» антивирус, корпоративное решение (Windows)

FreemanRU

Цитата:

(сказывается скудность средств форматирования).

Нормально так Ж)

Цитата:

Собственно вот 14 шагов "как хакнуть КАВ".

Убью луюбой другой антивирус за 13 шагов... Кто меньше? Ж)) Trend-Micro, McAfee, Symantec кого грохнуть? Может дрвеба? Ж)

Добавлено:
FreemanRU
Например HyperCam (ot HyperSnap-EX).

Но убить его так можно, я еще пол года назат писал Ж) Неуспели все прикрыть...

SXP

Цитата:

Убью луюбой другой антивирус за 13 шагов...

а я за 1 Просто ни одна фирма не занимается такой ерундой, ибо понимают - не реально. И не заявляют при этом, что у нас супер-пупер просто вообще всё круто.

FreemanRU
SnagIt! Сейчас как-раз выложили подборку 8.0.1 прога-русик-ген.

SXP

Цитата:

Убью луюбой другой антивирус за 13 шагов...

Забыл про "Быстро и дёшево!".

все желающие могут скачать мультик. AVI. 9 минут.
http://213.27.29.6/clip0003.rar 1,87 MB (1 966 080 bytes)
Скажите что я сделал не так?

Добавлено:
Собственно, победа
http://forum.kaspersky.com/index.php?showtopic=13793&view=findpost&p=111289

Цитата:

Цитата: QUOTE(FreemanRU @ May 12 2006, 04:26 PM)
DVi
Ну наконец-то! Можно считать это признанием маленькой дырочки? (это я спрашиваю для того, что бы не осталось сомневающися).

Есть недосмотр. Поправим

FreemanRU

Цитата:

а я за 1

Можно и за 1 Ж) Написать скритп / прогу которую останется только запустить Ж)
Но например Кав6 - единственный АВ препятствующий удалению или модификации его файлов Ж) Тоесть никакие Win95.Cih / Hidrag (jeefo) / Parite его не возьмут Ж)
Недочеты по контролю за реестром надеюсь поправят.

Цитата:

Просто ни одна фирма не занимается такой ерундой, ибо понимают - не реально

Занимается... и Реально в принципе хоть не на 100% но на 99% или Максимально усложнив.


Цитата:

И не заявляют при этом, что у нас супер-пупер просто вообще всё круто.

А зря Ж) Вот касп начал делать.. и дрвеб уже планирует Ж)


Цитата:

Так что со спокойной душой делаем обзор 5ки. 6ку корпоративку мы увидим не скоро.

Угу.. осенью... Кста - там уже есть мега фича которая ускоряет проверку в разы.
Суть в том что файл проверенный на сервере, на клиенте уже проверятся небудет Ж)

SXP

Цитата:

Но например Кав6 - единственный

Не единственный.

Цитата:

Занимается...

Да знаю.. это я так, пошутил... McAfee в этом плане вообще монстр. А думаю попробовать угробить, о там мои такие вот действия не катят. Посылают нафиг и на долго. Пока не убил. Хотя КАВ я конечно насиловал более плодотворно . Я кстати еще один способ нашел, через политику ограниченного использования программ в XP. Короче, была бы цель, а как убить найдем.

Добавлено:

Цитата:

Суть в том что файл проверенный на сервере, на клиенте уже проверятся небудет Ж)

Крайне интересно. Это как будет реализованно? К файлу будут подпись выдавать? Или просто сервер будет сообщать клиенту что файл чист? Но ИМХО это не сильно ускорит. Поживем увидим.

FreemanRU

Огромное человеческое спасибо за тыканье мордой в дыры! Как сам видел разработчики поправят это дело. Сообщай ещё что найдёшь!

FreemanRU

Цитата:

Не единственный.

Кто еще? спортивный интерес..


Цитата:

McAfee в этом плане вообще монстр

Гадость дикая.. чем больше модулей тем ненадежней защита..
К слову я ее сносил руками - раз.
Ее сносит Каспер при своем инсталле скриптом - два ж)


Цитата:

через политику ограниченного использования программ в XP

Ну эт совсем (не)интересно Ж) Ибо так любой софт сносится...


Цитата:

Крайне интересно. Это как будет реализованно? К файлу будут подпись выдавать?

А ктож его знает.. тонкости технологии не раскрывают. но в 6й версии вобще нету НТФС потоков для файлов, значит все чезер драйвер (обмен инфой по сети между дровами)


Цитата:

К файлу будут подпись выдавать? Или просто сервер будет сообщать клиенту что файл чист? Но ИМХО это не сильно ускорит.

Угу, видимо так..
И Имхо ускорит ровно в 2 раза Ж) Прикинть ИСО двух слойного ДВД скаченное с сервета проверять еще и на клиенте Ж)

SXP

Цитата:

Гадость дикая.. чем больше модулей тем ненадежней защита..

