» Обзор антивирусов под Windows

WatsonRus

Цитата:

Kido спокойно отключил его самозащиту

Я работаю под учеткой пользователя и настроил родительский контроль на запуск программ, так что никакой вирус у меня не запустится, мне и антивирус-то нужен постольку поскольку...

WatsonRus

Цитата:

ИМХО, как ни странно, действительно Аваст намного лучше стал, чем раньше. По крайней мере, посмотрел, даже версия 4.8 Home у знакомого копает намного глубже Авиры.

Интересно. А в чем\на чем проявилось?

Подскажите,плз.
В каком из антивирусов (для клиента!!!) есть возможность проверять надежность сертификата сервера при любых сеансах передачи данных по 443 порту (HTTPS) и анализировать информацию про техническую (пропатченность и т.д.) надежность сервера, а также получать с обновлениями перечень надежных сертификатов и список возможных уязвимостей (неустановленные патчи, перечень возможных ошибок конфигурации сервера и т.д.)?

redwhiterus 22:45 31-07-2010
Цитата:

Интересно. А в чем\на чем проявилось?

Чисто визуально - в проверке внутри 7z архивов, в проверке внутри инсталляторов (не знаю, всех ли ). Вот насчет пакеров - не обратил внимания, ибо смотрел у знакомого. В следующий раз посмотрю повнимательнее...
Консольная Авира (скорее всего, и GUI-вариант тоже, ибо движок у обоих общий) подобные вещи не проверяет (хотя соответствующие ключи -z (проверять архивы) и -allfiles стоят, -heuristic:3 (т.е. на максимуме)).

cdrom2
http://www.microsoft.com/downloads/details.aspx?familyid=f32921af-9dbe-4dce-889e-ecf997eb18e9&displaylang=en

WatsonRus
Спасибо, теперь понял о чем вы. Большой вопрос есть ли толк

amcenter
Riell

Флуд.

gjf
Спасибо.

Если можно ещё вопросик.

Возможно ли (чем бы то либо) автоматически фильтровать недоверенные сессии передач по протоколу TLS .
...Где отрабатываемые сессии могут инициироваться любыми приложениями, а не обязательно только браузерами. Иногда интересно посмотреть данные о сертификате и параметрах настройки принимающего сервера для этого случая (сессии вне браузера)...
...Где признаками недоверености сессии могут служить
1.Устаревший сертификат
2.Степень безопасности подключения
3. Информация об ошибках, которые могут отображаться в браузерах (Например сообщения "Сервер не поддерживает безопасное пересогласование TLS. Владельцу сайта желательно обновить сервер", "Небезопасный сайт" и т.д.)....

Если такой возможности нет, то это весьма прискорбно.
Спасибо.

cdrom2

Цитата:

Если такой возможности нет, то это весьма прискорбно.

Во-первых не знаю, а во-вторых - это не тема данной ветки

gjf
Цитата:

это не тема данной ветки

Понял!
А обсуждение вопроса наличия такого, несвойствнного в чистом виде для антивирусов, компонента функционала как "поиск уязвимостей" (например в KIS)?
Я же не могу тыкаться по другим веткам и спрашивать : "А у вас это есть?" И так 150 раз!
Спасибо.

cdrom2
Не знаю. Я его впервые увидел в КИСе. В других не видел (но не факт, что они там не появились).

Реально поиск и отслеживание уязвимостей, установка обновлений - это работа администратора.

А почему здесь не упоминается ни словом антивирус Stop!?

Наверное по той же причине что и Райзинг и Писитулс
А мне вот очень понравился QuickHeal - у него есть такая фича на грани искуственного интелекта - он автоматически удаляет исполняемые файлы которые без причины лежат в корне диска и в системных папках По моему это очень круто, жаль нет лекарства на него...
А сейчас у меня стоит Prevx - Антивирусник без баз сигнатур - очень рекомендую

Цитата:

А сейчас у меня стоит Prevx

А теперь поподробнее . Что за чудо ? Название такое где-то слышал . И где можно про него почитать ?

Prevx - облачный антивирус с функциями хипсы, в последних версиях появился русский язык и модуль защиты браузера.
Программа вероятно высчитывает хеши всех файлов на ПК и сравнивает со своей базой на сервере, если хеш новый - автоматически отсылает на изучение.
Особенно ценная функция - прога обращает внимание на новые по дате исполняемые файлы без цифровой подписи, часто предлагает их удалить или добавить в исключения.
Бесплатная версия для предприятий не имеет функции лечения [more] Пока её не заменить на вылеченную (достаточно 1 запуска, затем можно продолжать юзать русскоязычный оригинал).

Вот ссылка на вылеченную англоязычную версию.[/more]

Вот прочитал : Программа оперирует как [COLOR="Red"]сигнатурным[/COLOR] типом анализа, с использованием баз данных, загружаемых с серверов разработчика, так и эвристическим, определяющим вредоносные программы, исходя из их поведения в системе.

Добавлено:

Цитата:

автоматически отсылает на изучение.

Так трафика не напасёшься .

