» Сборки Drweb

Цитата:

неинсталлируемый

Вот отсюда и все беды. Термина нет, чёткого разграничения нет между портабельностью в смысле "распаковал и пользуйся" и портабельностью в смысле чистоты реестра и системы после отработки программы. Доходит до абсурда, когда авторы делают платные программы, называют свои программы портабельными, но при переносе на другой компьютер лицензия теряется (Uninstall Tools, FlashFXP)

LonerDergunov
Цитата:

Термина нет

Увы, зато каждый, кто запустил распакованный инсталлятор, тут же зачисляет этот софт в "портабельный". А вера в могущество и непогрешимость девелоперов, репакеров и "портабелизаторов" настолько слепа и фанатична, что за любое сомнение, готовы сожрать с потрохами. Казалось бы, возьми любую снапшотную софтину (я предпочитаю SysTracer), сделай снапшот, запусти любую "портабельность", закрой ее, сделай второй снапшот, сравни, что осталось в системе/реестре после выхода и делай далеко идущие выводы. Только основанные не на вере, а на фактах.

Молодец, Astra55!
Наконец-то нашёлся толковый Gold Member, который пришёл и расставил все точки над ё.
А то здесь все, кто пользуется, ни сном ни духом не подозревают о возмутительно неверном, в корне фальшивом названии сборки. Причём не просто сборки, а, страшно сказать, коварной пародии на антивирус, которого ушатывает простенький вирь. И должон он быть изгнан с любого компа за полную профнепригодность. Ату его, ату!
Считаю необходимым ещё обратить внимание на несправедливое название "сборка", да и сам ник HA3APET - не может быть ником мембера, в силу того, что это город.

HA3APET
Будет ли всё-таки сделана ваша сборка Dr.WebH9, в работающем варианте обновления, с интегрированным новым DrWU 0.9.5.0??
Давненько жду её уже...

Честно говоря, не вполне понимаю необходимость (на данный момент) использования сборок, основанных на 6-й версии Доктора. Да, они будут работать, разумеется, но их уровень защиты уже неадекватен современным угрозам. Поймаете вы какой-нибудь шифровальщик, допустим - и 6-ка с ним не справится, а вы потом будете кричать: "Ах, какой плохой антивирус...". То же касается и некоторых винлокеров. Конечно, "думайте сами, решайте сами"...

Dr.Web beta-testers Team

Сегодня видел систему с 7-й версией DrWebа с ав-базой 2-х недельной давности, пропустившей в загрузку винлокер (он же блокиратор Windows, вымогатель). Надо ставить 9-ку, она однозначно лучше (но не сборку).

Qwersad Dr.Web beta-testers Team
Цитата:

сборок, основанных на 6-й версии Доктора. Да, они будут работать, разумеется, но их уровень защиты уже неадекватен современным угрозам. Поймаете вы какой-нибудь шифровальщик, допустим - и 6-ка с ним не справится

Так-так-так... А вот с этого места, пожалуйста, поподробнее. Если я загружусь с какого-нить Live, воткну флешку со сборкой 6-ки и свежеобновлёнными базами, запущу сканирование и найду этот "шифровальщик" -- справится или нет?

Пожалуйста. Если шифровальщик есть в новых базах - то саму "тушку" Веб найдет, разумеется. Но это вам очень мало поможет, т.к. пользовательские файлы будут уже зашифрованы. Расшифровку Веб пока не делает... )) А в новой версии, во-первых, предусмотрено защищенное (прикрытое механизмом самозащиты) хранилище для пользовательских файлов, во-вторых, есть эвристические механизмы обнаружения процесса шифрования.





Dr.Web beta-testers Team

Угу, понятно...

