» Kaspersky Internet Security - KIS (часть 8)

gjf
3. Некоторые зверьки скрывают папки и приписываются под их видом... В первый раз когда я такое увидел было весело... чего это папка не открывается

Цитата:

Но даже с этим отлично должен справляться резидент, который перехватит в случае чего заразу.

Можно и так... Разница только одна - в моем случае - флэшка будет чистой (теоретически ). в твоем - зачистит если пользователь наткнется на зверька. Ну и флэшка вернется назад (скорее всего с живностью)

1. Тут мне трудно судить - те игрушки которые у меня - с Игровым режимом дружат
Хотя тут спорить не буду... когда сетевые шутеры - там выжимается все из компа, что бы раньше среагировать противника

2. Ну ТДСС это конечно аргумент . но. уж шибко железобетонно-неотразимый
Что-то я упустил обсуждение 4ки - как там при активном КИС - просочится?


Цитата:

Или я что-то не в тему сказал? Просто несовсем понимаю суть Вашего обсуждения...

Норм... подсказал то, что я упустил в обсуждении

Добавлено:

Цитата:

в случае использования KIS любителями постоянно и всё проверять... ...хотя какой-то смысл в этом и есть в том случае, если система постоянно висит в Инете и на ней запускают все подряд... Есть и такая категория пользователей и это факт...

Допустим - ативная КИСуля что-то пропустила, и КСН не передал инфу о новой программе а оттуда вердикт - "кусь, бяка". т..е. КИСуля видит процесс - но прибывает в уверенности что софтина правильная

Какой шанс - что файловый сканер - даст вердикт "фу, гадость"?

Цитата:

Ну если так рапортовать
"Ой у меня проблема, в чем она состоит я не скажу" - то естественно не заметят
Смотри - я уже сколько пытаюсь добится конкретики по вышеуказанной проблеме? и какой результат?

напомнило топик по 2011 версии про баг в контроль программ который сначала отредактировали а потом и вовсе скрыли от общественности
там тож рапортовали, убеждали а в ответ слышали да вы все врете и троллили все кому не лень, а потом оказалось действительно бага

jazz24
Может дай все таки конретику - какой компонет тормозит?
Я же не могу пинать людей, с симптомами "тормозит не известно когда"

Кстати - мне что то подсказывает что баги на 2012 сейчас принимаются охотно

cdrom2

Цитата:

если система постоянно висит в Инете и на ней запускают все подряд.

+ если пользователь под вечным админом и отключен UAC = не поможет ни один антивирус
KapralBel

Цитата:

Можно и так... Разница только одна - в моем случае - флэшка будет чистой (теоретически ). в твоем - зачистит если пользователь наткнется на зверька. Ну и флэшка вернется назад (скорее всего с живностью)

Если флешка попадёт на заражённую машину, откуда и пришла зараза - она благополучно опять заразиться
Если же зараза шла от моей системы - то значит антивирус не поймает её и на флешке.


Цитата:

Тут мне трудно судить - те игрушки которые у меня - с Игровым режимом дружат
Хотя тут спорить не буду... когда сетевые шутеры - там выжимается все из компа, что бы раньше среагировать противника

Там драка за каждый FPS. Так что просто поверь на слово


Цитата:

2. Ну ТДСС это конечно аргумент . но. уж шибко железобетонно-неотразимый
Что-то я упустил обсуждение 4ки - как там при активном КИС - просочится?

Не скажу - меня ЛКаши закидают гуано. Ну ты в курсе
"Железобетонных" аргументов на самом деле предостаточно, но просто этот - самый распространённый.

KapralBel
в СНГ 2012 версии еще нету, бета-версию не активируешь. ключ в ЧС ибо тестирование закончилось
баги не существующего в этой местности продукта?

gjf

Цитата:

Если флешка попадёт на заражённую машину, откуда и пришла зараза - она благополучно опять заразиться
Если же зараза шла от моей системы - то значит антивирус не поймает её и на флешке.

Логично
Но можно намекнуть "Ты какого .... (подставить по вкусу ) притащил мне вирус", не так ли
Лично я еше попрошу принести... в последнее время коллекция зверьков слабо пополняется...



Цитата:

Там драка за каждый FPS. Так что просто поверь на слово

Ы???? А мы не об одном и том же говорим?


Цитата:

но просто этот - самый распространённый.

Не знаю, но самый распиаренный - так точно

Добавлено:
jazz24

Цитата:

в СНГ 2012 версии еще нету,

Можно получить через ТП, если есть проблема с 2011

KapralBel

Цитата:

коллекция зверьков слабо пополняется...

