Перейти к содержанию
Serg-ru

Тест добросовестности и качества детекта

Recommended Posts

Мутный
зачем нужно настраивать антивирус?

Отличный вопрос, объясню для чего это может-быть нужно, НО сразу скажу мой пост направлен для более-менее грамотный пользователей АВ, т.к. изменения настроек может как "повысить" защиту, так и "понизить её", итак:

1)Как Вы знаете, многие антивирусы уже имеют дефолтные настройки, которые обычно разработаны для более "Оптимальной" защиты, НО есть пользователи которым нужно/хочется "повысить" свою защиту, ну или идут конфликты с софтом и из-за этого приходятся менять эти настройки...

Приведу пример Доктора Веба, этот пример взят т.к. он у меня сейчас стоит, также в этом посте приведу пример Оутпоста и почему я от него отказался, пример тоже не для того что-бы сделать вывод о качестве продуктов, а просто рассуждения из личного опыта...

Разработчики подключайтесь к обсуждению, может я в чём не прав ?

Итак Доктор Веб идёт с дефолтными настройками, где он постоянно блокирует доступ к файлу "Hosts", ну многие скажут блокирует и блокирует, молодец...

Ан-нет, нужно-было мне поднять сайт на OpenServer, так доктор меня "Задолбал" блокировками хоста, пришлось этот хост добовлять в исключения сканера + отключать блокировку в "проактивной защите"....

Это-был негативный пример, теперь позитивный, как я повысил защиту:

Я никогда не люблю когда программа решает за меня, например файервол, у многих АВ есть автоматическое создание правил, я-же хочу получить ПОЛНЫЙ контроль за софтом который выходит в сеть, неважно есть у него ЦП или нет, ну нужно мне это...

Перевод в "Интерактивный" режим повысил защиту...

Т.к. не редко имею дело с вирусами, поэтому для подстраховки запретил добовление программы в автозагрузку, сделал запрет на создание сервисов и т.д. Тоже повысил уровень защиты...

Так не нужно делать в большинстве случаев, это как пример, почему я считаю что защита должна давать возможность гибкой настройки...

Тепрерь про Оутпост: Программа мне ОЧЕНЬ нравится, куча важных и нужных настроек, в том-числе и сканера...

НО у меня возникла проблема, что у них настройки файервола и проактивной защиты в одном модуле, объясняю что я имею в виду:

Мне нужно что-бы "файервол" реагировал на ВСЕ приложения, которые хотят получить доступ в сеть, ОДНАКО "проактивная защита" создавала правила автоматически, а там у них либо создания правил автоматически для "проактивной защиты" и "файервола", либо будут задавать вопросы оба эти модуля...

Понятно что это может нужно-то только мне, однако например в Comodo можно такое реализовать, в Докторе кстати тоже можно...

Ещё раз повторюсь все примеры сугубо из личного опыта, какие-то выводы о продуктах по ним делать нельзя !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вот например, если в результате тестов будет доказано что вода вредит здоровью, то ведь многие откажутся покупать такую воду-так ?

Неа, не так. Во-первых, ну вот кто читает результаты тестов минеральной/артезианской воды, которую покупает в магазине? Кто их ищет? Просто верят производителя и покупают с полки. Да и, если что, производитель скажет во всю мощь пиар-отдела компании: "грязные инсинуации кучки завистников, проплаченных конкурентами"- и, в общем, за сим усё.

Ну и ещё многое зависит от тестирующей организации, если Вася Пупкин провёл тест и сказа "Данная вода вредна", то разумеется все посмеются "Кто такой этот Вася Пупкин ?", а вот если в качестве тестирующей организации будет уважаемая, сертифицированная организация, то-да тогда такой тест уже будет сильно значить для людей...

Угу, только вот засада: те, кто тестируют интересно и в максимально полном объёме- не очень известны и не особо "уважаемы", а те, кто "уважаем" и известен- тестируют абы что и абы как, потому что и так бизнес хорошо идёт, зачем идти на дополнительные издержки ради не пойми чего? Virus Bulletin хочет сделать динамический тест где-то с 2010 года, сейчас практически 2015, и, к сожалению, мы таки до сих пор ждём результаты динамического теста от Virus Bulletin.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ладно, хватит философию разводить :) Все это по сто раз уже терто-перетерто, если не хотите чтоб ваша тема переросла в оффтоп и ругань, то сами к этому не подталкивайте. Хотите про продажу - создавайте отдельную тему и там трясите Илью на этот счет (я сам не понимаю как у него получается что-то продавать без рекламы).

