сникерс", самая вкусная еда - из Макдональдса, а самый лучший антивирус - это антивирус Касперского. Но я к таким людям не отношусь. Поэтому вместо антивируса Касперского или Dr. Web советую поставить NOD32 или Norton AntiVirus. |
Ну да, а всё самое лучшее - заграническое
| QUOTE (barrakuda @ 15.07.2007 - время: 03:55) |
| Ну да, а всё самое лучшее - заграническое |
Свои пять копеек: стоял у меня каспер, я так радовался, пока не попробовал поставить AntiVir Guard (бесплатный немецкий, что-то мне перестало нравиться, как система работает, будто шарится кто по компу) - 1 червяк и 1 троян. Моментально!
На работе стоял Каспер. Пока стоял не на всех машинах (ну а типа нафиг? с нее же в инет не ходят - вот такая логика у босса была) - в сети регулярно появлялись вирусы. И Каспер их выловить все не мог. Поставил AVG (бесплатный чешский) - такой "пожар"! сотни файлов заражены на сервере, а уж про локальные машины совсем молчу (куда детишки великовозрастные таскали из дома флэшовые мульты и игры).
Так что дело не в стране-изготовителе, а в резултатах.
А Dr.Web еще 10 лет назад считался самым мнительным антивирем, ну его ФТОПКУ!
| QUOTE |
| Скажи пожалуйста, есть ли у тебя ключ для KIS 6.0.0.303 |
В соседней теме
| QUOTE |
| И ещё вопрос, какая версия каспера сейчас последняя? И где её можно скачать? |
Там же
| QUOTE |
| "Крутость" антивируса Касперского создана мощной рекламной кампанией. |
А так же эффективной работой антивируса и вирусных аналитиков
| QUOTE |
| P.S. НОД 32 от сетевых атак отбивает? |
Нет
Я вообще дома антивирусами практически не пользуюсь, так что мне быть не объективным смысла нет.
Но я часто пользуюсь онлайн проверкой разных файлов, приходящих мне по почте или аське. Есть один известный ресурс такой - virustotal.com, там можно проверить файл сразу несколькими известными антивирусами.
Так вот, заметил, Каспер в большинстве случаев все эти вирусы палит, а когда пропускает, то и остальные, хвалёные, молчат. Так вот.
Специально проверял. Конечно, это не может считаться статистическим исследованием, но для себя я выводы сделал.
Каспер 6 тяжеловесный? Да нифига! Может на совсем-совсем слабых машинах. Впрочем, как и говорил, он у меня всеравно отключён, так как обхожусь спокойно и без антивирусов.
А если спросят меня, какой антивирь ставить, отвечу - ставь Каспера!
Я патриот, блин, и поддерживаю отечественного производителя!
Тем более что, по своему опыту могу сказать, что работает лаборатория Касперского исправно.
| QUOTE (barrakuda @ 15.07.2007 - время: 22:32) |
| Каспер 6 тяжеловесный? Да нифига! Может на совсем-совсем слабых машинах. Впрочем, как и говорил, он у меня всеравно отключён, так как обхожусь спокойно и без антивирусов. |
А вот седьмой мне показался тяжеловатым. Возможно, из-за Оутпоста. Снёс Оутпост, поставил КИСу, вроде ничего...