Ну да, что-то интересное нынче не часто появляется. Но так всегда было! И интересное редко распространяется флешками

А "коллекции" вдоволь в сети валяются, их хранить смысла нет.


Цитата:

Ы???? А мы не об одном и том же говорим?

Неа. Ты - о быстроте реакции, что тоже важно. Я - о качестве прорисовки. Но это суть взаимосвязано, так что всё же наверное об одном и том же


Цитата:

Не знаю, но самый распиаренный - так точно

Он того стоит


Цитата:

Можно получить через ТП, если есть проблема с 2011

Ну как же нету? Зовите Данилку сам-знаешь-где

gjf

Цитата:

Неа. Ты - о быстроте реакции, что тоже важно. Я - о качестве прорисовки. Но это суть взаимосвязано, так что всё же наверное об одном и том же

- я тоже об отрисовке
Как не отключай антивирус, а какая у меня была реакция хр...ая, так она и осталась и отключения АВ не помогает .


Цитата:

Зовите Данилку сам-знаешь-где

Подкинуть кучу ссылок, где он помогает получить 2012 через ТП, если те не торопятся выдавать линк

В общем мы явно поехали куда то в сторону

Лично я пытаюсь (для более простого решения проблемы с одновременным запуском задач) пояснить - что полная проверка (выборочная отрабатывает гораздо шустрее - поэтому можно не учитывать ) - в нынешниее времена - не имеет смылса, если антивирус не отключался
Вернее подобрать аргументы - которые дойдут до подопечных cdrom2

KapralBel
gjf

Цитата:

Цитата: Или я что-то не в тему сказал? Просто несовсем понимаю суть Вашего обсуждения...

Норм... подсказал то, что я упустил в обсуждении

KapralBel

Цитата:

Лично я пытаюсь (для более простого решения проблемы с одновременным запуском задач) пояснить - что полная проверка (выборочная отрабатывает гораздо шустрее - поэтому можно не учитывать ) - в нынешниее времена - не имеет смылса, если антивирус не отключался

А я тут так подумал над твоей мыслью... Хотел написать опровержение, но потом поймал себя на том, что в том варианте, который реализован в КИСе, полная проверка вообще не нужна...

Суди сам: если даже я отключал резидента, но потом включил - он увидит заразу. Если не увидит - полная проверка тоже не поможет. Если зловред активно сопротивляется - я не запущу не резидент, не полную проверку.

Если же зловред валяется "тушкой", то он неопасен, пока не появится в проводнике. Но тут отработает резидент.

Так что реально - полная проверка ни к чему. Проверка областей - это да, если срочно надо просканить винт какой-то заражённой машины (не копаться же по всем папкам вручную и ждать реакции резидента).

Добавлено:

Цитата:

Вывод. KIS никак не ограничивает возможность запуска двух и более задач (сканирование, поиск уязвимостей, обновление баз и т.п), что может привести к нестабильной работе.

Гы, дык именно этот бок и исправлял когда-то в своих скинах Pipkin ака DrLimpopo. Неужели до сих пор не пофиксили разрабы?

gjf

Цитата:

Так что реально - полная проверка ни к чему. Проверка областей - это да, если срочно надо просканить винт какой-то заражённой машины (не копаться же по всем папкам вручную и ждать реакции резидента)

Цитата:

А в этом случае профиль настроек последующих проверок должен зависеть от профилей настроек предыдущих проверок и характера изменений в системе в этот промежуток времени, но увы..

Цитата:

Гы, дык именно этот бок и исправлял когда-то в своих скинах Pipkin ака DrLimpopo. Неужели до сих пор не пофиксили разрабы?

Русского KIS2012 вживую (на чужих машинах не видел) и пока на свою не хочу ставить...

gjf

Цитата:

А я тут так подумал над твоей мыслью... Хотел написать опровержение, но потом поймал себя на том, что в том варианте, который реализован в КИСе, полная проверка вообще не нужна...

Суди сам: если даже я отключал резидента, но потом включил - он увидит заразу. Если не увидит - полная проверка тоже не поможет. Если зловред активно сопротивляется - я не запущу не резидент, не полную проверку.

Если же зловред валяется "тушкой", то он неопасен, пока не появится в проводнике. Но тут отработает резидент.

Так что реально - полная проверка ни к чему. Проверка областей - это да, если срочно надо просканить винт какой-то заражённой машины (не копаться же по всем папкам вручную и ждать реакции резидента).

Абсолютно точно и кратко

cdrom2

Цитата:

А в этом случае профиль настроек последующих проверок должен зависеть от профилей настроек предыдущих проверок и характера изменений в системе в этот промежуток времени, но увы..