Ну, не согласен. Её сила в том, что меняй не меняй, а по сетке всё равно верные настройки придут. Тут никакая перегрузка не спасет. А то, что удаляет КАВ - это сам антивирус. А защитой там занмается немного другая служба. Но всё равно уверен что и McAfee снести можно.

Цитата:

И Имхо ускорит ровно в 2 раза

Но ты не учитываешь возросшую нагрузку на сеть. И сервер. При большом кол-ве файлов нагрузка заметно возрастет.

FreemanRU

Цитата:

что меняй не меняй, а по сетке всё равно верные настройки придут.

Это о чем? Можно лишить юзверей права поступа из сети Ж) Сетевой инсталлер обломается Ж) Можно сменить на все права и запретить Take OwnerShip и тогда АВ будет наместе но небудет функционировать Ж)



Цитата:

А то, что удаляет КАВ - это сам антивирус. А защитой там занмается немного другая служба.

Как это? Тоесть Антивирус не защищает а защищает служба? Суть анинсталлера у кава чтобы подчистить несовместимый софт.. и сканирующая служба должна лететь в первую очередь.


Цитата:

Но ты не учитываешь возросшую нагрузку на сеть. И сервер. При большом кол-ве файлов нагрузка заметно возрастет.

Дану... смешно... 10 байт даже на 10000 компов - 100 кб.. это смешные размеры для 10мбит а в такой сети обычно 1 гбит канала..

А вообще щаз прикинул.... а кто-нить ответит нафига вообще защищать от выгрузки или других подобных действий корпоративный антивирус? Ведь я через политики могу сделать так, что никто не пикнит без моего ведома не сможет. Мы, кстати, долге время с эпидемиями так боролись, когда КАВ вырубало (ну, и не только КАВ, но мы тогда его пользовали) лавсанами и прочей подобной дранью - через ГПО просто выставляли запрещенные к запуску приложения, которые являются вирями. Мониторили при этом сайты и получали багтрак-рассылки, чтоб не упустить чего. Очень помогало.

Ну положим это делается в первую очередь для домашних юзверей... а корпоративным в подарок )

Добавлено:
>через ГПО просто выставляли запрещенные к запуску приложения, которые являются вирями

Ну это надо знать... какое название ж) А так вирь ничего не зделает.. а если попробует то админ об этом сразу узнает Ж) Даже если виря еще нет в базах (и его по каким то нереальным причинам пропустила проактивка) то админ очень удивится если в течении короткого времени на машинах начнут пытатся убить процесс.

SXP

Цитата:

Можно лишить юзверей права поступа из сети

В том то и дело, что настройки там приходят вне зависимости от настроек ОС, по HTTP протоколу.

Цитата:

Как это

Почитай у меня "Архитектура комплекса" для McAfee. Может понятнее станет.

Цитата:

Дану... смешно...

Ух сомневаюсь я, зная ЛабКас, что они 10ю байтами обойдутся.... Ну да ладно, это всё равно не скоро будет. Подождем.

FreemanRU

Цитата:

В том то и дело, что настройки там приходят вне зависимости от настроек ОС, по HTTP протоколу.

Я чегот перестал понимать... мы сейчас о чем? Какие настройки? и Для чего они..


Цитата:

Почитай у меня "Архитектура комплекса" для McAfee.

У тебя, это где?


Цитата:

Ух сомневаюсь я, зная ЛабКас, что они 10ю байтами обойдутся....

а Ты не сомневайся Ж) Обновления на 3-8 кб в час зделали ведь...

SXP

Цитата:

мы сейчас о чем?

О защите антивируса.

Цитата:

У тебя, это где?

В таблице.

Цитата:

а Ты не сомневайся

У McAfee 100Кб раз в 24 часа. Прмерно по 4 Кб за час
Тем более, что у КАВ они таки раз в час не выходят

FreemanRU

Цитата:

О защите антивируса.

А причем тут Хттп? и настройки?


Цитата:

У McAfee 100Кб раз в 24 часа. Прмерно по 4 Кб за час

Это 1 раз 100 кб Ж) И это не считая добавления пакеров прямо в базы.. без СуперДатов...


Цитата:

Тем более, что у КАВ они таки раз в час не выходят

Когда как.. примерно раз в час Ж)

Добавлено:
Чет я не понял.. протокол обмена инфой - XML? Июо в ХТТП Протокол - только хидеры с запросами... Тогда еще проще Ж) Инжектируем дллку которая перехватывет апи работы с сокетами и вирузает то чно ненужно из траффика Ж)) Никакой шифровки я так понимаю..

SXP

Цитата:

Инжектируем дллку которая перехватывет апи работы с сокетами и вирузает то чно ненужно из траффика

Фига себе проще.... Это уже не каждому подсилу... да и SSL там.

To All
Табличка обновлена. Спасибо dg за предоставление места под страницу.
Все желающие пополнить таблицу - пишите сюда или мне в ПМ.