Про тесты мне самому интересно - насколько их результаты влияют на продажи домашним пользователям.

Хотите небольшой тест? Берите какую-то категорию зловредов и гоняйте. Желательно чтоб она была на слуху (актуальна), относительно однотипна (чтоб не нужен был большой набор).

Еще можно тестировать определенные действия - брать зловредов с ним или кодить самим.

Наоборот: брать некую экзотику, но тогда это скорее будет исследование пополам с тестированием.

PS: сам тест этот (имхо, конечно) даже при сильном желании особо не обсудить - вопросов особых не возникает, про улучшение сказали уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
сразу скажу мой пост направлен для более-менее грамотный пользователей АВ

зачем грамотному пользователю антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Грамотным в инфобезе пользователям запрещено интересоваться антивирусами? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Грамотным в инфобезе пользователям запрещено интересоваться антивирусами? :huh:

Пользуйтесь на здоровье. :) Я лишь пытаюсь увидеть как путь умозаключений, приведший к такому тесту, так и найти смысл этого теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
зачем грамотному пользователю антивирус?

Пока мой младший киндер не съедет на отдельную квартиру у меня будет стоять антивирус

Я ответил на вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Я лишь пытаюсь увидеть как путь умозаключений, приведший к такому тесту, так и найти смысл этого теста.

Мы хотели немножко обратить внимание на технологии АВ...

Вот я прочитал топик про "Кража детектов АВ", потратил минут наверное двадцать, что можно почерпнуть из того топика например ?

А-то что есть АВ так сказать лидеры, а есть явно уступающие им в технологиях, однако позиционирующие себя как супер-пупер...:)

Меня всегда интересовали технологии, да и не только АВ, ну и вирусов...

Так вот если говорить про технологии АВ, то тут они очень разнятся, я не смею классифиццировать технологии АВ, т.к. сразу скажу что мыслю как пользователь, который изучал АВ снаружи но не внутри, т.е. то-что внутри я не знаю, но делаю анализ то-что вижу снаружи, итак:

1)Первый тип АВ, построен на "Облаках", т.е. детекты по репутации и прочее (Это очень примитивное описание, разумеется там есть и другие эллементы, но основной акцент "Облака"):

Ну разумеется имеются неоспоримые плюсы этой технологии, а именно точный детект зловреда, быстрота работы, быстрая реакция на эпидемии и т.д и т.п.

Есть-ли минусы у этой технологии ?

Да-хоть отбовляй:

1.Что если нет доступа к облаку, ну вот ситуация нет облака, что тогда ?

2.Вирус может иметь ЦП и отличную репутацию в облаке ?

Да разумеется, вот пример:http://habrahabr.ru/post/238495/

3.Что если пользователь/компания нехочит ничего пересылать в "Облака" с точки зрения конфиденциальности ?

2)Второй тип АВ:Построен на так называемой "Проактивной защите", или "Песочницы":

Разумеется как и в первом типе АВ, тут используется всё в комплексе, есть и "Облако", но основной акцент делается на "Проактивной защите"

Какие плюсы:

1.БОльший контроль пользователем над "Активностью" системы/программ;

2.Может обнаружить, новые и неизвестные угрозы;

3.Может обнаружить угрозы направленные на конкретную систему

Есть-ли минусы ?

Да опять-же хоть отбовляй:

1.Может слишком напрягать пользователя;

2.Могут быть конфликты со сторонним ПО;

3.Разумеется есть способы обхода... :)

3)Третий тип, основан на так-называемом "Поведенчиском детекте", т.е. ловим по поведению

Опять-же повторюсь что и у этого типа может-быть и "Проактивная защита" и "Облака", но акцент на поведении...

Какие плюсы:

1.Может ненапрягать пользователей ненужными вопросами;

2.Может детектить новые неизвестные вирусы...

Есть-ли минусы ?

Да опять-таки вогон:

1.Могут-быть ложные срабатывания;

2.Немного замедляет работу ПК;

3.Возможно обойти !

Это так преблизительный и примитивный анализ технологий !:)

К чему эта вся писанина спросите Вы ?

А к тому-что наш тест, это МАЛЕНЬКАЯ попытка привлечь внимание и обсудить технологии АВ, на сколько людям это интересно и на сколько все готовы обсуждать, вопрос ?

Лично для меня это как хобби, я не безопасник и не работаю в сфере ИБ !