А вот эту мысль я никак не могу понять
Если проверка идет поверх предыдущей - то за это отвечает
Технологии iChecker и iSwift: общая информация и принципы работы в Kaspersky Internet Security 2011

Если на новый, сменный носитель - то что именно учитывать???

KapralBel

Цитата:

А вот эту мысль я никак не могу понять

Например, пользователь проверял систему всем чем можно, в том числе проверкой с технологий iChecker и iSwift, но потом решил проверить систему полным сканированием системы (хозяин-барин). Однако в системе осталось небольшое количество непроверенных объектов (например системные и другие логи, новые файлы ). Сразу понятно, что получается огромная избыточность в потреблении ресурсов при запуске последующей конкретной ресурсозатратной задачи до прихода новых обновлений. Понятно, что есть ещё и "облако", но тогда проверенные файлы можно (опционально) отдавать еще и ему.

И еще вопрос. Если обновились базы, а затем включить проверку заново. То файлы, уже проверенные ранее, проверяются опять по всем записям новой базы или проверка идет только по новым (измененым) записям?

Hi

cdrom2

Цитата:

Например, пользователь проверял систему всем чем можно, в том числе проверкой с технологий iChecker и iSwift, но потом решил проверить систему полным сканированием системы (хозяин-барин). Однако в системе осталось небольшое количество непроверенных объектов (например системные и другие логи, новые файлы ). Сразу понятно, что получается огромная избыточность в потреблении ресурсов при запуске последующей конкретной ресурсозатратной задачи до прихода новых обновлений. Понятно, что есть ещё и "облако", но тогда проверенные файлы можно (опционально) отдавать еще и ему.

Если честно - я еще меньше начал понимать
Давай так на примерах
Есть диск Д
на нем 4 папки - 1,2,3,4, в каждой 4 файла 1,2,3,4
Все проверки учитывали все файлы, за исключением Д:\4\4
Тут появился файл Д:\5\5

Что и как должно быть проверено?



Цитата:

И еще вопрос. Если обновились базы, а затем включить проверку заново. То файлы, уже проверенные ранее, проверяются опять по всем записям новой базы или проверка идет только по новым (измененым) записям?

Цитата:

Данный алгоритм учитывает дату предыдущей проверки и принимает решение проверять объект повторно или нет, основываясь на геометрической прогрессии с некоторым элементом случайности, а именно если с момента первой проверки и последней проверки объекта прошло столько же или более времени, то объект будет перепроверен. Алгоритм не учитывает промежуточные проверки объекта и их количество, а за основую берется время между первой проверкой и последней проверкой этого объекта. Также объект будет проверен, если настройки проверки были изменены на более жесткие.

Только не проси растолковать на примерах

KapralBel

Цитата:

Если честно - я еще меньше начал понимать

Пользователь повторно запускает проверку всего диска Д.
Реально непроверенными остались только Д:\4\4 и Д:\5\5 вот и их надо действительно проверить, поскольку проверка остальных папок избыточна.


Цитата:

Данный алгоритм учитывает дату предыдущей проверки и принимает решение проверять объект повторно или нет, основываясь на геометрической прогрессии с некоторым элементом случайности, а именно если с момента первой проверки и последней проверки объекта прошло столько же или более времени, то объект будет перепроверен. Алгоритм не учитывает промежуточные проверки объекта и их количество, а за основую берется время между первой проверкой и последней проверкой этого объекта. Также объект будет проверен, если настройки проверки были изменены на более жесткие.

Интересно, а в ЛК это могут растолковать? Пацсталом... Интересно, а эту фразу на офсайте ЕК читал или нет? Наверняка бы похохотал...:

Цитата:

основываясь на геометрической прогрессии с некоторым элементом случайности

и
Цитата:

прошло столько же или более времени

Автор текста с более далекой планеты чем я... Не могли нормально объяснить вероятностный подход (?) к автопринятию решения о проверке...
В этом случае проблема остается для съемных дисков с NTFS. В этом случае промежуток времени не может быть критерием?!(вопрос риторический)
А вообще, в этом случае гарантий безопасности нет!

Цитата:

Только не проси растолковать на примерах

Хорошо. Я же не садист.

Но а как быть с FAT ??? Получается надо постоянно перепроверять всей базой антивирусных записей, а не "обновленной" ее частью? Вопрос опят же связан с ресурсоемкостью задачи..

Цитата:

Реально непроверенными остались только Д:\4\4 и Д:\5\5 вот и их надо действительно проверить, поскольку проверка остальных папок избыточна

Ну... реализовано давным давно
Технологии iChecker и iSwift: общая информация и принципы работы в Kaspersky Internet Security 2011


Цитата:

Интересно, а в ЛК это могут растолковать?

