Ru-Board.club
← Вернуться в раздел «Программы»

» Avira AntiVir Personal (антивирус, antivirus)

Автор: SergN77
Дата сообщения: 02.07.2008 16:11
Вот почитал, что здесь по поводу webguard и просто guard и решил высказать свое имхо.
guard - это файловый антивирус. Его функции при обращении (запись/создание/открытие в зависимости от настроек) к файлу на носителе прежде чем позволить выполнить данную операцию, проверка файла на вирусы. Объект здесь физически есть на носителе и его можно проанализировать. Guard НЕ защищает память, он её вобще не рассматривает как объект для защиты, он защищает только файлы. И если вы отключите guard и запустите вирус, а потом включите защиту, то он уже вам не поможет, он лишь сможет (зависит от вируса) защитить от создания уже запущенным вирусом, файловых объектов. Найти его в памяти сможет только сканер. В ситуации с интернетом, как уже выше упомяналось, браузер первым делом загружает зловреда в память и пытается его выполнить, либо сохраняет на диске по частям (поток закачки) и не дожидаясь пока все полностью скачается пытается выполнить действия с частью закачанного.Напрмер тотже jpeg или потоковое видео он качает постепенно и отображает по мере закачки. Но файловый антивирус guard в этот момент может проанализировать только закаченную часть (остальное еще в сети и не доступно) и не факт что весь вредоносный код в ней есть. Поэтому он не может однозначно определить зловреда пока не скачается достаточная часть кода. А браузер уже весь код по частям загружает в память и потом либо по частям либо после полной загрузки в память исполняет. Тут уже файловый антивирус не поожет.
В этой ситуации поможет либо кеширующий прокси (чем по сути и является webguard и порт у него 40080). Тогда другое дело. Браузер сначала отправляет запрос прокси, на прокси приходит запрашиваемый объект, записывается на диск и тогда его guard отлавливает, а если нет заразы то прокси его передает браузеру. Либо webguard получает от браузера запрос (точнее он сам перехватывает http запросы) и кеширует (сохраняет) сначало себе в память (скорей всего в память а не на диск иначе бы происходил двойной детект guard+webguard), анализирует и потом отдает браузеру, если нет заразы.
Короче Webguard нужен и полезен. Вот суть моих рассуждений. Попробуйте доказать мне обратное если хотите. Не верю я о всех рассуждения о дани моде. Все новые возможности это не дань моде, а новые решения по защите основанные на опыте и зря их делать не стали бы.

P.S. Не разобравшись в сути вопроса не спешите давать советы по этому вопросу. А разобравшись, сначало послушайте другие мнения, возможно окажется, что вы вовсе и не разобрались.
Автор: SandraRich
Дата сообщения: 02.07.2008 16:38
Пользуюсь данным антивирусом определённое время, и заметила некоторые изменения в качестве его работы.

Когда я скачала Авиру, установила и начала ей пользоваться, тогда была 7-я версия программы, все вирусы отлично находились и удалялись, так же, антивирус быстро реагировал на обноружение вирусных сайтов.

Сейчас, после обновления версии на 8-ю, и автоматического продления лецензии, качество работы антивируса заметно снизилось. При заходе на зараженный сайт, Авира распознаёт только Crypted.Gen вирусы, трояны и прочие вредоносные программы она не замечает, более того, даже при сканировании трояны не находятся. Раньше такого не было, всё отлично находилось.

Вопрос в том, что могло повлиять на качество работы Авиры? Почему она перестала распознавать и предупреждать о троянах и других опасных вирусах? И какой программой можно удалить найденные трояны?
Автор: aleksdem2
Дата сообщения: 02.07.2008 16:56
SergN77
В принципе, Вы очень доходчиво нарисовали работу веб-монитора при помощи кеширующего проксисервера, как и работают эти модули во всех современных антивирусах.
Слабое место в этих теоретических выкладках (для меня) - это:

Цитата:
Но файловый антивирус guard в этот момент может проанализировать только закаченную часть (остальное еще в сети и не доступно) и не факт что весь вредоносный код в ней есть. Поэтому он не может однозначно определить зловреда пока не скачается достаточная часть кода.

