Добро пожаловать в Клуб Любителей Симантек!
Пока собрано 3450 рублей. Из них через виджет - 3250. Спасибо за понимание!
Страница 2 из 6 ПерваяПервая 1234 ... ПоследняяПоследняя
Показано с 21 по 40 из 101
  1. #1
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array

    Как работают продукты Norton: наблюдения, замечания, вопросы и ответы.

    В данной теме будем публиковать наблюдения и выводы, сделанные на основе собственных исследований, наблюдений.

    Однако, замечу, что сюда не стоит просто писать о том, что вы что-то заметили и т.д. Важно, чтобы вы поняли почему это так (к примеру почему FireWall умеет блокировать исходящие запросы в полностью автоматическом режиме или как работает межпрограммный интерфейс), прикрепили скриншоты, видео исследования (можно и без этого, если сумеете доходчиво пояснить). Естественно, это может быть не верный вывод, но благодаря вашему доходчивому подробному рассказу мы можем вместе разобраться что и как, а также вынести вердикт.

    Конечно, вы можете, зная общие принципы работы некоторых технологий антивирусов, в том числе технологий STAR, по сторонним тестам, обзорам, вывести какие-либо выводы, в таком случае давайте ссылку на такие обзоры, тесты и т.д.

    Также здесь можете задать вопрос вида: "Почему продукт делает именно действие А, а не Б?" или "Почему именно так?" и т.д.
    Последний раз редактировалось freelancer1507; 21.09.2014 в 14:11.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  2. 6 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    dreamkz (28.09.2018),freelancer1507 (21.09.2014),ole44 (17.09.2014),sasha78 (17.09.2014),SDA (17.09.2014),Энди-701 (17.09.2014)

  3. #21
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Картинку надо бы посмотреть.
    Screenshot__?20 ?мая ?2014 ?г.__00092.png
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  4. #22
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,394
    Поблагодарил(а) 12,417
    Поблагодарили : 23,720 раз(-а), в 7,956 сообщениях
    Записей в дневнике : 8
    Репутация : 23796Array
    А там где Подробнее...


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  5. #23
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    А там где Подробнее...
    Этого у меня нет, это с теста, проведённого раньше. Там как всегда указан IP атакующего.

    О сигнатурах IPS

    Нашёл для SEP 11


    IPS (Intrusion Prevention System)

    Symantec Sygate Enterprise Protection only. A device or software used to prevent intruders from accessing systems from malicious or suspicious activity. This is contrast to an Intrusion Detection System (IDS), which merely detects and notifies. Symantec Protection Agent is both an IDS and an IPS product since the Agent includes both an IDS and firewall functionality making it capable of not only detecting but also blocking an attack. See also Intrusion Detection System (IDS).

    2 причины почему IPS MUST HAVE для сети



    P.S. Наверное стоит создать тему с интересными материалами по ИБ (именно серьёзные вещи, документации, Справки итд), было бы круто.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  6. 1 пользователь сказал cпасибо Corvus Corax за это полезное сообщение:

    Энди-701 (08.10.2014)

  7. #24
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,394
    Поблагодарил(а) 12,417
    Поблагодарили : 23,720 раз(-а), в 7,956 сообщениях
    Записей в дневнике : 8
    Репутация : 23796Array
    В STAR есть всё.
    http://www.symantec.com/page.jsp?id=star

    И об атаках всех типов
    http://www.symantec.com/security_res...acksignatures/


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  8. 2 пользователей сказали cпасибо Энди-701 за это полезное сообщение:

    ole44 (09.10.2014),r2d2 (10.10.2014)

  9. #25
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Так нет, в таком случае есть статья, 5 уровней защиты, переведённая со STARовской страницы. А по ссылке об атаках, там скорее конкретные случаи.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  10. #26
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,394
    Поблагодарил(а) 12,417
    Поблагодарили : 23,720 раз(-а), в 7,956 сообщениях
    Записей в дневнике : 8
    Репутация : 23796Array
    есть статья, 5 уровней защиты
    Есть
    http://club-symantec.ru/showthread.php?t=6378