ЗЫ Не пинайте только за дизайн. Я всё ж не вебдевелопер

FreemanRU

Цитата:

Фига себе проще.... Это уже не каждому подсилу...

Сейчас это каждый ламер умеет )
ССЛ - ладно, весь траффик заблокируем ж)


Но я так и не понял причем тут хттп и защита антивируса - раз
Мкяфя сносится очень просто - дваз Ж)

известно, что уже достаточно давно Microsoft купила компанию Sybai — производителя антивируса Antigen. И теперь постепенно развивает его в комплексную систему антивирусной защиты под свои продукты. Вот тут ссылки и несколько ответов на вопросы с последнего вебкаста на эту тему: Secure Collaboration with Antigen: Webcast (5-12-2006).

FreemanRU
В приведенной таблице
http://forall.ru-board.com/forum08/FreemanRU/corp_antivirus.htm
указано что почту Outlook Express McAffee VSE8 проверяет,
в то же время уже неоднократно от засегдатаев ветки по обсуждению корпоративного McAfee получал ответ - что если придет письмо с зараженным вложением в OE при установленном VSE8, он его пропустит в базу, но при попытке запустить зараженный файл из вложения - не даст это сделать, но и удалять/лечить не будет.

McAfee VSE8 patch 11 + AntiSpyware знает только 71 Spy. В то же время SAV10.1 знает их больше 350.
Для этого в VSE8 зашел в VirusScan Console.
В Unwanted Programs Policy
Нажал кнопку Exclusions
Далее Add.
Далее Browse
В появившемся окне пересчитал все надписи со словом Spyware
получил 71 штука.
В SAV 10.1.0.400 действовал аналогично - получил 350 Spyware.
В ветке обсуждения корпоративного VSE8 получил на это ответ что они просто по разному считают. Но как-то это неубедительно звучит для меня.

Создалось впечатление что McAfee VSE8 существенно тормозит меньше, когда лазишь по папкам через мой компьютер. Зато 1С, Word, Excel... меньше тормозит SAV10.1

SAV10.1.0.394/400 имеет такой глюк - на некоторых машинах при запросе проверки на вирусы по правой кнопке на папке или файле - тест не запускается. Проверялось только в варианте Client Unmanaged и только после того как в настройках антивируса давалось задание например запускать полный тест на вирусы по вторникам в 18:00.
Ставишь SAV 10.0.2000.x - такой проблемы нет.

SpasitelofMoney

Цитата:

Создалось впечатление что McAfee VSE8 существенно тормозит меньше, когда лазишь по папкам через мой компьютер. Зато 1С, Word, Excel... меньше тормозит SAV10.1

Вот этот пункт умышленно не был влючен, т.к. слишком субъективен. НЕвозможно толчно выяснить, какой антивирь где тормозит. Вернее можно, но очень долго.

Глюк 10.1.х с контекстным меню - известная фича-бага.

Что касается остального - не знаю. Надо бы поддтверждение коллег. Знаю только, что McAfee действительно совершенно по другому считает вирусы и спайверы. Н-р нахождение Radmin в вирусах SAV меня сильно раздражаетю.

Пирисоединяюсь к SpasitelofMoney
ставил на выходных макафе, заметил тормоза в приложениях ворд и 1с(сетевая), на симантеке меньше.


Добавлено:
до конца не могу разобраться с radmin - симантек его нет нет и прибьет, хотя тот стоит в игноре, если кто подскажет как с этим справиться - заранее спасибо, кроме как поставить другой антивирь

Ghost_Sp
На самом деле тормоза в том же Word при McAfee VSE8 p11a больше только при первом запуске его в текущей сессии. При повторных запусках - уже грузится также быстро.

Интересно, а почему никто не упоминает AVG Antivirus?

dimmus

Цитата:

Интересно, а почему никто не упоминает AVG Antivirus?

ну так упомени его, примерный образец упоминания есть в шапке

В сетке без AC стоят компы все пни 4, на них счас планируется поставить MicroTrend, для большей надежности хочется еще что нить поставить с отключенным монитором, но чтобы также регулярно обновлялось что можете порекомендовать? Я думаю если что то стоит уже буржуйское может второй лучше наш отечественный ставить?

У касперского есть решение такое - второй антивирус (Second Solution, вроде зваться будет). Точнее официально его ещё не объявляли, вроде. Заключается оно в том, чтобы Касперский стоит без монитора, а только сканер. Спроси у ближайшего партнёра ЛК.

А не будет конфликта с двумя антивирями на одной машине? Да и смысла что то особо не вижу если честно. Если ты не доверяешь одному антивирусу то просто надо его менять на другой

RTC

если не включены 2 монитора, то не будет конфликта. А смысл есть. Когда разные движки работают - больше вероятность не подхватить заразу.

Хм...а сканер что будет круглосуточно крутится? Если нет то получается постоянно тока один антивирь с монитором. Второго считай что нет. Даже если его в шедулер по ночам повесить все равно как то не оперативно получается