» Обзор антивирусов под Windows XP

SIMSR
Картинку исправь,нельзя нажать
А что вы думаете об антивирусе PC-cillin?У меня главная претензия к нему:посланные им вирусы по-моему,вообще не добавляют в базу.Во всяком случае,два моих файла от 17/09/05 до сих пор в состоянии pending
Не радует также то,что они уже давно не выпускают антивирус в чистом виде,а только комбайн PC-cillin Internet Security

rayoflight
Веришь, пока не пользовался. Прочитал внимательно сообщения от DrInvizzi и полностью перелез на Mcafee Enterprise+patch11+Antispyware модуль.
Вобщем, пока не желею. За это СПАСИБО DrInvizzi.

Добавлено.
Перелез это имеется в виду для дома. А жабам все равно буду NAV ставить.

SIMSR

Цитата:

А жабам все равно буду NAV ставить

читая западные эхи - плакать хочеться! Тогда уж SAV ставь. Контора одна, а антивирусы небо и земля!
О сырости продуктов Касперского версии 5 говорит тот факт, что пакеты исправлений весят как полная инсталяшка! И особенно мне понравилось вот это: "эксплоит не обнародован - но экстренное исправление сваяли"! Крутые парни!

Добавлено:
rayoflight

Цитата:

А что вы думаете об антивирусе PC-cillin?

один из рекомендованных к использованию в ВМФ США (для PDA https://infosec.navy.mil/ps/?t=av/av.tag&bc=av/bc_trendmicrosw.html)

wood

Цитата:

давно создан аналогичный продукт, называется McAfee InternetSecurity

Да я не про это... я про анти-руткит, registry guard, process guard, Proactive Defense, IMAP4 traffic scan, e.t.c

Добавлено:

Цитата:

А если я просто открою в архиваторе, то што не перехватится?

В каком смысле? Откроеш файл - запуск из архива или архив откроеш при помощи архиватора?


Цитата:

Кстати, если-бы память не проверялась монторингом, (имеется в виду определенные диапазоны памяти – адреса), то зачем тогда вообще антивирь нужен?

Затем чтобы вирусы ловить при из запуске


Цитата:

Я,я, фолксваген.

Вобщето этот пост не тебе был а wood


Цитата:

Ты про ту версию, песледнюю , в которой они уже у F-Secure идеи мягко говоря позаимствовали

А что из нее позаимствовали? Если так рассуждать то все Комбайны у друг друга все позаимствовали


Цитата:

Почитай пожалуйста сообщения от wood, при записи и чтении.

Ненашел - где именно?


Цитата:

Занервничаешь тут, когда все ключи к брату каспу забанены, а вместо обновления баз получаешь ежедневно по 5 мегабайт одного только блеклиста. Тут уже не обновлений баз.

Ну скажем белк лист - 5 кб и не ежедневно



Цитата:

Ты прав, это уже не нож, а кухонный комбайн каспа.
[img=http://img200.imageshack.us/img200/4614/avp121pu.th.jpg]

Бывает поправка на пре бету


Цитата:

Такое создавать не надо. Оно не имеет права назаваться крутым антивирем.

Почему?


Цитата:

Вот что бывает с каспом, после посещения некоторых варезных сайтов, его просто выгружают, а потом заражают комп

И это бывает опять же пре бета

wood

Цитата:

Тогда уж SAV ставь.

Нет, NAV. Ровно через год он загибается, и тогда жабам приходится опять думать.

Добавлено.

Цитата:

В каком смысле? Откроеш файл - запуск из архива или архив откроеш при помощи архиватора?

Открываю инфицированный от AITL файл в архиваторе.
1. C McAfee - архиватор не смог открыть файл, сообщил что файла не существует.
2. AVP beta (который действительно пошустрее обычной 5) - архиватор открыл файл.
AVP beta сообщил, что файл инфицирован.


Цитата:

Затем чтобы вирусы ловить при из запуске

При запуске первыми грузятся дрова и потом службы. Нельзя не проверять память.


Цитата:

А что из нее позаимствовали? Если так рассуждать то все Комбайны у друг друга все позаимствовали

У McAfee свое, так-же как у F-cecure, даже у NOD.
И только касп забирает, а не придумывает что-то свое.
(Кроме Istream и Icheker сорру за мой англ. Кстати, Icheker впервые была применена у F-cecure для архивов.)
Вот только они это никак не назвали.