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  11. 2 пользователей сказали cпасибо Энди-701 за это полезное сообщение:

    r2d2 (10.10.2014),SDA (09.10.2014)

  12. #27
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    2014.10.18_12h49m28s_005_.png2014.10.18_12h49m43s_006_.png
    Начнём с того, что это ложное срабатывание. Данный файл уже "сто лет в обед" существует в той папке, он безвреден. Сканирование проводил на момент релиза НС 2015, ничего не находил. А теперь нашёл. Что же это такое? А то, что я был прав - команда STAR работает над технологией SAPE, которая создана для проактивной борьбы с угрозами низкого риска и среднего риска(преимущественно). Об этом уже говорили. Уникальность в том, что современные антивирусы из рук вон плохо борятся с ПНП, Adware итд проактивными методами, а если и хорошо борятся, то это либо репутация (которая тоже склонна ошибаться на таких файлах), либо очень агрессивный эвристич. анализ, но этого не достаточно. Злоумышленники поняли, что угрозы низкого риска и, возможно, комбинация их вместе с угрозами высокого риска - ключ к воздействию на пользователя. Происходит взрывной рост активности таких угроз. Symantec как всегда вовремя отреагировала. Она на данный момент доводит эту технологию до совершенства экспериментируя с её обновляемыми эвристическими сигнатурами. К моему детекту нет описания, это наверняка говорит о том, что в разряд штатной сигнатура(технология) не переведена.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  13. 1 пользователь сказал cпасибо Corvus Corax за это полезное сообщение:

    norton46 (18.10.2014)

  14. #28
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    На ноутбуке сработала SAPE.Heur.82.e, но НЕ ПРОМАХНУЛАСЬ. Угроза очень низкого риска (ПНП с торрента) была уничтожена! Браво Symantec! Возможно, инженеры научат её детектить весь спектр угроз, в том числе высокого риска, напоминаю, что называется она "генетическая проактивная технология", что это, я не совсем понимаю.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  15. 2 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    norton46 (18.10.2014),Энди-701 (18.10.2014)

  16. #29
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Я поискал инфу, в базах от 17 октября уже целая КУЧА сигнатур SAPE. Ребята, похоже на вооружение продуктов Нортон поступил новый гибкий проактивный эшелон защиты. Угрозы высокого риска также уничтожаются SAPE(ом), поэтому это универсальная гибкая технология, которая отлично будет бороться с любыми угрозами, даже самого низкого риска. Но, что-то мне подсказывает, здесь не пахнет классической статической эвристикой или репутацией, это что-то иное, поскольку присутствует указание на "генетику", может, она использует кроме комбинации репутации, эвристики итд ещё данные о подобии угроз? Короче говоря, остаётся догадываться, что придумали инженеры, но гибкость появилась небывалая, что не достичь даже комбинациями эвристики, репутации и телеметрии (Susp.Cloud.X.Z.)
    http://www.symantec.com/security_res...p?mdid=2014-10
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  17. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    norton46 (18.10.2014),ole44 (18.10.2014),putnik (18.10.2014)

  18. #30
    Наказан за оскорбления!!!
    Премодерируемый
    Статус: petr вне форума
    Регистрация : 20.10.2014
    Адрес : Москва
    Сообщений : 62
    Поблагодарил(а) 2
    Поблагодарили : 29 раз(-а), в 17 сообщениях
    Репутация : 0Array
    Цитата Сообщение от Corvus Corax Посмотреть сообщение
    Ребята, похоже на вооружение продуктов Нортон поступил новый гибкий проактивный эшелон защиты. Угрозы высокого риска также уничтожаются SAPE(ом), поэтому это универсальная гибкая технология, которая отлично будет бороться с любыми угрозами, даже самого низкого риска.
    Прошу прощения, что мучу воду во пруду, но тут могу кое-что пояснить, т.к за этим делом тогда же наблюдал.
    Потому поясню, что именно у симантека было сделано:
    1. Разная адварь детектировалась как адварь (адваре.имясобственное) по разным сигнатурам (на что-то шлепал автомат, где-то накладывалось человеком на некий характерный порядок байт в файле (например на eula с определенным текстом и т.д). В общем детектировалась разная адварь как обычно.
    2. Но в один прекрасный день был сделан глобальный детект (у него более высокий приоритет, кстати, по сравнению с другими и более старыми) - детект не совсем обычный, он несет обновляемый список эцп. Проще говоря - что подписано этой подписью имеет SAPE детект. Конечно, там предусмотрены исключения и различное ветвление логики, но упрощенно это так.
    3. На примере - некая компания клепает только адварь и подписывает это все эцп. Зачем детектить миллионы файлов, нагружая автоматы и аналитиков, если можно просто эцп в блэк засунуть? Примерно по такой логике и было сделано.