Надеюсь мой пост понятный и понятно что я хотел сказать ! ;)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Нехотелось-бы что-бы тема/тесты перерастали в "Опускание" какого-то отдельного вендора и наоборот "Восхваление" другова...

Должна-быть методика раз, тестить нужно основные бренды, т.е. не 1-2 антивируса, а хотя-бы десять самых популярных, что-бы можно было сравнить результаты и обсудить...

Раз-уж по нашему тесту вопросов практически не у кого нет, либо просто нехотите задавать, то немогу сдержаться и разведу оффтоп priv8v, простите меня пожалуйта, гы-гы.. :)

Итак, раз-уж здесь на форуме присутствуют безопасники, ну-либо разработчики систем безопасности, хочу задать пару вопросов, которые меня давно уже интересуют, но на профильных форумах я такие вопросы не задавал:

1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

Объясню что я имею в виду: Эра винды по моему мнению проходит, на предприятиях в серьёз обсуждают сейчас уход от винды в сторону различных сборок Линукс или nix систем, да и у домашних пользователей не всё так гладко, ведь тот-же Ubuntu сейчас легко развернуть на десктопе, даже в некоторые игры можно спокойно поиграть...

Кодить под Линукс сейчас тоже нетак-уж и сложно... ;)

Это я к тому что, если брать корпоративный сегмент, пока-ещё да винда много-где есть, есть вирусы на мобильниках (Андройд) и их много...

Но что будет лет-так через 3-5 вопрос и нужны-ли будут АВ ?

Другое дело что всегда будут нужны люди, которые смогут настроить систему и обеспечить безопасность этой системе, т.е. услуги по ИБ по моему мнению будут нужны всегда ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

Он нужен как средство очистки уже заражённых систем (при установке средства защиты на заражённый ПК, например). Ну а то, что "устарело"... Скорее, просто иные технологии предотвращения заражения показывают значительно более высокую эффективность при меньших затратах ресурсов вендора.

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

У антивирусов? Никаких. Этот сегмент у вендоров уходит в небытие, потому что продвигать и продавать средства комплексной защиты намного более прибыльно, у них прибавочная стоимость выше при равных расходах на раскрутку.

Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? :)

Согласен с тобой. Это всё рассуждения в пользу бедных. Слышали мы уже миллион раз про победное шествие *nix'ов на десктопы. Даже следуя законам квантовой физики этого не случилось ни в одной из параллельных вселенных :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Итак, раз-уж здесь на форуме присутствуют безопасники, ну-либо разработчики систем безопасности, хочу задать пару вопросов, которые меня давно уже интересуют, но на профильных форумах я такие вопросы не задавал:

1)На сколько важен сейчас сигнатурный детект + эвристика, многие говорят фуу, это устарело, гамно и т.д., однако никто из АВ так и не отказался от них, скажу более знаю что в некоторых местах только сигнатурный дететкт и используется в АВ, имею в виду что из-за тормозов, конфликтов ПО или прочих причин отключаются практически все элементы, кроме сканера...

2)Какое будущее по Вашему мнению у антивирусов на десктопах, да и вообще у антивирусов ?

Поделюсь моим личным мнением:

1. Остается важен и останется важным по одной простой причине - нужно знать что именно мы обнаружили. Если не этот простой факт, то давно бы уже работала одна эвристика. Другое дело, что сигнатуры сигнатурам рознь. Можно тупо детектировать каждый семпл, а можно делать сигнатуры на семейства или поведенческие сигнатуры выпускать. Так что сигнатуры никуда не уходят, они просто становятся другими.

2. Будущее неважное. Антивирус перестает быть центральным и главным элементом безопасности ПК. Игру ведут производители ОС, Windows уже не является тем решетом, что было в эпоху XP. Microsoft проделал большую работу и это дает эффект. ИМХО антивирус теперь нужно фактически для страховки. Нагрузка на него на Windows 7 и выше становится минимальной. Какой-то есть и ладно. Бесплатного вполне уже достаточно многим. Поэтому вендоров не ждет ничего хорошего, если они не будет меняться вместе с рынком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Бесплатного вполне уже достаточно многим

В эпоху ХР было иначе, а с приходом Win8 все послезали с платного и перешли на бесплатный?

Антивирус перестает быть центральным и главным элементом безопасности ПК. Игру ведут производители ОС, Windows уже не является тем решетом, что было в эпоху XP. Microsoft проделал большую работу и это дает эффект. ИМХО антивирус теперь нужно фактически для страховки.