Итого:
1) "Расшифровку Веб пока не делает" сказано без оговорок о версиях, а "найдёт, не найдёт" зависит только от "Если шифровальщик есть в новых базах" -- значит, для сигнатурного сканирования, особенно из Live окружения, версия пофиг, хоть 9-ка, хоть 6-ка, были б базы.
2) Все другие функции кроме собственно сканирования/лечения у сабжа намного выше плинтуса ещё никогда не подымались, поэтому те, кому нужна действительно надёжная проактивка, выбирают другие решения -- значит, нет смысла гнаться за супер-пупер нововведениями вроде 9.х.последней-распоследней.
Пусть даже там и появилось много новшеств, но это новшества, и пусть их обкатывают те, кому это впарили при покупке компа (типа "только сегодня! при покупке подписки на Вёба на 2 года коврик для мыши бесплатно") или нищие госконторы или бета-тестеры.
3) "Хранилище юзерских файлов, прикрытое самозащитой" -- вообще идиотизм, придуманный маркетологами. Скорее всего что-то типа папочки "Мои Супер-Защищённые Документы". Вот только у меня (да и многих других) 9/10 всех данных на компе -- это именно "юзерские файлы". А на саму систему, если на то пошло, глубоко нас...ть, её-то и переставить можно, пусть даже и долго получится. Но когда пытаюсь вообразить "прикрытые самозащитой" 9/10 всего диска -- воображение буксует.

Резюме:
1) Сборки на 6-ке при использовании по основному назначению (сигнатурный сканер + доктор, да ещё с какой-никакой эвристикой) не имеют реальных недостатков по сравнению с последующими версиями.
2) Сборки на 6-ке служат великолепной заменой CureIt с его быдлячей политикой скачивания.
3) Сборки на 6-ке служат прекрасным сканером-по-требованию для дополнения других решений.

Цитата:

VitRom Сборки на 6-ке служат великолепной заменой CureIt с его быдлячей политикой скачивания.

шестёрка не поддерживает многопроцессорность, что для сканирования весьма актуально

ps. Да и универсальная ссылка вроде работает

Цитата:

1) "Расшифровку Веб пока не делает" сказано без оговорок о версиях

Разумеется, без... Расшифровывать "на лету" RSA и прочие криптостойкие алгоритмы, которыми сейчас пользуются шифровальщики, еще никто не научился, да и в ближайшей перспективе - не светит!

Цитата:

идиотизм, придуманный маркетологами. Скорее всего что-то типа папочки "Мои Супер-Защищённые Документы"

...А вы вообще пользовались современными версиями? Судя по высказываниям, осмелюсь предположить, что "Рабинович напел"... Там нет "типа папочек", да и механизм самозащиты работает несколько иначе...

Цитата:

"прикрытые самозащитой" 9/10 всего диска -- воображение буксует.

А самозащита самого АВ - ничего? Воображение не буксует? Как то, так и другое делается на уровне kernel-mode драйвера.

Цитата:

Сборки на 6-ке служат прекрасным сканером-по-требованию

Согласен. Именно "сканер по требованию". Для адекватной защиты требуются не сканеры по требованию, а резидентные комплексы, обеспечивающие постоянную защиту от угроз.

Dr.Web beta-testers Team

raddyst, а сколько проживёт скачанное по "универсальной ссылке"? Вот-вот.

Qwersad, радует, что по основным тезисам и, главное, выводам возражений нет

Цитата:

Разумеется, без... Расшифровывать "на лету"...

ЧТД. "Что воля, что неволя..." Что сборка 6, что свежак 9 -- всё одно. А то, ишь, "нет смысла, новые версии, супер-пупер фичи..."

Цитата:

А вы вообще пользовались современными версиями? Судя по высказываниям, осмелюсь предположить, что "Рабинович напел"

Таки он самый
Я сам сейчас вообще антивирями не пользуюсь. И ДрВёбом тоже, хоть и помню его со времён, когда он был не ДиалогНаучный, а ещё Даниловский. Только HIPSы/песочницы, и обязательно с драйвером brain.sys. Но есть "подшефные", есть разовые "шабашки" и пр. Вот что у них попадается -- чаще всего, как уже писал, результат госзакупок или всяких "акций" и бонусов -- по тому и сужу.

Цитата:

Там нет "типа папочек", да и механизм самозащиты работает несколько иначе... Как то, так и другое делается на уровне kernel-mode драйвера.

Спасибо, Кеп.
Правда, "на уровне kernel-mode драйвера" это ни разу не ноухау, сейчас сложнее найти, у кого этого нет. Ну да ладно, не суть.
Под "папочками" имелось в виду то, как эта "защищённость" представлена юзеру для использования им, и насколько оно ограничивает его "свободу манёвра". Требует ли эта защита какой-то определённой организации данных, мест их хранения и пр.