Вот там как раз могут


Цитата:

В этом случае проблема остается для съемных дисков с NTFS.

В чем именно?


Цитата:

А вообще, в этом случае гарантий безопасности нет!

Безопасности вообще нет... Злые дядьки. злые вирусы, злые астероиды, злые клавиатуры, злые пользователи

KapralBel

Цитата:

В чем именно?

В том, что технология iSwift требуем минимум двух проверок. И интервал времени между ними должен быть значительным. А если ранее диск использовался на системе без KIS, то и ранней статистики нет.

И в чем состоит проблема????

сменный диск, который побывал на другом компе - это уже повод для проверки всего

Все мои посты завязаны на избыточность как проверок сканирования, так и избыточностью при проверке всей (а не ее обновленной частью) базой, а не проблемы безопасности.
Например:

Цитата:

Но а как быть с FAT ??? Получается надо постоянно перепроверять всей базой антивирусных записей, а не "обновленной" ее частью? Вопрос опят же связан с ресурсоемкостью задачи..

Все мои посты завязаны на избыточность как проверок сканирования, так и избыточностью при проверке всей (а не ее обновленной частью) базой, а не проблемы безопасности

(мой савет к псхиатру )

cdrom2

Цитата:

Но а как быть с FAT ??? Получается надо постоянно перепроверять всей базой антивирусных записей, а не "обновленной" ее частью? Вопрос опят же связан с ресурсоемкостью задачи..

Статью читал??
То что явно неуказано для работы с только НТФС - то работает с ФАТ32


Цитата:

Все мои посты завязаны на избыточность как проверок сканирования, так и избыточностью при проверке всей (а не ее обновленной частью) базой, а не проблемы безопасности.

Избыточность сканирования - нету этого. иЧекер + и Сфивт - решают проблему
Инструмент для решения этой проблемы есть? - есть
А если кто-то не хочет им пользоваться , что бы побаловать свою паранойю (это я о подопечных) - они обойдут любое решение - но сделают по своему

kimanoxosax
Цитата:

(мой савет к псхиатру )

Кстати об избыточности.
Какое-то время назад (около полугода назад или чуть больше) я поднимал вопрос об избыточности в сигнатурных базах. И с недавнего времени в ЛК начали оптимизацию (новых записей не появляется, а оптимизируюся старые) баз за счет эвристики. (Кто хочет - может перелопатить мои раннее посты в этом топике). Правда, я не претендую на свою исключительную заслугу в этом!
Правда избыточность появилась в виде ложных срабатывание по эвристике. В ЛК, как вариант, могли бы пользователю предоставить право выбора скачивать уже оптимизированные под эвристику базы или скачивать дополнительно неоптимизированную (за счет эвристики) сигнатурную базу.

Почему я не обсуждаю проблемы безопасности. Да потому-что про них уже почти все сказано. Я не являюсь вирусным аналитиком, и не строю прожекты как ЕК, который из KIS хочет сделать антиспам и "облачный" РК. (Можете выписать направление ему, а я подожду. ). Почему я не обсуждаю как и где нажать кнопочку или почему не обновляется сабж, да потому-что это (ИМХО) бесцельная и пустая трата времени.

Если Вы так компетентны в выписке направлений, сравните сколько будет проверяется файловый архив всей базой и сколько будет проверяться файловый архив обновленной частью этой базы. Если это нецелесообразно, то дайте квалифицированный ответ.

cdrom2

Цитата:

И с недавнего времени в ЛК начали оптимизацию (новых записей не появляется, а оптимизируюся старые) баз за счет эвристики

Ошибка Базы оптимизируются давным давно


Цитата:

который из KIS хочет сделать антиспам

В КИС есть антиспам начиная с версии 6.0 .


Цитата:

"облачный" РК.

А можно ли пруфлинк на этот факт - а то что-то новенькое


Цитата:

сравните сколько будет проверяется файловый архив всей базой и сколько будет проверяться файловый архив обновленной частью этой базы.

А вы можете привести такие замеры :crazy:
ИМХО - это будет даже дольше
Начни проверять объект
отфильтруй сигнатуры, которые изменились со времени последней проверки
Проверь ими

А учитывая что большая часть софта проверяется не сигнатурным анализом, а по КСН....

KapralBel
Цитата:

Базы оптимизируются давным давно

Да. Но в последнее время количество новых записей практически нулевое (за счет оптимизации старых записей). А раньше новые записи появлялись в огромных количествах, а реально оптимизировались единицы...