Утечки трафика я не обнаружил, возможно у них стоит ограничение на размер и отсылаются лишь мелкие файлы с большими интервалами и скорее всего только файлы без цифровой подписи только в недавно открытых каталогах...
Зато я обнаружил что прога за пару дней классифицировала все исполняемые файлы на моих дисках и заметно увеличила базу своих сигнатур. Такое поведение я наблюдал только у Microsoft Security Essential.
Из минусов - нулевая информативность сообщений о вирусах: все вирусы определяются как "Cloacked Malware".
Думаю прога использует чужие антивирусные движки на стороне сервера и чтоб не светить какие - заменяет все названия вирусов.

576438

Цитата:

классифицировала все исполняемые файлы на моих дисках

А как быть с ADS-потоками? А как быть, если валидный файл через некоторое время заразиться? И считать хеши у всех исполняшек очень печалит, особенно при приличных размерах (например, самораспаковывающийся архив).

Про Prevx вообще слышал только очень нелестные отзывы.

На архив без цифровой подписи думаю обязательно ругнётся. Там ещё уровень эвристики можно менять, но я не тестировал пока, т.к. в дополнение к нему стоит русифицированная Free версия online armore 4.0 и я смело запускаю всякую заразу, даже без виртуалки.

576438 Ответь в мне в личку об online armore 4.0 Free . В ней можно запретить доступ по конкретным IP или нет ? В ейном разделе спрашивал , никто не смог ответить .

redwhiterus 23:25 01-08-2010
Цитата:

Большой вопрос есть ли толк

Толк есть. Чем глубже антивирь смотрит, тем лучше.

576438 16:13 02-08-2010
Цитата:

Prevx - облачный антивирус с функциями хипсы, в последних версиях появился русский язык и модуль защиты браузера.

Судя по Virustotal - законченный параноик. Даже безобидные файлы определяет как это самое Cloacked Malware (хотя PEiD прямо говорит, почему он орет - простой пакер - обычное дело, как и у прочих - сдираешь пакер - и тишина - никакого High Risk)

Цитата:

облачный антивирус

Никогда себе облачника не поставлю. И без них на каждом шагу.

gjf
Альтернативные потоки действительно пока в упор не видит. Проблемы могут возникнуть с вирями заражающими все файлы подряд, но таких я видел немного да и даже нод с такими не справлялся...
Зато Prevx за пару дней определил Все винлоки 2-х летней давности, которых нет в базах ведущих антивирусов. А обычные антивири их до сих пор не ловят, разве что средствами проактивки (у тех у кого она есть)
WatsonRus
А смысл применения этих пакеров? [more] В 50% какой то умник решает заделаться хакером, берёт старый вирь и пакует...
Именно за удобные функции детекта пакеров я уважаю такие движки как Ikarus(a2), Avira и McAfee.
Если сдираешь пакер и у файла нет цифровой подписи, то после проверки через день два Prevx его "проанализирует" и в крайнем случае выдаст уровень опасности файла: medium или high...
Вообще я считаю что софт должен быть в первую очередь безопасным - если автор программы использует упаковщик и при этом не ставит цифровую подпись то он должен быть готов к тому что его творение обязательно будет детектиться как вредоносное ПО некоторыми антивирусами и всеми HIPS...
[/more]

576438

Цитата:

винлоки 2-х летней давности

Добавлено:
gjf
[more=#]В ПМ гляньте.[/more]

Вы может быть в курсе, что за антивирус: Kingsoft Free Antivirus 2010.07.27.193 - бесплатный и весит 17 мегабайт?

Mikola84
Так он еще на стадии beta

Что лучше: Аваст 4.8 профeссионал или Аваст 5.0 фри

Mikola84
Во-первых, в специальной теме по Аваст подобные вещи уже обсуждались. Во-вторых, вопрос сейчас вообще незачем обсуждать: поддержка ветки 4.x практически прекращена.

Avada 10:45 06-08-2010
Цитата:

поддержка ветки 4.x практически прекращена.

Пока обновляется - ветка жива. Аналогично Касперу 7. И будет ИМХО еще жить - ибо Avast BART CD пока что на основе именно 4.x.

Привет всем!

Нужен совет. У меня установлен NOD32 4, но поднадоел своими предложениями об отсылке подозрительных файлов. Хочу сменить на другой. Я не знаю какой лучше - мне кажется что они все приблизительно одинаковы.


Хотелось бы:
1. Отсутствие прожорливости оперативной памяти. Чем меньше программа потребляет, тем для меня лучше.

2. Возможность автоматического (в худшем случае, ручного) обновления баз.

3. Платный и бесплатный - неважно. Важно, чтобы у платного ключик действовал хотя бы на год, а не на месяц.

4. Наличие русского языка желательно, но не обязательно.

Ссылки не нужны - найду все сам. Спасибо заранее за советы и реальную помощь.

Riell

Цитата:

Так он еще на стадии beta

Что-то здесь ни слова про стадию бета
http://www.kingsoftsecurity.com/kingsoft-antivirus.html