Лидеры форума

Эх, какую тему пропустил! И ведь словно специально для меня, а прошел мимо! Ну ладно, оживлю труп :-) Есть две точки не зрения даже, а ведения наблюдений. Позиция пользователя - и здесь дело касается как раз фич и сравнения функционала - и позиция участника рынка - и это именно то, на что Сергей долго пытался вывести участников ветки, но не преуспел :-) Позиция пользователя в данном вопросе действительно подробно разбирается в параллельной ветке Валерия Ледовского. Я попробую все же ответить именно на вопрос Сергея Ильина, благо вряд ли он стал менее актуальным за полгода. Итак, есть ли смысл ЛК мочить бесплатных конкурентов? Или это пук в лужу и деньги на ветер? Ответ простой: есть. И дело не столько в бесплатных конкурентах, сколько в общерыночной ситуации. Рынок софта, в том числе и защитного, совсем недавно стал зрелым, настоящим, конкурентным. Раньше у большинства пользователей не было реального выбора, какой антивирус (или другое защитное ПО) ставить - 99% не обладали достаточной вовлеченностью (т.е. не владели предметом), а остальные выбирали продукт вне всякой связи с рыночными механизмами. Т.е. пиратили :-) Сегодня антивирусы (давайте условимся ненадолго, что здесь я этим словом буду называть все комплексные секьюрити-решения) продаются и рекламируются, как обычные товары массового спроса. Да, когорта тех, кто может раздобыть и заставить работать любой платный продукт задарма, ничуть не поредела и в абсолютном выражении даже выросла. Но вот в относительном выражении она серьезно растворилась в массе тех, кто применяет к АВ обычное покупательское поведение. А это уже не просто люди - это целевая аудитория (ЦА). И с ней можно и нужно работать в медиапространстве. Долгое время производители ПО не заботились о рекламе и вот еще почему: рынок постоянно, быстро и устойчиво рос, постоянно появлялись все новые пользователи, и даже без особой рекламы выручка компаний росла тоже (не секрет также, что почти вся она делалась на корпоративном рынке). Но вот настал момент, когда рост замедлился, ибо произошло некоторое промежуточное насыщение (все, кто хотел, уже и купили комп, и поставили софт). К тому же корпоративный рынок резко ломанулся в сторону Linux, и "копирастовая" политика государства только ускорила этот процесс. АВ-корпорации стали резко терять прибыль. В то же время частный пользователь продолжает оставаться на предустановленной Винде, и логично, что производители бросились окучивать именно его. Отсюда и начавшаяся активность в рекламном пространстве. Когда рынок не бесконечен, а конкурентов много, способ успешно жить на таком рынке один - надо как можно активнее шевелиться, как можно чаще напоминать о себе. И в этом плане ЛЮБАЯ информационно-рекламная кампания - в плюс вендору. Именно более грамотная и активная работа в медиапространстве - причина лидирующего положения Каспера (в том числе и в мире) и относительной (а местами и абсолютной) малоизвестности Веба. Технически-то продукты весьма близки - просто одни сильнее в одном, другие - в другом. Посему ответ, повторяюсь, прост - кампания ЛК как таковая имеет резон. Большой резон. Другое дело, что, как и большинство коммуникаций технарски ориентированных компаний, она организована и исполнена на допотопном уровне. Проще говоря - бездарно. Но это уже вопрос для рекламного и маркетингового коммьюнити, а не для АМ.

v3.67 Я учел некоторые пожелания, исправил по мелочам и добавил возможность включить поддержку AHCI - это не_лечебная фича, но довольно часто требуется, надоело уже руками включать. База проверенных обновлена. Финальный список исправлений: o Добавлена поддержка сохранения и проверки кода загрузчика в VBR (бутсектор). Поддерживается FAT12/FAT16/FAT32/NTFS/exFAT. (!) Для FAT16/exFAT сохраняется код из бутсектора. (!) Для FAT32 сохраняется код из бутсектора (420 байт + маркер + оставшийся код из 12-го _или_ 2-го сектора) (!) Для NTFS сохраняется код из бутсектора без IPL в оставшихся 15 секторах. Функция доступна в любом режиме. o Добавлена поддержка сохранения и проверки кода NTFS IPL. (15 секторов за бутсектором NTFS) Функция доступна в любом режиме. o Добавлена возможность перезаписи загрузчика VBR (+IPL для NTFS). (меню "Руткиты") o Добавлена скриптовая команда fixvbr. Пример: fixvbr c: 6 где с - имя загрузочного диска, 6 - весрия загрузчика (6 - Vista/Seven, 5 - 2k/xp/2k3) Стандартные загрузчики лежат в файлах ipl5, ipl6, fat5, fat6, ntf5, ntf6. Вы можете их заменить на свои копии снятые с помощью uVS, либо можете создать доп. файлы с версиями отличными от 5 и 6. Команда fixvbr принимает в качестве второго параметра любое _число. (!) Команда не_доступна при работе с удаленной системой. o MBR/VBR/IPL загрузчики теперь проверяются по F4 вместе с обычными файлами в т.ч. и при работе с образом. o Новый пункт в меню "Реестр" -> "[iNTEL] Включить поддержку AHCI..." Функция доступна для активной и неактивной системы. (Для XP/2k3 перед использованием см. AHCI.txt). (!) Функция НЕ тестировалась на Windows 2000, для остальных систем без ограничений. o Новые параметры в settings.ini [settings] ; Фильтр по производителю антивируса через запятую. vFilter (сторка) Фильтр применяется в функциях массовой проверки файлов. Результаты проверки антивирусом не попавшим в список учитываться не будут. Пример: Kaspersky, DrWeb, AntiVir (!) Для Jotti и VT имена антивирусов могут не совпадать, соотв. нужно (!) указывать оба варианта. ; Автоматическая подстановка имени вируса при добавлении сигнатуры на основе ранне полученных данных с VT или JT. vGetName (строка) В строке можно указать через запятую производителей в порядке приоритета. Пример: Kaspersky, DrWeb, AntiVir o Добавлена возможность разблокировать запуск отдельного файла, заблокированного по хэшу. Функция доступна в контекстном меню файла. Скриптовая команда "rbl". o Новая горячая клавиша Alt+M Переключает режим поиска: по имени или по производителю. o Разрешено добавление сигнатур из файлов находящихся в локальном Zoo. (для всех режимов) o В uVS добавлена базовая поддержка GPT. Соотв. загрузчики присутствуют в списке под именем MBRGPT#... o (!) Изменен формат базы вирусов. Добавлена функция обнаружения повреждений базы. Добавлено примечание (127 символов) и длина имени увеличена до 39 символов. База конвертируется автоматически при первом ее изменении. Импорт поддерживается из обоих форматов. o (!) Изменен формат файла сверки. Теперь для сверки сохраняется весь код в MBR+VBR+IPL.