И давайте отделим мух от котлет. Самозащита АВ -- это защита от неограниченного числа "нелегитимных" изменений ограниченной области (файлов/хуков/памяти и т.д.). upd: Да, забыл: и защита "тупая", т.е. просто "не пущать" за глаза хватает. А вот защита юзерских данных таки немного другое -- область защиты почти неограниченная. Первая задача решается давным-давно. Но как это решение развернуть с фиксированной области защиты на неограниченную?

Вот мои рабочие компы:
- C: "стандартный набор" файлов, программ и каталогов + "дежурный" каталог с подборкой утилит
- D: архив с инсталяшками, в т.ч. варёзом, и разным "хламом" + каталог "дата", куда перекинуты "тяжёлые" каталоги из профилей, положены виртуалки и т.п., + каталог "проги" для тяжёлых или портативных или просто быстро переставляющихся прог + всё-всё остальное (пережимаемое видео, редактируемые ИСОхи, распакованные инсталлеры, девелопская копия рабочего сайта и т.д. и т.п. и пр.)
Что и от чего здесь будет защищено?

Если просто потеоретизировать, то всё в итоге сведётся либо к "карантинам" типа СейфЗона (или как её там?) и подобным, либо к полноценному ХИПСу. Может, я что-то забыл? Или у ДрВёба своё решение, третий путь? Так расскажите плз.

Карантины они и в Африке, и лидеры тут давно удерживают свои места. Среди ХИПСов тоже особых революций не замечено, как и среди "комбайнов". Может быть, и здесь я что-то упустил (времени-то не очень много) и ДрВёб выбился на первые места в тестах проактивок или (особенно!) ХИПСов, тогда буду только рад ссылке.

Вообще вы начали по сути с попытки агитации [more=ну а как ещё]
Цитата:

Честно говоря, не вполне понимаю необходимость (на данный момент) использования сборок, основанных на 6-й версии Доктора. Да, они будут работать, разумеется, но их уровень защиты уже неадекватен современным угрозам. Поймаете вы какой-нибудь шифровальщик, допустим - и 6-ка с ним не справится, а вы потом будете кричать: "Ах, какой плохой антивирус...". То же касается и некоторых винлокеров. Конечно, "думайте сами, решайте сами"...
Dr.Web beta-testers Team

[/more] -- так давайте, не останавливайтесь! Объясните конкретно, что же пользователи "сборок" теряют.

VitRom
Цитата:

Я сам сейчас вообще антивирями не пользуюсь.

Я тоже. Когда осознал, что кроме проблем и тормозов, антивирусы ничего мне (подчеркиваю - мне!) не дают, полностью от них отказался. Мне не нужны AV поделки от продажных девелоперов, которые умышленно пугают юзеров, создавая имитацию бурной деятельности, в виде постоянных фолсов на безобидные файлы. А как иначе с хомячков бабло рубить? Только запугивая, и никак иначе. Вполне обхожусь фаером/HIPS-ом и активно юзаю виртуал/портабельные сборки. Последнее столкновение с ДрВьёбом последней версии было недавно на чужом компе через ТимВьюер. Эта идиотская поделка якобы нашла вирус в портабельном скринсейвере, сделанным мной самим и заблокировала его. Проверяю файл вьёбовским сканером, он уже успел изменить мнение на 180 градусов и показывает что все чисто, файл безопасный. Но разблокировать так и не получилось, Вьёб сказал "в морг!", значит "в морг!" и оспаривать его решение юзеру не дано. Отака муйня, малята! (с)

Цитата:

Что сборка 6, что свежак 9 -- всё одно. А то, ишь, "нет смысла, новые версии, супер-пупер фичи..."

Если на машину уже проник энкодер и пошифровал всё, что можно - то сливай воду, туши свет... Хоть сборка 6, хоть свежак 9. Поэтому политика безопасности, основанная на устранении последствий заражения (флешка со сборкой), не является рациональной. Проще не допускать заражения, чем бороться с последствиями. А вот для "недопущения" 9-ка подходит лучше (я сейчас говорю об АВ, постоянно установленном на ПК, а не о запуске сканера по требованию).