Все это стало защищеннее только с точки зрения возможностей укоренения в системе (поставки дров, правки mbr и т.д), а все остальные функции малварь делает и особо не стесняется. Средняя грамотность юзеров что ли выросла? Да вряд ли. Будут дальше если МС с секьюрностью мудрить, то зловреды вообще будут только легальными методами работать. Практически все бизнес-модели можно реализовывать с минимальными правами в системе (винлок, шифровка файлов, ддос, рассылка спама, кража паролей, майнинг, показ рекламы).

Может изменятся маркетинговые войны и антивирусы обрастут еще каким-то функционалом, но свою суть - говорить хозяину: "Вот этот файл плохой, его не трогай, я его в карантин положу" они не изменят.

имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В эпоху ХР было иначе, а с приходом Win8 все послезали с платного и перешли на бесплатный?

В Windows 8 встроен бывший MSE. Его нельзя назвать продвинутым, но он нужен больше для подстраховки.

Все это стало защищеннее только с точки зрения возможностей укоренения в системе (поставки дров, правки mbr и т.д), а все остальные функции малварь делает и особо не стесняется.

Уязвимостей меньше стало с внедрением SDL в процесс разработки нового ПО. Cуществующие патчатся централизовано ставятся для всего ПО от Microsoft, что также снижает поверхность возможных атак. Часть говнософта на Windows 8 можно вообще не ставить. Например, Adobe Reader не нужен, в Windows 8 встроен свое средство просмотра. Ну и так далее. Таким образом, общая защищенность системы многократно выше. Я уже не говорю даже про встроенные в ОС фичи типа UAC, ASLR, SEHOP, доверенная загрузка или AppLocker.

ИМХО именно поэтому смещается и вектор атаки. Становится эффективнее юзать социальную инженерию или тупо шифровать файлы и вымогать потом деньги. От последнего никакой классический антивирус не поможет. Индустрия грустно разводит руками. Только в этом году появилась хоть какая-то защита у ЛК и Доктора от этого.

Может изменятся маркетинговые войны и антивирусы обрастут еще каким-то функционалом, но свою суть - говорить хозяину: "Вот этот файл плохой, его не трогай, я его в карантин положу" они не изменят.

Согласен, именно так и будет. Белые списки, контроль приложений + всякие примочки, которые пока еще не сделали в Microsoft или Google. Но все это грустно, стратегически инициатива перешла к производителям ОС, как оно и должно было быть с самого начала.

У нас было в свое время опубликовано сравнение функций защиты Windows XP и Windows 8 http://www.anti-malware.ru/compare/Compari...and_Windows_8_1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Что же насчёт всяких там "Никсов" на десктопах... Ну, а это ничего, что на Виндах сейчас крутиться софта на миллионы и миллионы (а может, и миллиарды!) человека-часов и многое придётся переписывать с нуля? Вы лично готовы оплатить сии расходы производителям коммерческого ПО? Ну, или хотя бы пере-разработку с нуля WinCC Сименсу? smile.gif

Ну а почему-бы не создать свою SCADA и не платить какому-то Сименсу ? ;)

Знаю я людей которые силами небольшой команды (Пять человек) в Советское время как раз и создали свою SCADA-систему, сейчас эта система используется не на последнем предприятии, где необходима максимальное аварийноустойчивость и надёжность...

Другое дело что эта SCADA котороя у них получилось жутко узконаправлена и уже морально и физически устарела, где-то в других местах её использовать уже нельзя...

Хочу немного сказать про эти SCADA-системы, по заверениям "Старожил" кто работает в этой области, в советское время у многих-был бзик "А давайте создадим свою SCADA", ну создали и что ?

В этоге всё это узконаправленно, а из-за обстановки в нашей стране, многое перестало развиваться и совершенствоваться и в этоге все эти системы успользуются на узкозпециализированных предприятиях и хрен-их куда уже продашь ! :(

Сейчас-же похожая картина, в связи с санкциями многие отрасли говорят "А давайте создадим свою ОС", причём под ОС понимается сборка Линукс со специфическим софтом, но опять-же всё будет узконаправленно и использовать где-то за пределами отраслей будет невозможно...

А так как создать свою SCADA, так-же как и отказаться от винды промышленному сектору по моему мнению релально, по следующим причинам:

1)Наши заводы в большинстве, это оборудование с советских времён и всё-равно если что-то обновлять это нужно либо создавать с нуля, либо закупать из-за рубежа, а там санкции... :)

Да даже если санкций небыло-бы, много придётся самим переделывать состыковывать и т.д.