Здравствуйте! Представляю вашему вниманию новую версию Vba32 AntiRootkit 3.12.5.4 beta build 293 ! Ссылки для скачивания прежние: http://anti-virus.by/en/beta.shtml ftp://anti-virus.by/beta/vba32arkit_beta.7z ftp://anti-virus.by/beta/vba32arkit_beta.zip Что нового: + Работа с дисковыми томами на низком уровне. Поддержка MBR и GPT разметки. Поддержка динамических томов Microsoft/Veritas ( Simple, Spanned, Striped, Mirrored и Raid-5 ) Динамические тома Microsoft/Veritas на самом деле встречаются довольно редко, но их поддержка была важным шагом в развитии библиотеки прямого чтения нашего продукта. Насколько я знаю, на сегодняшний день только наш антируткит реализовывает данный функционал. + Анализ загрузочных секторов физических дисков. Детект, просмотр, дамп и восстановление нестандартных и подменённых загрузчиков. Сохранение в логе дампа загрузочных секторов основного жёсткого диска Эта фича будет намного более интересна общественности. Позволяет детектить и обезвреживать большинство буткитов, таких как TDL4/Sinowal/Alipop/Rmnet и т.п. Тут следует отметить, что данную бету мы выпускаем с немного "устаревшим" кодом, который использовался ещё для выявления TDL3, поэтому на некоторых системах, возможно, будет отсутствовать детект. Количество таких систем минимально относительно общего числа ( как показало наше внутреннее тестирование ), однако оно не нулевое. Кроме того, мы планируем в скором времени выпустить следующую бету с нативной поддержкой IDE/AHCI котроллеров. + Поиск и восстановление аномальных записей в таблице GDT Относительно редкая аномалия. Используется в основном для исполнения привелигированных инструкций в R3. + Увеличено количество проверяемых мест автозагрузки (LSA Providers, SubSystems\Windows и др.) Это уже стало традицией. С каждым новым билдом увеличивается количество проверяемых мест автозагрузки. * Улучшен механизм поиска и восстановления перехватов IDT и SysEnter К сожалению, подовляющее большинство антируткитов не берут в расчёт значение селектора GDT ( считают смещение нулевым ) и региста IA32_SYSENTER_CS для рассчёта реального адреса обработчика IDT/SysEnter. До текущего билда, признаюсь, и мы этим грешили. Исправляемся * Безопасное закрытие защищёщнных хэндлов ( CloseHandle ) Серьёзная недоработка. Исправили. * Вывод информации о правилах стандартного файервола OS Windows * Улучшена стабильность работы программы * Доработан файл помощи на русском языке Постараюсь сразу ответить на возможные вопросы по поводу последних веяний, типа ddox. Текущий функционал не позволяет детектировать данный зловред напрямую. Однако он хорошо идентифицируется по создаваемым аномалиям ( см. аттач ). Кроме того, теперь в файле отчёта содержится дамп загрузочных секторов основного жестого диска, в который попадает код вредоносного драйвера, что также может помочь идентифицировать данный здовред. В будущих версиях, возможно, добавим сигнатурный детект/эвристику и в антируткит. И как всегда, с радостью ждём ваших замечаний/предложений/дампов. Пишите на форуме и на наш почтовый ящик - arkit@anti-virus.by

Возможно его и нет необходимости менять? Просто вся информация вводимая в окно с примечанием/заметкой по зловреду Сохраняется/пишется в отдельный файл !? Вероятно стоит сделать. * Кроме того, основное отличие моего предложения в том, что чётко = визуально в реестре/Образе uVS можно видеть что и где заблокировано. И заблокировано ли вообще... И копаться с MD5 ненужно. Это уже другой поход получается - другая - поэтапная концепция. Кроме того MD5 блокировка может по ряду причин и не сработать так как должно...

в написанных мною строках это просматривается? По-моему я лишь изложил свое мнение и вовсе не "наезжал" как Вы предпочли выразиться. Решайте ... конкретно ... Я помешал? как скажете, конечно не стану, Вы же эксперт, если так можно/позволите выразиться... P.S. извините, но может Вам стоит сменить Вашу напыщенность на более миролюбивый лад?