Цитата:

Под "папочками" имелось в виду то, как эта "защищённость" представлена юзеру для использования им, и насколько оно ограничивает его "свободу манёвра". Требует ли эта защита какой-то определённой организации данных, мест их хранения и пр.

Представлена как бэкап, из которого можно восстановить файлы. Для удобства желательно защищаемые данные/программы раскидать по папкам, т.к. диалог предполагает выбор защищаемых папок, а не отдельных файлов (см. скрины выше). В итоге файлы из выбранных каталогов будут регулярно бэкапиться (автоматически или вручную) в защищенный (самозащитой по принципу "не пущать") каталог под названием DrWeb Archive, откуда могут быть впоследствии восстановлены. Ограничивает ли бэкап свободу маневра? Хм... Не возьмусь ответить на этот вопрос до тех пор, пока не получу дефиниций "свободы маневра"... ) Так что в этом плане ничего "супер-пупер революционного" )) вроде бы нет. Можно, в принципе, прикрыть Вебовской самозащитой любой произвольный каталог, а не только каталоги самого АВ, однако это требует определенных манипуляций с реестром и не является штатным способом настройки АВ.

Цитата:

Вообще вы начали по сути с попытки агитации

Омойбох... Уже и в агитаторы записали... "Он и меня посчитал!..." (с). У меня нет цели агитировать здесь кого-то. Ни за, ни против. Тут собрались взрослые здравомыслящие люди, я надеюсь. Нравятся сборки, нравятся портативные сканеры - ради бога. Когда была распространена 6-ка, я и сам пользовался! Но время идет вперед... Теперь объясняю, что же теряют пользователи сборок.
1. Если сборка используется лишь как портативный сканер по требованию, то здесь, в сущности, версия не имеет решающего значения. Но, как я уже говорил в самом начале, такой подход видится мне нерациональным.
2. Если сборка используется для установки АВ на ПК. Это гораздо лучше с точки зрения АВ-безопасности, чем п.1, однако следует учесть, что сборки базируются на 6-й версии, в которой просто нет средств противодействия многим видам современных угроз. Например, превентивная защита там слабее и не является такой гибкой и настраиваемой, как в более поздних (8 и 9) версиях, а что касается обнаружения инжектов в процессы, а также несигнатурного обнаружения неизвестных энкодеров - то там такого нет в принципе.
3. В силу версии (6) там отсутствует возможность создания защищенных резервных копий данных, поэтому в случае заражения, приведшего к изменению пользовательских файлов (шифрование, частичное удаление/перезапись и т.п.), остается только смириться с потерями.

Dr.Web beta-testers Team

Цитата:

бэкап, из которого можно восстановить файлы. файлы из выбранных каталогов будут регулярно бэкапиться (автоматически или вручную) в защищенный (самозащитой по принципу "не пущать") каталог под названием DrWeb Archive

Что-то знакомое... Где-то я уже это видел... WinBackup/NTBackup и "планировщик задач"? Или VSS и "Архивация системы"? Или VSS и DriveImage? Или Акронис ТруИмидж? Или Парагон? Или... Бли-и-ин, тысячи их...
Так в чём фишка-то?
И, кстати, любопытно: а много ли вирусов целенаправленно убивают А) файлы вроде .tib на немонтированных/скрытых разделах и/или В) содержимое снепшотов VSS aka "теневых копий"?
upd: С) и что будет с "защищённым каталогом" при слёте/убийстве НТФС и/или МБР, буде такие случатся?


Цитата:

превентивная защита там слабее... а что касается обнаружения инжектов в процессы, а также несигнатурного обнаружения неизвестных энкодеров - то там такого нет в принципе.

Ну и насколько хорошо оно работает в реальности?
А то и PrivateFirewall, и Malware Defender (и это только из тех, что лично у меня всегда наготове) инжекты ловят на раз (а следовательно на обнаружение энкодеров, декодеров и транскодеров можно наплевать).
Цитата:

Может быть... ДрВёб выбился на первые места в тестах проактивок или (особенно!) ХИПСов, тогда буду только рад ссылке.

