Лидеры форума

Всем привет, вы тут обсуждаете эти тесты на таком полном серьёзе - что я аж не удержался и влезаю в дискуссию... Данные тесты on-demand от обоих Андреасов... - мягко говоря, "несколько далеки от совершенства". А грубо говоря - туфта и лажа. Среди "миллиона-с-хвостом" файлов в тестируемой коллекции (именно этой февральской коллекции) мы обнаружили несколько десятков тысяч чистых файлов. Более 60% от наших пропусков - это были кейгены, кряки, китайские тулбары, просто чистый софт. То бишь - чисто фальсы, которые детектят прочие "99%-е антивирусы". (в предыдущих тестах количество чистых файлов в коллекциях тоже было очень велико). Зачем они это делают. Очевидно - чтобы хоть как-то оправдывать своё существование, поскольку ничего больше рынку предъявить не могут... Каким образом они достигают результата 99.х% - точно не знаю, глаз и ушей в чужих вирлабах у меня нет. Но что-то мне подсказывает, что выглядеть это может примерно следующим образом. Источник пополнения коллекций Маркса и Клементи известен - это обмен коллекциями с антивирусными компаниями и ВирусТотал (и его аналоги). Таким образом, чтобы добиться близкого к 100% результату нужно просто детектить всё, что падает из этих источников. А чтобы было не слишком много фалсов - детектить только те файлы, которые уже детектит кто-либо еще. Т.е. громкое слово "Вирус-Лаб" сводится к роботу, который по результатам скана на ВирусТотале шлёпает на файл некую маску (или MD5) - или откладывает файл в карантин, а вдруг его кто потом задетектит? Всё. Обратите внимание еще раз, что выше описан способ достижения 99%-го результата в подобных тестах, но ни разу ничего не сказано про защиту пользователя! Поскольку именно так и есть - пометочка Advanced+ к реальному качеству защиты не имеет никакого отношения - именно по этой причине мы НЕ используем технологии "тупого детекта по чужим вердиктам". Понимают ли Андреасы всю ущербность данной методологии? Да - понимают. И неспеша (уж слишком неспеша...) улучшают, вычищая мусор из своих коллекций. Почему тем не менее продолжают проводить такие тесты? Да [немецкие] журналы (КомпБилд, Чип) им за это деньги платят! Почему "левые тесты" нужны журналам? - да не понимают они ущербности этих тестов, а вот миллионные цифры и много-много процентов им очень нравятся. Да и "пипл хавает". Почему же мы участвуем в этих тестах? Считаем, что участие в данных тестах - это вред меньший, чем неучастие // кстати, вспомните тесты ВирусБюллетень - если кто еще помнит о таких... Так вот, свою актуальность они потеряли еще в середине 200х, когда счёт нового малвара пошел на сотни тысяч и миллионы самплов. Мы тоже показывали там результаты "так-себе", но продолжали участие, при этом всем разъясняя технологическую несостоятельность результатов этих тестов. // кстати-2, и таки победили Где сейчас тесты ВирусБюллетень?... Увы, тем, кто не следит за изменением окружаещего мира и продолжает "лепить по старинке" - их ждёт забытье и неизвестность... Песню про них никто не сложит... Это так, просто комментарий в пространство. Что собираемся делать. Ведём активную дискуссию с тестерами, помогаем им улучшить методики, помогаем с разными тулзамы для отсева малварей от крепа (когда очень просят) и тп. Поскольку нас крайне интересуют объективные результаты - и не столько для того, чтобы "впаривать" зелёные коробки, а больше для того, чтобы понимать где у нас слабые места. А сейчас эти тесты ничего (вообще ничего!) не показывают - ни сильных мест, ни слабых. А показывают только то, что у кого-то роботы наглее. И всё. Всем пока, сорри за столь развесистый рассказ.

guest, добрый день! Я работал когда-то с этим продуктом, самый лучший способ заблокировать что-либо, это вначале отследить. И с этого рекомендуется начинать работу с SCSP - именно отслеживать, а потом уже блокировать. SCSP может отслеживать все попытки лоигна в систему и может предоставить детальную информацию об этом. Для этого нужно лишь включить так называемый "Detection Mode" (вв вкладке Detection Policies) и настроить его на "detect logоn attempts", т.е. фиксирование всех попыток входа в систему. После этого можно еще подкрутить немного политику и настроить так, что на сервер смогут заходить только доверенные пользователи, а все остальные попытки будут блокироваться.