Цитата:

Ненашел - где именно?

Цитата:

у McAfee настраивается когда проверять файлы: при чтении, записи, на сетевых ресурсах.

См 28 стр.


Цитата:

Почему?

Цитата:

И это бывает опять же пре бета

Да,может и бета, может и вся 5 бета. Ведь старичок AVP 4.5 там не выгружается.

SIMSR

Цитата:

При запуске первыми грузятся дрова и потом службы. Нельзя не проверять память.

Какая разница.. всеравно при запуске файла происходит доступ к нему который перехватывается


Цитата:

У McAfee свое, так-же как у F-cecure, даже у NOD.

Что именно свое то? У каста тогда тоже свое. Ониж не копировали куски кода от F-Secure v KAV


Цитата:

И только касп забирает, а не придумывает что-то свое.

опять же - что именно касп и у кого забрал?


Цитата:

Icheker впервые была применена у F-cecure для архивов.)

Конкретней можно? В чем состояла фича у F-Secure и как она работала?


Цитата:

1. C McAfee - архиватор не смог открыть файл, сообщил что файла не существует.
2. AVP beta (который действительно пошустрее обычной 5) - архиватор открыл файл.
AVP beta сообщил, что файл инфицирован.

2: Что значит архиватор аткрыл файл? Какой он файл открыл? Своего формата (winrar.exe opened .rar / .zip .7z e.t.c) илиже (winrar.exe запустил virus.exe из archive.rar / .zip / .7z)?

Добавлено:

Цитата:

См 28 стр.

Вот и хочется узнать в какомслучае McAfee не тормозит - только при перехвате на запись? Или при чтении тоже.

PS: Если говорить про скорость то у Каспа 2006 вобще 99.99% файлов винды, оффиса и.т.д не проверяются сейчас если конечно они орагинальные а не измененные Так что скорость будет еще выше чем у всех остальных

SXP

Цитата:

Вот и хочется узнать в какомслучае McAfee не тормозит - только при перехвате на запись? Или при чтении тоже.

у меня включено то и это - не тормозит.
Раздел антивирусных настроек Access Protection - настраиваются правила на шары, на доступ приложений в сеть, настраиваем правила для выполнения каких либо действий
( типа вот название одного из них : Prevent creation of new files in the System32 folder (.dll) ....... и так можно создать любое) Каспер немножко отстал со своими

Цитата:

анти-руткит, registry guard, process guard, Proactive Defense, IMAP4 traffic scan, e.t.c

SXP
1.В общем для F-cecure есть ... (не знаю как правильно назвать). Если первый раз например из файлового менеджера зайти в большой архив~150Мгб и выше, то нагрузка проца составит 90% и комп будет тормозить, до тех пор пока он не отмониторит все файлы в архиве. После этого повторный заход и... все происходит очень быстро.
2.
Цитата:

Что значит архиватор аткрыл файл? Какой он файл открыл? Своего формата (winrar.exe opened .rar / .zip .7z e.t.c) илиже (winrar.exe запустил virus.exe из archive.rar / .zip / .7z)?

Я просто взял и упаковал вирусняк при помощи плагина-архиватора 7z для тотал командера. После этого, этот архив чем не проверяй, все говорят, что вирусов нет.
Открываю его самим архиваторм - повер архиватор, ну соответствеенно получаю то, что описывал выше.

wood

Цитата:

настраиваются правила на шары, на доступ приложений в сеть, настраиваем правила для выполнения каких либо действий

Угу.. в том то и прикол что настраивать надо зарание А если стартанет вирус то у него по дефолту все разрешенно?

Добавлено:
SIMSR

Цитата:

После этого повторный заход и... все происходит очень быстро.

...Так может это и есть iChecker от движка КАВА?

SXP

Цитата:

в том то и прикол что настраивать надо зарание

а я где-то сказал, что VSE 8.0i - инструмент для чайника???? Ставьте F-secure там в мониторе воообще настроек нет..... А для меня "ползунки" последнего каспера, как красная тряпка на быка! (плюс его "тормоза")

wood

Цитата:

а я где-то сказал, что VSE 8.0i - инструмент для чайника????