Цитата:

Где-то я уже это видел... WinBackup/NTBackup и "планировщик задач"?

Ну, если абстрагироваться от тонкостей - то да. Только более user-friendly.
Цитата:

много ли вирусов целенаправленно убивают А) файлы вроде .tib на немонтированных/скрытых разделах и/или В) содержимое снепшотов VSS aka "теневых копий"?

Точное количество, думаю, никто вам не назовет... Не скажу, что "много", но сталкивались.
Цитата:

С) и что будет с "защищённым каталогом" при слёте/убийстве НТФС и/или МБР, буде такие случатся?

Защищенный каталог - суть тот же каталог... Ничего хитрого. Файлы в нем не шифруются, просто переименовываются. Если ФС слетела или убита - можно использовать любые средства восстановления ФС. Если убита MBR - аналогично. fdisk /mbr, FIXMBR, bcdedit или иное, в зависимости от загрузчика и особенностей установки. Запрещение прямого доступа к диску, кстати, сильно снижает вероятность умышленного убийства/модификации MBR.
Цитата:

Ну и насколько хорошо оно работает в реальности?

Работает. Тут в соседней ветке можете посмотреть и потестировать то, что у вас "всегда наготове":
http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=10760

Цитата:

инжекты ловят на раз (а следовательно на обнаружение энкодеров, декодеров и транскодеров можно наплевать)

М-ммм... Не сказал бы, что одно с другим неразрывно связано...
Цитата:

выбился на первые места в тестах проактивок или (особенно!) ХИПСов

Нет, официально компания не участвует в разных тестированиях. Вот можете почитать и посмотреть здесь, если осилите 3.5 часа видео... )))
http://www.comss.ru/page.php?id=392

Dr.Web beta-testers Team

Цитата:

посмотреть и потестировать

Ой, какая прелесть! Свежие "голоса"... Ням-ням Спасибо, в ближайшее время помучаю.

Цитата:

Не сказал бы, что одно с другим неразрывно связано

Я имел в виду, что активация кода нужна (для дальнейшего показа файлов и вымогания денег, иначе проще всё покилять), но способов активации не так уж много -- 1) прямой запуск (моё_хоум-видео.ехе), 2) инъекция и 3) отложенная активация (ч-з автозагрузки/сервисы) -- и если они заблокированы, то совершенно без разницы, был ли это кодер или диск-киллер, разве что праздное любопытство... Хотя да, если кодер сначала делает своё дело, и только потом пытается прописаться -- то ой-ё-ёй.

Цитата:

официально компания не участвует в разных тестированиях. можете посмотреть здесь, если осилите 3.5 часа видео

Осилить-то осилю, но не стану, ибо жалко столько времени
Но почитал, в т.ч. ответ на это и упомянутый обзор и его исходник
А вообще прикольная политика да и цитата другого "отказника" мне тоже понравилась: типа "ну, апщета по сути всё так, но баллов-то маловато будет..."
Получается, изо всех нововведений 9-ки (которая пока не протестирована) реально важен только "Новое! Поведенческий анализатор Dr.Web Process Heuristic". Но настоящие революции в IT подаются народу отдельно, а не в общем списке, так что лучше подождать тестов.

Ну, с этим всё ясно. Но для общего развития плз чуть поподробнее насчёт
Цитата:

Не скажу, что "много", но сталкивались.

Сталкивались с А или В?
Лучше даже ещё уточню исходный вопрос:
А) убиение файлов бекапов (tib, gho и т.п.)
В) убиение данных на скрытых/служебных/немонтированных разделах
С) порча/очистка снепшотов VSS

---

upd: под "непротестированностью" 9-ки я имел в виду отсутствие сторонних тестов; и не ютубовских роликов "как я мучал антивирь Х чем под руку попало", а чьих-то общеизвестных, с методикой, семплами и пр.