    Дабы не быть голословным:

    Вот файл с новым детектом:
    https://www.virustotal.com/ru/file/3...e17a/analysis/
    а вот этот же файл, но с кастрированной эцп:
    https://www.virustotal.com/ru/file/7...is/1413962362/

    Надеюсь, помог разобраться.

  19. #31
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    petr, спасибо большое. Вот это я понимаю. Я не догадался. Тему с ЭЦП вообще не прокручивал никогда особо, если только говоря о АНБ-ном вирье. Т.е. новым критерием (кроме др. неизвестной нам логики) стало гибкое управление блэклистом ЭЦПшек, которые тоже, наверное, подозреваются на использование не теми руками, даже если это фактически неизвестно. Правда в названии Heur присутствует, присутствуют и др. наименования, ЭЦП не ограничились, скорее всего. А на сколько, по твоему мнению, часто ЭЦП используется вирусописателями?
    Учитывая агрессивные меры вендоров, наверное, ЭЦП действительно все не лыком шитые пытаются втиснуть.

    P.S. Извини, если что. Часто, надо выдержать вал разной критики, чтобы быть услышанным, но потом более вознаграждённым заслуженным признанием.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  20. 1 пользователь сказал cпасибо Corvus Corax за это полезное сообщение:

    Энди-701 (22.10.2014)

  21. #32
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Продукты Symantec не контролируют абсолютно всю репутацию файлов в системе (всех файлов в системе), отслеживаются только активные файлы и связанные с ними, которые по мере работы компьютера так или иначе взаимодействуют с активными.

    По началу, кол-во отслеживаемых файлов не превышает 10 000, но потом эта цифра будет расти. Резко вырасти она может после полного сканирования системы, но проводить полный скан специально для этого не обязательно (однако, знайте, что после первой установки антивируса в систему, полный скан обязателен и дело не только в репутации), в простое системы, Нортон будет мониторить систему в поисках файлов, которые нужно контролировать постоянно. Под контролем понимается отслеживание репутации системой Norton Insight, а значит, регулировка агрессивности защиты по отнош. к данным файлам всех остальных средств защиты. Система Insight особенно присматривается к файлам с улучшающейся и ухудшающейся репутациям, ибо скоро такие файлы либо нужно агрессивно подавить, либо за счёт оптимизации - улучшить быстродействие путём исключения файла из анализа активными модулями защиты. Insight выбирает также файлы на компьютере, которые нужно отправить на анализ, это не только телеметрия, но и сами образцы. Обмен статистикой с облаком происходит постоянно. Insight позволяет всем проактивным средствам доводить "свой детект до ума", потому даже если что-то было пропущено при первичном, пусть и динамическом, осмотре - гарантированно угроза будет найдена. Да что говорить, даже эвристич. детекты на статич. файлы за счёт телеметрии тут же начинают работать. Исследование есть на ресурсе.

    Напоминаю, что репутация используется при досмотре любых файлов извне (компонент Download Insight), именно по этой причине контроль всех файлов внутри системы не обязателен.