Тут два выхода по моему мнению, если говорить про софт:

1.Писать и делать софт кроссплатформенным, тогда будет в целом совместимость в системе;

2.Либо писать софт конкретно по никсы, без кроссплатформенности ибо так даже легче...

2)Вторая причина - Это санкции, если раньше был главный лозунг "На западе лучше, зачем изобретать то что уже изобретено ?", то сейчас подход немножко меняется, к чему это приведёт, посмотрим ?

Но уже сейчас та-же нефтянка, газ задумались об импортозамещении обородывания...;)

Что касается "Домашнего сегмента", тут просто привычка, вот чем та-же Windows 8.1 лучше Debian ?

Да в 8-ке можно поиграть, да там больше софта, да она привычней...

Но вот лучше-ли она по другим параметрам вопрос ?

Если говорить про оффисных сотрудников, то спокойно можно пересадить на Линукс, почти всё есть:Оффис есть, Интернет есть, есть WINE-эмулятор где какой-то софт можно запустить там...

Плохо конечно что для Линукса нет специфичного софта, типо там AutoCad и прочее, ну думаю это дело времени... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Плохо конечно что для Линукса нет специфичного софта, типо там AutoCad и прочее, ну думаю это дело времени... :)
Вы уверены в этом факте? ))) что нет аналога AutoCAD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А так как создать свою SCADA, так-же как и отказаться от винды промышленному сектору по моему мнению релально, по следующим причинам:

О, никаких проблем. Вы готовы, я надеюсь, на то, что цены на промышленные и иные товары вырастут в три-четыре раза при сохранении размеров зарплат? Потому что оплата перевода компьютеров с Винду на другую ОС, равно как замена и переписывание всего ПО, что там крутиться, бизнесом будет производиться из вашего кармана. И не прилетит вдруг волшебник в голубом вертолёте. И бесплатного кина тоже не будет. Я предлагаю со всеми этими вещами заканчивать, потому что: (а) рынок своё слово сказал, и это слово "нет", (б) тема явно скатывается в оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Если говорить про оффисных сотрудников, то спокойно можно пересадить на Линукс, почти всё есть:Оффис есть, Интернет есть, есть WINE-эмулятор где какой-то софт можно запустить там...

Пересадить то их можно куда угодно и на что угодно (главное - чтобы там был пасьянс Косынка), но технических проблем будет туча. Мелких проблем, типа подключения старого принтера X, стыковки с чем-то там Y и поддержки чего-то там Z (например, корпоративного софта существует великое множество, если в фирме есть свои программисты, таковой софт будет плодиться и множиться со страшной скоростью ... я например сам в свою бытность наштамповал более сотни АРМ, некоторые до сих пор работают, хотя прошло много лет - и переписать тучу АРМ или адаптировать это под другую операционку не так просто, как кажется). А если прибавить то, что в Линуксе техподдержки чуть меньше, чем нуль, получится, что разгребание всех проблем (и получение всех тумаков) свалится на того, кто это внедрял :) А далее это неизбежно потянет за собой то, что описал Илья Рабинович - и окажется, что иной раз "бесплатное решение" дороже платного. С точки зрения безопасности аналогично - нет разницы, будет юзер сидеть под админом в Windows или рутом в Linux и запускать все подряд не глядя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Хэши всякие нужны, хэши всякие важны...)) оптимизация, смарт, etc, наверно никак без хэшей?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный
Хэши всякие нужны, хэши всякие важны...)) оптимизация, смарт, etc, наверно никак без хэшей?)

Может-быть, но мне кажется ненормально когда после изменения пары байт слетает детект у каждого третьего вируса...

Кстати хочу отметить важное замечание по тесту, детект слетал У ВСЕХ АНТИВИРУСОВ, у каких-то процент больше, у каких-то меньше, просто я глянул график, там у нода чуть-ли не 0-ль %, это нетак, просто процент слёта очень маленький, но он есть...

Что может означать большой процент слёта детекта ?

По моему мнение две вещи (Отдельно, либо в комплексе):

1)Нетехнологичность сканера;

2)Заточку АВ под тесты.

В общем-то на это мы и хотели обратить внимание и обсудить ! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
1)Нетехнологичность сканера;

2)Заточку АВ под тесты.

1. как положили сигнатуры, так и детектируется.

2. вряд ли.

3. я бы добавил, что у многих роботы клепают сигнатуры поверх упаковщиков, даже поверх upx. Распаковка, перепаковка = снятие детекта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×