Цитата:

если кодер сначала делает своё дело

...Поэтому бэкап, бэкап, и еще раз бэкап. В идеале - на другие (физически) носители, причем расположенные в разных местах...
Цитата:

изо всех нововведений 9-ки (которая пока не протестирована)

Уже в релизе. Месяцев как несколько. На бетах обкатываются разные экспериментальные "вкусности", которые потом идут (если всё ОК) в релиз.
Цитата:

А) убиение файлов бекапов (tib, gho и т.п.)

Да, с Акронисом многие зловреды не дружат и пытаются противодействовать.
Цитата:

В) убиение данных на скрытых/служебных/немонтированных разделах

Гораздо реже, но тоже да. Посекторное чтение - и ваши волосы будут мягкими и шелковистыми... Некоторые вирусы даже делают некое подобие собственной ФС, а также скрытые разделы...
Цитата:

порча/очистка снепшотов VSS

Пока не сталкивался, но попытки "вынести" соответствующую службу и нагадить в реестр с целью предотвращения ее нормального функционирования наблюдались.
upd: Дальнейшее обсуждение, буде такое последует, надо бы перенести в ветку "Программы", ибо здесь смахивает на оффтопик... http://forum.ru-board.com/topic.cgi?forum=5&topic=34662&start=6640

Dr.Web beta-testers Team

Ребята, эт здорово что вы здесь развели полемику, что лучше 9 или 6 версия. Хотя ветка немного не об этом.
Но, если я спрашивал именно про сборку 6 версии- значит она мне нужна, значит она меня устраивает для каких-то целей.
Да, возможно она работает хуже 9 версии по части обнаружения и расшифровки вирусов, но она работает и это меня устраивает.

Цитата:

я спрашивал именно про сборку 6 версии

В начале 2013 брал здесь DrCureIt, это если нужен просто сканер и обновлялка (штатная), работает по сию пору. Ссылка мёртвая, но ежели надо, выложу.

Mishgun_SU,
Цитата:

если я спрашивал именно про сборку 6 версии- значит

а в шапке не 6-ка?
Цитата:

Сборка Dr.Web 6 Portable Scanner by HA3APET v8 | Зеркало. Особенность

всех кого волнует судьба Portable Scanner by HA3APET пишите автору на форуме http://cjgrey.ru/ я правда отписался там несколько раз до нового года и сегодня ответа не получил...

Цитата:

я правда отписался там несколько раз до нового года и сегодня ответа не получил...

HA3APET уже ответил

Цитата:

QuarQ, можно сделать, но это будет 6 версия веба. Я думаю это не актуально. А из 9 веба такое не сделаешь.

Ну, в принципе (если нужен только сканер и спайдер), можно такое сотворить и с 9. Я такое делал чисто из спортивного интереса. Мороки, правда, с ним больше. Но работало нормально. Репозиторий, кстати, тоже отсутствовал - базы обновлялись при отключенной самозащите. Лежало всё в одной директории, да (кроме баз). Но думаю, овчинка выделки не стоит. Если нужна 9-ка - проще ее и поставить. Если речь об обновлениях - то и тут можно найти выход.
2All: делалось для себя и давно. Никаких интерфейсных украшательств и прочих рюшечек изначально не предусматривалось, т.к. для себя. Поэтому раздач не будет, сорри! Кто хочет попробовать потестировать скрипт обновлений для 9 - welcome в ПМ.

Dr.Web beta-testers Team

Немного к троллингу о портабельности - я обновляю и запускаю эту сборку в основном в live-системе (cd, usb), чтоб гадость с винтов компа-пациента меньше мешала.

Выложил отдельно иконки для создания ярлыков для файлов Scaner.bat и Update.bat в сборке Сборка Dr.Web 6 Portable Scanner by HA3APET http://rghost.ru/54723200

Цитата:

Выложил отдельно иконки для создания ярлыков для файлов Scaner.bat и Update.bat в сборке Сборка Dr.Web 6 Portable Scanner by HA3APET http://rghost.ru/54723200

Выложите пожалуйста еще раз.

Цитата:

Выложите пожалуйста еще раз

http://rghost.ru/private/56314618/979082871f2c2e0e314add5ad94a78c2

anabar
Спасибо. Сразу же себе установил иконки.

Цитата:

anabar
Спасибо. Сразу же себе установил иконки.

Как установить иконки на bat - в сети нашел только установку на папки...