    2014.10.26_01h08m47s_004_.png
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  22. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    Lucky-Friday-13 (17.11.2014),norton46 (26.10.2014),Энди-701 (26.10.2014)

  23. #33
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    В локальных антивирусных базах находятся только те вредоносные программы (20% всех угроз в базах локальных и облачных), которые могут вам очень сильно навредить, это трудноустранимые сложные вредоносные программы, таких за историю ИБ было не мало, но в общих масштабах - не так уж и много. Также там содержаться угрозы, задача которых распространяться через флешки. Не стоит забывать, что интернет интернетом, а облачные сигнатуры кэшируются, кратковременные сетевые провалы не страшны, во время таких провалов уровень статического обнаружения может упасть до 50-60%, чего вполне достаточно, тем более, если что, у вас есть SONAR, потенциал которого очень высок, даже без интернета, хотя, конечно, без интернета он потеряет его весомую часть. Во время таких провалов к вам итак ничего не проникнет.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  24. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    norton46 (26.10.2014),ole44 (26.10.2014),Энди-701 (26.10.2014)

  25. #34
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    По наблюдениям могу смело сказать, что обновления такие же по объёму, как в старой линейке, ну...не на много меньше. Потому можно сделать вывод: сокращение локальных баз касается угроз не мейнстрима, а минувших дней, т.е. угроз, которые в данный момент не предоставляют прямой угрозы пользователю. В облаке находятся новые угрозы до обновления Live Update, а также такие угрозы, которые не фиксируются средствами мониторинга Symantec в активной жизни или слабо фиксируются = 80%. Думаю, автоматизированная система обновления сама знает куда какие сигнатуры относить. Из этого следует, что реальную опасность предоставляют из всех зверей как раз те 20% угроз, все остальные естественно опасны, но для детектирования имеют более низкую важность, ибо распространены реже. Получается, что базы Live Update локальные через пару месяцев автоматически самоудаляются? Думаю, именно такие вывод можно сделать из того, что размер баз всего незначительно изменился.

    А вообще, по чесноку, для точных выводов нужны точные экспериментальные данные, которых нет. Однако, на последние угрозы реакция статических методов без Insight и облака=~60% В любом случае, как бы там не было - без интернета остаться очень трудно, даже если по какой-то причине у вас пропадёт сеть - вы в безопасности, если не будете глупить, ибо вставить флешку немного позже при возобновлении коннекта труда не составит. Выхода нет, хранить всё локально НЕ РЕАЛЬНО, если вы нормальный вендор.
    2014.10.31_13h17m14s_001_.png
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  26. 2 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    putnik (31.10.2014),SDA (31.10.2014)

  27. #35
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Репутация не так точна против ПНП. В первую очередь потому, что методы структурного анализа (эвристика статическая, динамическая) часто не могут справится с угрозами такого низкого риска, но ведь репутация использует ещё целый пакет средств, скажете вы? ЦП? Надежда на детект по не легитимной ЦП (SAPE, репутация), но её может и не быть (не критично). Происхождение? Тоже всё в порядке. Все остальные неизвестные толком нам методы репутации помогут только при вопросах реальных угроз. Надоедливые ПНП не так просты (их угрозами даже не назвать), с технической точки зрения они похожи на обычные программы в том смысле, что комплекс возможностей не вызывает подозрений. Надежда на технологию SAPE и SONAR, который становится всё более универсальным и глубоким по арсеналу возможностей, однако в моём случае промах. ПНП это проблема всех антивирусов, для их детекта и отслеживания нужно больше сил, прежде всего из-за того, что проактивные средства не так эффективны против них и не дают автоматизированно вирлабу конкретной инфы. Благо, что облако отслеживает файлы в сети и рано или поздно аналитики докопаются или робот.
    Ashampoo_Snap_2014.11.12_22h50m35s_003_.png
    Ashampoo_Snap_2014.11.12_23h01m41s_005_.png
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  28. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    alex4232 (19.11.2014),norton46 (13.11.2014),SDA (13.11.2014)

  29. #36
    Norton Forever!
    Активный участник
    Статус: Alegro вне форума
    Регистрация : 25.01.2013
    Адрес : Ташкент
    Сообщений : 181
    Поблагодарил(а) 514
    Поблагодарили : 495 раз(-а), в 168 сообщениях
    Репутация : 505Array
    Пример отката в Norton при удалении файла