Зловредный код (сигнатурно, эвристически) определяется всегда по части. Сигнатура - это и есть часть (безвредная еще) зловреда. А что, вебгуард позволяет в память (кеширующий сервер) загнать зловред полностью и только после этого его определить? У веб-модуля те же базы (возможности), что и у основного монитора и следовательно смогут (или не смогут) они его определить после закачки идентичного куска. Вы скажете, что в кеширующем проксисервере (в памяти) зловред не страшен, пока не начнет исполняться браузером? А я и спорить не буду. Но скажу, что пока он не начнет исполняться браузером, он и без кеширующего сервера не опасен. А вот при исполнении его браузером и должен сработать основной монитор.
P.S. Советы здесь вообще никто не дает. А высказать свое мнение никто никому не запрещает (как раз наоборот).


SandraRich
Вот если Вы прочитаете последние прения о новых модулях Avira да еще и вникнете в их суть - ответ появится сам собой....
Автор: ozioso
Дата сообщения: 02.07.2008 17:12
SergN77
Для начала, покажи, пожалуйста, как запускается наполовину скаченный файл с вирусом?
Автор: gjf
Дата сообщения: 02.07.2008 17:24
SandraRich
Возможно, зловреды сидят в архивах, а у тебя отключена проверка архивов.
Автор: SandraRich
Дата сообщения: 02.07.2008 17:56
gjf, у меня все настройки по умолчанию. Если раньше при сканировании находились вирусы, то с прежними настройками, теперь они не находятся, хотя, безусловно вирусы есть.
А как можно изменить настройки, и включить проверку архивов?
Автор: 1933
Дата сообщения: 02.07.2008 18:06

Цитата:
А как можно изменить настройки, и включить проверку архивов?

заходите в сервис, выбираете режим эксперта, выставляете всё по максимум.
Автор: aleksdem2
Дата сообщения: 02.07.2008 18:13
SandraRich
Посмотрите внимательно это кино, и перенесите все настройки на свою версию Avira.
http://rapidshare.com/files/54965654/Ustanovka_antivirusa.rar.html
Его сделали когда-то для седьмого Классик, но все там актуально. Я бы единственное не рекомендовал отдавать сканеру максимальный приоритет при сканировании. Это совсем не обязательно, а тормоза во время сканирования появятся точно..

Автор: VitRom
Дата сообщения: 02.07.2008 19:06
Вниманию страждущих! Хауту

Полностью Автоматический Guard в Classic-е -- без вечного всплывающего окошка (правда, и без звука )

1. Останавливаем Guard (например, убираем галку в трей-меню)
2. Открываем свой AVWIN.INI и ищем секцию [GUARD]
3. Добавляем (в "чистом" Классике, с которым не экспериментировали, этих строк нет) в неё
Код: ScanActionMode=0
PrimaryActionForInfected=1
SecondaryActionForInfected=4
BeforeActionToQuarantine=1
ShowWarningMessages=0
Автор: aleksdem2
Дата сообщения: 02.07.2008 19:14
VitRom
А не пробовал русифицировать Классик заменой файлов и тоже запретить SYSTEM после этого к ним лезть?
Автор: VitRom
Дата сообщения: 02.07.2008 19:25
aleksdem2, а что именно запретить? "Изменение", "Запись"? В принципе, можно. Но как обновляться? А при обнове все файлы чексумятся и чуть что перекачиваются. И если к ним нет доступа то ИМХО(!) есть риск попасть на вечное всегда незаконченное и всегда повторяемое обновление.

Хотя... Инициатива-то наказуема! Попробуй Насколлько помню, почти весь фейс лежит в дллях вида *рц.длл.
Автор: aleksdem2
Дата сообщения: 02.07.2008 19:34
VitRom
Ты знаешь, это меня натолкнула твоя идея с guardgui.exe. И, кстати, в инкрементное обновление ни один файл с русской локализацией не входит. То есть, если SYSTEM запретить этим файлам Запись (а может и доступ вообще), программа должна обновляться без пролем. Avira при обновлении проверяет и восстанавливает все свои файлы. Но если проходит подобный фокус с guardgui.exe, то может и с другими пройдет?
Автор: VitRom
Дата сообщения: 02.07.2008 19:58
aleksdem2, идея в общем-то и не моя, а badjunk или ещё кого-то раньше, я только шагнул в сторону.

Но обрати внимание -- ставится только запрет выполнения, и больше ничего. Т.е. всё остальное можно. И писать, и даже удалять. А в твоём случае запретом выполнения не обойдёшься. Вот и возникло сомнение - как бы апдейтер не начал постоянно пытаться завершить "неудавшееся" обновление.