Цитата:

В КИС есть антиспам начиная с версии 6.0

Я и не писал, что его не было. Я о том, что антиспам становится "стратегическим" направлением в индустрии безопасности. (Последняя статья ЕК. Можно погуглить и найти ее).

Цитата:

А можно ли пруфлинк на этот факт - а то что-то новенькое

Оффорум ЛК. Тема о KIS2012. Не более недели назад. Задавался вопрос ( с принтскрином) , о том что в разделе "защита из облака" присутствует РК. (если пост не затерли...)
Пока без пруфлинка...

Цитата:

Начни проверять объект
отфильтруй сигнатуры, которые изменились со времени последней проверки
Проверь ими

Может Вы и правы... Правда фильтровать записи можно не перед проверкой, а во время обновления (хотя базы немного разрастутся).

cdrom2
Все таки желательно пруфлинки
* на антиспам как стратегическое направление
* и на родительский контроль в облаке (хотя бы ветку)


Цитата:

Правда фильтровать записи можно не перед проверкой, а во время обновления (хотя базы немного разрастутся).

Новый формат баз, капитальная переделка и домашних продуктов и корпоративки - а смысл?


Цитата:

Но в последнее время количество новых записей практически нулевое

Если количество файлов не меняется - это еще не факт что сигнатуры не растут

KapralBel
Цитата:

* на антиспам как стратегическое направление

Касперский: Ответственность за рассылку спама должна быть уголовной

Цитата:

и на родительский контроль в облаке (хотя бы ветку)

Сообщение есть, но подтверждения пока нет.
Возможно я и поспешил.
Цитата:

Новый формат баз, капитальная переделка и домашних продуктов и корпоративки - а смысл?

А может смыла и нет... но может и есть. Вопрос остался.

Цитата:

Если количество файлов не меняется - это еще не факт что сигнатуры не растут

Формат баз изменился? Если нет, то избыточность все-таки была. (малая плотность заполнения файлов сигнатурными записями).

На всякий случай еще раз подтверждаю свое пожелание:

Цитата:

Правда избыточность появилась в виде ложных срабатывание по эвристике. В ЛК, как вариант, могли бы пользователю предоставить право выбора скачивать уже оптимизированные под эвристику базы или скачивать дополнительно неоптимизированную (за счет эвристики) сигнатурную базу.

cdrom2

Цитата:

Касперский: Ответственность за рассылку спама должна быть уголовной

И?
Это же не развитие продукта - это намек властям


Цитата:

Сообщение есть, но подтверждения пока нет.

Можно пруф.


Цитата:

Формат баз изменился? Если нет, то избыточность все-таки была.

Да. В 2012 хранятся в одном файле
Причина смены способа хранения - резкое уменьшение нагрузки
Для понимания - попытайся скопировать на сферическом компе в ваакуме (т.е. с выключенным антивирусом)
1 большой файл - на 1 Гб
и
огромную кучу мелких - на тот же объем
и засеки время


Цитата:

В ЛК, как вариант, могли бы пользователю предоставить право выбора скачивать уже оптимизированные под эвристику базы или скачивать дополнительно неоптимизированную (за счет эвристики) сигнатурную базу.

Подумай - за чей счет будут поддерживать в каждом продукте 2 типа баз, а также место хранения, и т.д. и т.п.
А потом как тебе будет икаться когда тебя будут вспоминать теплыми словами

KapralBel

Цитата:

Подумай - за чей счет будут поддерживать в каждом продукте 2 типа баз, а также место хранения, и т.д. и т.п.

"поддержка двух типов баз неодновременно (переход на другой тип базы только после перезагрузки)" - не требует сверхусилий от программеров. Это раз.
"также место хранения" - лишних пару сотен мегабайт это не проблема. Тем более, что наверняка можно хранить (?) более полную базу (первый вариант) и разницу между полной и облегченной базой (для обеспечения второго варианта). А может и наоборот...
Для KIS это может и немного (но только "немного") непрактично. А для KAV - в самый раз.

Цитата:

А потом как тебе будет икаться когда тебя будут вспоминать теплыми словами

А от меня что-то зависит... Наверняка, что нет.

Вот именно, что одновременно
1. На серверах должно хранится одновременно 2 типа баз
2. Пополнение баз
3. Проверка баз
4. адаптация продуктов (не просто переключение, но и учет новой фишки - проверка только новыми базами, а это:
1. переписывание - файловых мониторов
2. задач сканера по запросу
3. апдейтер
4. другие задачи, использующие сигнатуры
5. для корпоративки это и центр управления
6. тестирование
7. сопровождение)



Добавлено:

Цитата:

А от меня что-то зависит... Наверняка, что нет.

Ну автора идей все очень любят