я не про это... я про то что запретить создавать файлы можно существующему файлу.. а не свеже запущенному v McAfee eto Parental Control

SXP

Цитата:

я про то что запретить создавать файлы можно существующему файлу..

поддерживается т.н. "wildcacrd" - т.е. практически любому!

wood
опят же неверно.. ибо это будет либо (*/*.exe) тогда в обломе будут все exe и полезные и новые вредные либо любая иная маска - следовательно бреш ибо предугодать название файла вируса практически невозможно

следовательно эта фича переходит из раздела "Поведенческого блокиратора" в раздел "Родительский контроль" и перестает иметь практичекий смысл в отловле вирусов;

Народ.
А почему рейтинг висит уже два года? Есть обновление?

Кстати только недавно вышел DrWeb4ю33
Кто нибудь уже его смотрел? Использовал?

Avdenago

Цитата:

Есть обновление?

Пока нет.
Цитата:

Кстати только недавно вышел DrWeb4ю33
Кто нибудь уже его смотрел? Использовал?

Посотри на предущей страниуе пост отSXP.

SXP

Цитата:

..Так может это и есть iChecker от движка КАВА?

Нет, скорее нооборот.Эта фьюча идет еще со старой версии F-cecure.

wood

Цитата:

Ставьте F-secure там в мониторе воообще настроек нет.....

Можешь предявить доказательства?

SIMSR

Цитата:

Нет, скорее нооборот.Эта фьюча идет еще со старой версии F-cecure.

иЧекер впервые был реализован в КАВ 4.5 а это год 2002 / 2003 - непомню может и раньше

SXP

Цитата:

иЧекер впервые был реализован в КАВ 4.5 а это год 2002 / 2003 - непомню может и раньше

Ну так проверю это дело. Но что-то мне это не пападалось в топике AVP.

SIMSR

Цитата:

Ну так проверю это дело. Но что-то мне это не пападалось в топике AVP

http://www.kaspersky.ru/news?id=1311712

SIMSR

Цитата:

Можешь предявить доказательства?

ставил F-Prot Antivirus 3.14d . Поставь увидшь.... (про f-secure - была оговорка)

SIMSR

Цитата:

Открываю инфицированный от AITL файл в архиваторе.
1. C McAfee - архиватор не смог открыть файл, сообщил что файла не существует.

Не понял А почему у меня смог? Макафи 8. У тебя в On-Access Scan проверка архивов что ли включена?

AITL

Цитата:

У тебя в On-Access Scan проверка архивов что ли включена?

Да, включена.

wood

Цитата:

про f-secure - была оговорка

Веришь, я догадался, просто не знал какой антивирь ты имел в виду.

SXP

Цитата:

http://www.kaspersky.ru/news?id=1311712

Спасибо, прочитал и даже проверил для версии 4.5. Нету там iChecker, если хочешь могу выложить картинки.
Опять-же если интересно, iChecker и Istraems в виде беты получили реализацию только в AVP Personal 5.0 MP2 (~10.2004). Так что если честно, тут хрен поймешь, кто первый.

SIMSR

Цитата:

Веришь, я догадался, просто не знал какой антивирь ты имел в виду

а что , пробывал его?

wood

Цитата:

а что , пробывал его?

Очень и очень давно. Ощущение было...
В общем сразу стер и установил любимый NAV.

SIMSR

Цитата:

Спасибо, прочитал и даже проверил для версии 4.5. Нету там iChecker, если хочешь могу выложить картинки.

Можешь не напрягаться:

Цитата:

Технологии IChecker и IStreams были разработаны специалистами Лаборатории Касперского для сокращения времени проверки объектов на носителях информации Вашего компьютера. В отличие от версий 4.5 Антивируса Касперского эти технологии теперь работают как для Антивирусного монитора, так и для Антивирусного сканера.

http://www.kaspersky.ru/faq?qid=156135182


Если бы, подчёркнутое было не так, то они уже по судам запарились ходить.

abz

Цитата:

Если бы, подчёркнутое было не так, то они уже по судам запарились ходить.

Ну ведь мелкомягких по судам за их дырки не затоскали.