Хотя "практика - критерий истины", а про инициативу я писал Тем более баиньки хоца
Проще всего - возьми из шапки "серверный" сетап, и залочь его, как предлагаешь. Или, если есть, просто файлы от русской Про или Воркстейшн - они почти идентичны Классику. Вроде бы
Автор: aleksdem2
Дата сообщения: 02.07.2008 20:18
VitRom

Цитата:
Проще всего - возьми из шапки "серверный" сетап, и залочь его, как предлагаешь. Или, если есть, просто файлы от русской Про или Воркстейшн - они почти идентичны Классику.

Да я это все в курсе. Попробую как-нибудь ради спортивного интереса...
Автор: maik2
Дата сообщения: 02.07.2008 21:14
aleksdem2

Цитата:
Посмотрите внимательно это кино, и перенесите все настройки на свою версию Avira.

Для русской тоже годится?
Автор: aleksdem2
Дата сообщения: 02.07.2008 21:49
maik2
Конечно годится. Просто там кино снято для Классик, а его русского нет. Но разобраться там проще-простого. Открывайте окно своей Avira и потихоньку выполняйте рекомендации...
Автор: SandraRich
Дата сообщения: 02.07.2008 23:27
1933

Цитата:
заходите в сервис, выбираете режим эксперта, выставляете всё по максимум.

У меня программа на английском. Ничего подобного не вижу.

Вообще, конечно, это очень странно, что антивирус вот так вдруг перестал находить сканером имеющиеся вирусы. Таким образом, появилась потребность в дополнительной программе по их поиску и удалению. Если Avira мало того, что пропускает вирусы, так ещё и не находит их во время сканирования, то напрашивается вопрос о её надобности на компьютере.
А жаль, такой хороший антивирус был в самом начале его применения…

Автор: dgsjsj
Дата сообщения: 02.07.2008 23:41
SandraRich
Русская версия с оф. Сайта Дистрибутивы продуктов
http://www.avirus.ru/content/view/57/112/
Avira AntiVir Premium (rus)
http://dl1.antivir-pe.de/down/windows/antivir_workstation_winu_ru_hp.exe
В каждом окне есть кнопочка Справка, достаточно здравого смысла выставить нужные параметры.
Для надёжного удаления прежней версии берём
Avira RegistryCleaner 887 Kb
http://www.avira.com/en/support/support_downloads.html


Автор: SandraRich
Дата сообщения: 03.07.2008 00:11
dgsjsj, английская версия программы меня устраивает намного больше, чем русская. И вообще, это очень хороший антивирус для бесплатного пользования. Просто немного удивлена, что качество его работы стало хуже. Вроде и обновления качаются регулярно, но, почему-то не реагирует на вирусы.

И чем, собственно, полезна программа для удаления прежних версий Avira? Ей необходимо пользоваться каждый раз после выхода новой версии антивируса или совсем не обязательно это делать?
Автор: dgsjsj
Дата сообщения: 03.07.2008 01:14
SandraRich
1.Если коротко, чтобы не множить проблемы. Любую программу лучше ставить не обновлением из оболочки старой, а установкой её дистрибутивом последней версии с оф.сайта. не имея следов старой.
2. Рекомендации разработчика по Avira RegistryCleaner описаны на странице загрузки на языке который вас устраивает.(Мера вынужденная)
После обновления ядра программы ей пользоваться конечно не надо, программа сама переписывает ветви реестра.
ТО что я вам рекомендовал относиться к версии Avira AntiVir PersonalEdition Premium.
Цитата:
хороший антивирус для бесплатного пользования

можно трактовать по разному.


Автор: SergN77
Дата сообщения: 03.07.2008 01:52
aleksdem2

Цитата:
Слабое место в этих теоретических выкладках (для меня)