    Скрытый текст



    [свернуть]

    Лог

    Скрытый текст

    Имя файла: samp-server.exe
    Имя угрозы: W32.Virut.CF
    Полный путь: h:\samp-server.exe
    ____________________________

    Сведения
    Число пользователей: неизв., Время выпуска: неизв., Угроза Высокая

    Источник
    Загружено из
    Неизвестно

    Действия
    Выполнено действий: 33
    ____________________________

    На компьютерах начиная с
    Недоступно

    Последнее использование
    15.11.2014 в 14:39:33

    Элемент автозагрузки
    Нет

    Запущено
    Нет
    ____________________________

    Неизвестно
    Неизвестно, сколько пользователей Norton Community использовали этот файл.

    Неизвестно
    Время выпуска файла неизвестно.

    Высокая
    Уровень угрозы файла: высокий.

    Тип угрозы: Вирус. Программы, которые заражают другие программы, файлы и различные области компьютера, добавляя или включая себя в соответствующий объект.
    ____________________________

    Источник: внешний носитель
    ____________________________

    Действия с файлом

    Файл: h:\ samp-server.exe Удален
    ____________________________

    Действия с реестром

    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system->ConsentPromptBehaviorAdmin:5 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableRegistryTools:0 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System\ ->DisableTaskMgr:0 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 Вылечено
    Изменение реестра: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->ShowSuperHidden:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 Вылечено
    Изменение реестра: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\ ->UncheckedValue:0 Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL->CheckedValue:1 Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system->EnabledLUA:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer->TaskbarNoThumbnail:0 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon->Shell:Explorer.exe Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon->Shell:Explorer.exe Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon->Shell:Explorer.exe Вылечено
    Изменение реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon->Shell:Explorer.exe Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon->Shell:Explorer.exe Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ SuperHidden->UncheckedValue:1 Вылечено
    Изменение реестра: HKEY_USERS\S-1-5-21-1188570276-1184757394-4152697055-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 Вылечено
    Изменение реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->Userinit:C:\Windows\system32\ userinit.exe, Вылечено
    ____________________________

    Отпечаток файла - SHA:
    60f8d3d9929a702789b80f3ebf2c1790e9b4fddd6d6fb722d1894cb28b5323c6
    Отпечаток файла - MD5:
    Недоступно
    [свернуть]
    Бывший ник allex9999

  30. 2 пользователей сказали cпасибо Alegro за это полезное сообщение:

    Roman75 (16.11.2014),SDA (16.11.2014)

  31. #37
    Norton Forever!
    Активный участник
    Статус: Alegro вне форума
    Регистрация : 25.01.2013
    Адрес : Ташкент
    Сообщений : 181
    Поблагодарил(а) 514
    Поблагодарили : 495 раз(-а), в 168 сообщениях
    Репутация : 505Array
    Пример работы компа с установленным Norton 360 и с кучей программ с отсутствующей, низкой и плохой репутацией - ни что не удаляет, так как нет зловредного действия. 600+ программ уже сделал доверенными от пользователя

    Скрытый текст


    [свернуть]

    И запуск пару программ с плохой репутацией - ничего всё равно не удаляется

    Скрытый текст



    [свернуть]

    Без зловредного действия Нортон не удаляет программы даже с плохой репутацией.
    Бывший ник allex9999

  32. #38
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Пример работы компа с установленным Norton 360 и с кучей программ с отсутствующей, низкой и плохой репутацией - ни что не удаляет, так как нет зловредного действия.
    Ошибка. Усиление работы всей проактивной защиты против файлов извне (!!!) включает в себя использование Download Insight, только он может выдавать репутационные вердикты (Ws.Rep.1) на плохую и низкую репутации, а также алерты на неизвестную. Однако, это не значит, что у вас на компьютере нет плохих файлов, продукт их не трогает только потому, что они внутри, где агрессивность не требуется. Попробуйте скачать любой из них - получите детект.