SIMSR

Цитата:

Спасибо, прочитал и даже проверил для версии 4.5. Нету там

Как проверял? 1 раз я ичекер в 4.5 лайт заметил.. G proveraetsa prosto v papke kava esli est iChecker.ppl zna4it est

Добавлено:
SIMSR

Цитата:

Ну ведь мелкомягких по судам за их дырки не затоскали.

А ты в этом уверен? А вобше возможно что у них с Лицензионном соглашении строчка - притензий не имел, не имею и никогда не буду иметь press Yes & ms is free

SXP
Проверкой больших файлов 4 раза подряд с перезагрузкой после каждой проверки. Кстати, ты обяснишь где там якобы это вшито. То что написано - не сделано. Почему тогда 6 со второго раза тратит много меньше времени. Интересно - сделай сам тесты. Скришноитиы у меня остались от AVP4.5 - тормоза страшного и ужасного.Плаг для мелкомягкого секюрити центра не сделали.М-да...пподдержка 4.5
PS.Хватит писать на английском. Это - ru-board.
PS.Хотя-бы изредка почитывай сообщения других, а не только себя.

Цитата:

iChecker и Istraems в виде беты получили реализацию только в AVP Personal 5.0 MP2 (~10.2004).

Добавлено.

Цитата:

Технологии iStreams и iChecker - основная "изюминка" Антивируса Касперского 5.0. Если их убрать, то пятая версия за исключением, на мой взгляд, декоративных элементов сразу же превратится в 4.0 или 4.5. А с iStreams и iChecker продукт реально работает в 2-3 раза быстрее своих предыдущих версий. На всякий случай, напомню, как работают эти технологии.

А теперь докажи, что iChecker реально работает в AVP4.5 под WinXp.

SIMSR
у 2006 kava 3 технологии iStreams2, iChecker2, iSwift

Добавлено:

Цитата:

Плаг для мелкомягкого секюрити центра не сделали.М-да...пподдержка 4.5

А кто сказал что 4.5 поддерживается?

Добавлено:
SIMSR

Цитата:

PS.Хотя-бы изредка почитывай сообщения других, а не только себя.

У меня есть прямой канал связи с ЛК... поэтому инфа моя верна

Добавлено:

Цитата:

А теперь докажи, что iChecker реально работает в AVP4.5 под WinXp.

я думаю просто надо взять Sysinternals FileMon и посмотреть обращения к.. sfdb.??? Если обращается - iChecker есть и тормоза надо искать где угодно...

http://www.securitylab.ru/vulnerability/204320.php

Цитата:

Обход парольной защиты в Kaspersky Anti-Virus

5 октября, 2004

Программа: Kaspersky Anti-Virus 5.0.149, 5.0.153
Опасность: низкая

Hаличие эксплоита: Hет

Описание: Уязвимость обнаружена в Kaspersky Anti-Virus. Локальный пользователь
может обойти парольную защиту, чтобы изменить конфигурацию или отключить
приложение.

Локальный пользователь может использовать приложение, типа RAMcleaner, чтобы
загрузить 'KAV.exe' без аутентификации. Затем пользователь может изменить
настройки конфигурации.

URL производителя:http://www.kaspersky.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее
время.

Добавлено:
http://www.securitylab.ru/vulnerability/240978.php

Цитата:

Сокрытие злонамеренных файлов в измененных архивах в различных антивирусах

не понял? Ведь Касперский такой "крутой" - а там же, в ж....

Ну вот, и у старика Нортона проблемы.

Цитата:

Лаборатория iDEFENSE Labs обнаружила уязвимость (из категории "переполнение буфера") в Symantec AntiVirus Scan. В результате злоумышленники могут удаленно выполнить произвольный код на уязвимом узле.
Сам продукт Symantec представляет собой сервер TCP/IP и программные интерфейсы, позволяющие интегрировать сканирующие технологии гиганта в решениях третьих фирм. Уязвимость была найдена в интерфейсе администрирования. Проблема в том, что продукт не проверяет введенные пользователем в HTTP-запросы данные, которые попадают в службу Scan Engine Web Service. Таким образом, можно сконструировать вредоносный HTTP-запрос, выполнить произвольный код и получить неавторизованные привилегии на атакуемой системе.

Источник fcenter.ru
Более подробно.