Я и не спорю на счет закачки по частям это всеголишь моя попытка логически объяснить почему вирусы попадают в кеш и остаются при этом незамеченными (хотя я в этом сомневаюсь т.к. сам не проверял).
Вобще это не суть моего высказывания.
Суть в другом. Браузер может выполнять скрипты непосредственно загружая их в память из сети. Здесь guard бессилен. Он может увидить заразу только при записи на диск.
webguard - тотже кеширующий прокси только в памяти и без сохранения кешируемых файлов. Он какраз может проверить трафик до того как браузер наченет его исполнять.
Есть еще вариант поставить программу с защитой hips (анализатор активнсти приложений). У меня например фаервол comodo 3 имеет такую функцию. Но там уже другой подход. Там все зависит от решения пользователя разрешать или нет данную активность.
Вобще я не пытаюсь никого убедить в том что надо использовать или не использовать те или иные возможности защиты. Просто достоверно не зная как это все работает не стоит делать выводы, что можно не использовать эти функции. Используя тотже webguard уж точно защиту не ослабишь, а не используя - точно никто не знает (по крайней мере из аппонентов).
Автор: SandraRich
Дата сообщения: 03.07.2008 04:40
dgsjsj

Цитата:
ТО что я вам рекомендовал относиться к версии Avira AntiVir PersonalEdition Premium.


Цитата:
можно трактовать по разному.

Я пользуюсь Avira AntiVir PersonalEdition Classic. Это бесплатная версия антивируса.
Автор: oabox
Дата сообщения: 03.07.2008 05:46
SandraRich, а как Вы узнаете, что на компе есть вирусы? Руками на ощупь?
Настройте программу так, как рекомендовано в кино, выложенном на предыдущей странице. От настроек очень многое зависит, а настройки по умолчанию... На той же предыдущей странице описаны последствия этого.
Автор: aleksdem2
Дата сообщения: 03.07.2008 08:48
SergN77

Цитата:
Просто достоверно не зная как это все работает не стоит делать выводы, что можно не использовать эти функции.

А если достоверно знать, как это все работает, можно делать какие-то выводы? Из-за этих кэширующих проксисерверов, которые антивирусы используют для работы вебмонитора в памяти, многие пользователи вообще не хотят использовать новые версии того же NOD, небезосновательно считая, что это новая уязвимость системы, да еще и приводящая к бесполезности фаервола другого производителя. Давайте сейчас еще эти теории начнем рассматривать.
Ни я, ни кто-то другой никогда не говорил, что не нужно мониторит вебтрафик. А вот как это делать - это вопрос другой и не простой. Я лишь говорил и говорю, что Avira Classic без вебмодуля прекрасно справлялась с задачей мониторинга вебтрафика. И кто пользовался этим антивирусом на протяжении последних лет, подтвердит мои слова. Новая (8-я) Avira работает НЕ лучше в этом плане несмотря на наличие этого модуля. А проблем и глюков добавилось очень много. После выхода релиза весь англоязычный форум (и немецкий, и русский) на дыбы вставал. Потом все улеглось потихоньку после признания разработчиками проблем у "50% пользователей" и обещаний постоянно совершенствовать свой продукт. У нас на форуме тоже не раз говорилось о проблемах программы, связанных именно с работой вебмодуля.
Мне, как пользователю, абсолютно все-равно каким способом и когда (в памяти или при записи на винт) антивирус обезвредит заразу. Гланое, чтобы обезвредил. А как показывает практика, не смотря на всевозможные проактивки, HIPS-ы, кеширующие проксисерверы задача становится эта все более не выполнимой. Разработчики нам вещают о совершенствовании зловредных кодов, мгновенном их изменении и т.п. А я на примере той же консервативной до-недавна Avira вижу, что причиной беспомнощности многих раскрученных антивирусов как раз есть чрезмерное увлечение этими нововведениями и недостаточное внимание эвристическим анализаторам и даже простому своевременному добавлению сигнатур в базу.


Автор: Brunen
Дата сообщения: 03.07.2008 09:52
Ладно, по поводу пресловутого обновления в локальной сети и Avira Internet Update Manager :

Чего хочу:
Чтобы Avira Internet Update Manager скачивал базы с интернета и ложил их в расшаренную папку \\server\upd, откуда ее забирали клиенты(AntiVir PersonalEdition Premium 8.1.00.39 29.04.2008)


Чего сделал:
1. Поставил Avira Internet Update Manager(консоль и сервис)
2. Добавил сервер обновления как "localhost:21327"
3. Во вкладке "Products" -> Avira AntiVir Windows Workstation(Russian,Wi2k or above, i386)
4. Прописал прокси в "Settings -> Internet"
5. Расшарил папку C:\Program Files\Avira\Internet Update Manager\DEFAULT\DESTPATH\upd, т.к. в нее складываются обновления баз, как я понял.
6. Далее, на др. машине поставил AntiVir PersonalEdition Premium 8.1.00.39 29.04.2008.
7. В файле(на клиенте) C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\AVWIN.INI сделал замены, чтобы обновление шло из папки:

DownloadLocation=0
ProductUpdateMode=2
ProductUpdateNotifyAfterDays=7
ShareDownloadUrl=file://server/upd/


8. В файле C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\update.conf:

DefaultSrv=\\server\upd

После модификации файлов изменил их права доступа(acl) на только 'чтение и выполнение' для "Все" ("Everybody"), остальных юзеров убрал.
Но обновление не идет. Чего не так делаю?
Автор: SergN77
Дата сообщения: 03.07.2008 09:55

Цитата:
А проблем и глюков добавилось очень много. После выхода релиза весь англоязычный форум (и немецкий, и русский) на дыбы вставал. Потом все улеглось потихоньку после признания разработчиками проблем у "50% пользователей"

Видать мне повезло и я не вошел в 50% проблемных пользователей. Поэтому и отношение у меня к webguard такое. ))
У меня проблемы со службой обновления, хотя это не проблемы а скорее небольшой баг немного портящий впечатление от продукта. Виснет окно службы обновлений (правдо не всегда), хорошо хоть все равно обновляется без ошибок (судя по отчету).
Кстати до авиры я пользовался KIS 7. Вот там действительно для меня были проблемы с веб монитором. Тормозил ужасно. Страницы долго грузились. При чем такое наблюдалось в основном в браузерах IE и использующих его движок (Avant, Maxthon и т.п.). Каспер даже обновления выпускал чтоб с исправлениями этого глюка, но сильно не помогло.
Авировский webguard по сравнению с касперским мне показался незаметным.
Автор: aleksdem2
Дата сообщения: 03.07.2008 10:25
SergN77

Цитата:
Кстати до авиры я пользовался KIS 7

Ну тогда понятно. А если бы Вам пришлось ипользовать Avira версий более ранних - впечатление от продкта было бы еще намного более положительным. Обновления Avira - это действительно больное место. Особенно первое после установки дистрибутива. Единственное, что могу посоветовать, так это очистка временных папок от "следов" этих обновлений. (Имею ввиду как и все системные папки TEMP, так и папки самой Avira -
:\Documents and Settings\All Users\Application Data\Avira\AntiVir...\TEMP). И в той же дирректории есть еще папки UPDATE, FAILSAFE которые тоже иногда немешает вычистить. Хотя без надежного интернет-соединения продукт обновить часто вообще не удается.
Автор: dgsjsj
Дата сообщения: 03.07.2008 10:30
SandraRich Прошу прощения за возникшее недоразумение.
Автор: SergN77
Дата сообщения: 03.07.2008 15:43
Може ктонибудь знает чем отличется английская версия 8.1.0.331 (вроде последняя) от русской 8.1.0.42
Ядро и базы на сколько я понимаю одно и тоже. Может какие удобные функции а английской версии уже есть а в русской нет ?
Автор: VitRom
Дата сообщения: 03.07.2008 17:22
Brunen

Цитата:
Чего не так делаю?
Да всё!
Как минимум - логи и репорты не читаешь. А если и читаешь, то нам не говоришь. Достаточно?

Цитата:
В файле ...\update.conf
А нафиг он тебе понадобился?! Я вот его вообще никогда не трогал - как у себя, так и у юзеров в локалке.

Но если бы и трогал, то не стал бы сочинять DefaultSrv типа
Цитата:
=\\server\upd
, а использовал бы тот же формат, что и в .INI
Цитата:
=file://server/upd/


Цитата:
После модификации файлов изменил их права доступа... для "Все", остальных юзеров убрал
А SYSTEM тоже?
И на то, что дата изменения update.conf подозрительно недавняя, и примерно соответствует последнему обновлению, из чего можно заключить, что он изменяется самой прогой - конечно, тоже не посмотрел?

А вообще зачем права менять? Разве что защита от юзеров, чтоб не изменяли настройки? Так это делается в конфигураторе, "Защитить конфигурацию" - и её изменяют только админы. А настройки обновы сбрасываются в стандарт (по Инету) AFAIK только в Классике, и то только после залезания в ветку Update конфигуратора и жамканья ОК.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152

Предыдущая тема: Плагины для Total Commander


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.