    Репутация не работает непосредственно со зловредностью, в этом её и ценность, подозрение на фактическую зловредность - структурное понятие, а репутация использует это как один из признаков для ухудшения репутации, но есть куча других признаков, т.о., репутация может защитить от таких зловредов, которые обходят любые средства структурной защиты, в том числе HIPS, пески. Её специально обмануть невозможно (только хуже будет) потому, что она не смотрит в корень зловредности, она способна трактовать те признаки файла, которые могут указывать на зловредность косвенно, чем больше косвенных признаков, тем точнее репутация, именно поэтому она такая фолсивая, но очень ценная. Только ПНП могут хоть как-то обмануть репутационные методы и то не всегда, ну и есть очень единичные случаи, когда зловред считается хорошим "с 1 палочкой", однако для проактивного метода это лучший показатель эффективности.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  33. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    Alegro (17.11.2014),Roman75 (17.11.2014),SDA (17.11.2014)

  34. #39
    Norton Forever!
    Активный участник
    Статус: Alegro вне форума
    Регистрация : 25.01.2013
    Адрес : Ташкент
    Сообщений : 181
    Поблагодарил(а) 514
    Поблагодарили : 495 раз(-а), в 168 сообщениях
    Репутация : 505Array
    Удаляет...
    Я делал кучу тестов запусков угроз без DI и если есть угроза, то она обязательно удалится . А СОНАР ориентируется на репутацию - без репутации он не работает. Если известна репутация, а интернета нет - СОНАР всё равно сработает. Но, как видно, если нет зловредности - не удаляется...
    Бывает и так файл - удаляется позже через полдня-день-два-три, даже если не трогать.
    Были даже такие редкие случаи: скачанный файл с плохой репутацией при запуске СОНАРом не удалялся - не было зловредности (непонятно одно - откуда тогда плохая репутация).
    Бывший ник allex9999

  35. #40
    Аватар для Corvus Corax
    Активный участник
    Тестер Клуба
    Старожил
    Статус: Corvus Corax вне форума
    Регистрация : 12.05.2010
    Адрес : Москва
    Сообщений : 2,158
    Поблагодарил(а) 1,277
    Поблагодарили : 2,649 раз(-а), в 1,034 сообщениях
    Репутация : 4931Array
    Удаляет...
    Я делал кучу тестов запусков угроз без DI и если есть угроза, то она обязательно удалится . А СОНАР ориентируется на репутацию - без репутации он не работает. Если известна репутация, а интернета нет - СОНАР всё равно сработает. Но, как видно, если нет зловредности - не удаляется...
    Бывает и так файл - удаляется позже через полдня-день-два-три, даже если не трогать.
    Были даже такие редкие случаи: скачанный файл с плохой репутацией при запуске СОНАРом не удалялся - не было зловредности (непонятно одно - откуда тогда плохая репутация).
    Я не совсем понимаю о чём вы конкретно. Я просто добиваюсь конкретики. Сама репутация работает только с DI напрямую, понятное дело, что вокруг Insight работают и SONAR, и FireWall итд. Т.е. детект Ws.Rep.1 (только репутация), о котором на comss.ru фанатики ЛК написали очередную гору полнейшей чуши, срабатывает так, как я описал выше, чтобы это проверить, залейте плохой файл из папки на файлообменник и скачайте. Внутри компа, удалять файлы действительно разрешено только методам, которые ориентируются на более конкретные и фактические признаки (иначе неудобств будет уйма, да и какой смысл, у Symc достаточный арсенал методов, которые также учитывают репутацию) и SONAR в том числе. Сделано, на мой взгляд, разумно.
    Без зловредного действия Нортон не удаляет программы даже с плохой репутацией.
    Да, но это не касается файлов, которые обрабатываются DI.
    О выборе антивируса (или чего хотят пользователи) в этой теме.
    Black List интернет-ресурсов (в том числе ИБ тематики) в этой теме.
    Black List независимых лаб в этой теме.

  36. 3 пользователей сказали cпасибо Corvus Corax за это полезное сообщение:

    Alegro (17.11.2014),Roman75 (17.11.2014),SDA (17.11.2014)

 

 
Страница 2 из 6 ПерваяПервая 1234 ... ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •