Перейти к содержанию
Сергей Ильин

Тест антивирусов по эффективности защиты от новейших вредоносных программ I

Recommended Posts

UIT

Valery Ledovskoy

Извините если что пропустил. На Ваш взгляд, проведенный тест (с текущей методологией и спорными элементами:) показывает /примерно/ действительную эффективность именно среди тестируемых продуктов. Или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Так не научились ещё определять время жизни сэмпла.

А нам не нужно время жизни. Нужно разделение на то - чем детектилось или не детектилось вообще т.е. вердикт всех АВ на сэмпл/ссылку: дата + имя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А можно, общепринятое понимание термина?

Попробовать можно. Надеюсь, что это приведёт к серьёзной конструктивной дискуссии. Поэтому прошу внимательно следить за мыслью.

Например, вот как определяются такие угрозы в Википедии:

http://en.wikipedia.org/wiki/Zero_day_virus

A Zero day virus is a previously-unknown computer virus or other malware for which specific antivirus software signatures are not yet available.[1]

Traditionally, antivirus software relies upon signatures to identify malware. This can be very effective, but cannot defend against malware unless samples have already been obtained, signatures generated and updates distributed to users. Because of this, signature-based approaches are not effective against zero-day viruses.

Most modern antivirus software still use signatures, but also carries out other types of analysis.[2]

Это одно из классических определений zero-day-угроз.

Речь идёт о том, что под zero-day-угрозами понимается вирус, под которого у антивируса ещё нет сигнатуры. Т.е. формально (при современных реалиях) это образец, который ещё не попадал к вендору на обработку, не проходил через вирусную лабораторию.

Но здесь есть засада. Ни один антивирус сегодня, который может таковым называться, не использует только сигнатуры в их классическом понимании. Именно для противодействия zero-day-угрозам стали придумываться различные проактивные технологии (среди которых и HIPS-технологии, и эвристические технологии, и другие технологии).

И авторы последнего тестирования столкнулись с тем, что практически невозможно найти образцы, которые не детектируются ни одним антивирусом. Из этого был сделан вывод, что можно в качестве zero-day-угроз использовать вирусы, которые детектируются-таки некоторыми антивирусами на Virustotal. По какому праву, кстати? Тем более, что для некоторых антивирусов (например, КАВ) детект на Virustotal ни о чём может не говорить, и я это показывал.

Я же из современной ситуации сделал вывод, что классическое определение zero-day-угроз устарело, и нужно искать другие привязки для определения этой сущности.

Наиболее верным направлением считаю определять время начала распространения нового сэмпла, т.к. практически все вирусописатели сегодня стараются перед началом распространения сэмпла минимизировать детект различными антивирусами. В том числе ведётся работа и по противодействию HIPS-технологиям (см. описание TDL3 того же). Но никому не приходит в голову убирать из теста сэмплы, которые ловят HIPS-технологии. Иначе зачем тогда тестирование вообще?

Далее. Невозможно сегодня практически создать вредоносный сэмпл, который бы не был пойман ни эвристическими технологиями, ни HIPS-технологиями. Но ведь классическое определение zero-day-угроз предполагает именно такое понимание - антивирусы в их актуальном состоянии не могут противодействовать такой угрозе в принципе, т.е. пользователь остаётся незащищённым.

Поэтому предлагаю считать zero-day-угрозами сэмплы, которые начали распространяться только что. Возможно, откатывать базы антивирусов на то время, когда (как было определено) было начато распространение этого образца.

Именно такое тестирование, как мне кажется, может показать степень качества противодействия тестируемых антивирусов "новым" угрозам в современных реалиях. Особенно для неискушённых пользователей, которые являются широкой читательской аудиторией.

По просьбе одного из участников уточняю. Прошу упоминание здесь Virustotal не воспринимать как главное доказательство неверности методики проведённого теста. Это сообщение - для более правильного понимания того, что было сделано, и к чему можно стремиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
pity.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А нам не нужно время жизни. Нужно разделение на то - чем детектилось или не детектилось вообще т.е. вердикт всех АВ на сэмпл/ссылку: дата + имя.

Согласен, так будет более прозрачно все.

Речь идёт о том, что под zero-day-угрозами понимается вирус, под которого у антивируса ещё нет сигнатуры. Т.е. формально (при современных реалиях) это образец, который ещё не попадал к вендору на обработку, не проходил через вирусную лабораторию.

Ну так значит название правильное? :) Мы как раз брали те самплы, которые сигнатурами не детектились, если вердикты и были у того же вирустотала, то на пакеры/крипторы, в крайнем случае срабатывали дженерики. Это все описано тесте в методологии.

Потом если 10 вендоров вирус не знаю, а один какой-то из далекой далекой страны его спалил (может он все подряд палит?). Это Zero-day или нет? Я считаю, что да. Мы просто в методологии дали свое количественное определение этого понятия, как сами считаем правильным.

Сигнатурного детекта не было - не было. Самплы неизвестные - да. Zero-day-угроза - да.

И авторы последнего тестирования столкнулись с тем, что практически невозможно найти образцы, которые не детектируются ни одним антивирусом.

Оно было не последнее, будет еще много :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну так значит название правильное? smile.gif Мы как раз брали те самплы, которые сигнатурами не детектились,

Нет, не правильное.

Сигнатурного детекта не было - не было.

Эвристика - это не сигнатуры. С детектом эвристики сэмплы не брались. Это не соответствует классическому определению zero-day-угроз. Очень часто на сэмплы, которые появились только что, срабатывают эвристики у многих антивирусов, до 50%. Как видим, в классическом определении zero-day-угроз речь идёт только лишь о чётких сигнатурах. А тестеры не могут определить часто, эвристик сработал у антивируса или сигнатура. Потому что вендоры не делятся такой информацией, а сами определить этого не могут.

И раз уж вы сделали отступление от классического определения zero-day-угроз и не принимаете детект эвристиками и другими технологиями, которые находятся на другом уровне относительно сигнатурных, то почему взяли детект с помощью HIPS-технологий? Чтобы их выделить? Ну и пишите в названии, что тестировали HIPS-технологии.

Т.е. возвращаемся к изначальной логике.

dr_dizel, если Вам что-то непонятно, задавайте вопросы или не пишите ничего. По правилам форума нельзя размещать сообщения, не несущие смысловой нагрузки, п. 11.12.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel, если Вам что-то непонятно, задавайте вопросы или не пишите ничего. По правилам форума нельзя размещать сообщения, не несущие смысловой нагрузки, п. 11.12.

Ути-пути... Этот мнемоничный смайлик используется на многих форумах инета для точного и краткого выражения отношения форумчан на потоки бреда со стороны одного из участников форума. Причём он настолько лаконичен, что позволяет избежать словесного поноса и флуда.

Это похоже на иконку Ambox_content.png, которая выражает озабоченность администрации в профессионализме автора статьи на википедии, ссылку на которую вы дали. Там даже разжевано (т.к. смайлик достаточно абстрактен в отличие от моего): "This article is in need of attention from an expert on the subject".

Одно радует, что в конце статьи есть ссылка на более вменяемую статью, которую следовало бы читать вместо приведённой вами.

P.S. Довольно странно, что всё это нужно объяснять взрослому образованному человеку на не последнем в инете портале по ИБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, спасибо за то, что всё же высказали своё мнение. Теперь хоть понятно, что Вы имеете в виду.

Я сейчас общаюсь по теме данного теста с одним из авторов теста. Сюда выкладываю мысли по результатам дискуссии. Если Вы с чем-то не согласны, то прошу писать, с чем и аргументировать.

Это похоже на иконку , которая выражает озабоченность администрации в профессионализме автора статьи на википедии, ссылку на которую вы дали.

Не без этого, но авторы теста выбрали именно это определение zero-day-угроз для проведения теста. Возможно, администрация Википедии тоже понимает, что такое (классическое) определение термина несколько устарело.

Одно радует, что в конце статьи есть ссылка на более вменяемую статью, которую следовало бы читать вместо приведённой вами.

Странно, что Вы не видите, что здесь дано определение Zero day attack:

A zero-day (or zero-hour) attack or threat is a computer threat that tries to exploit computer application vulnerabilities that are unknown to others, undisclosed to the software vendor, or for which no security fix is available. Zero-day exploits (actual code that can use a security hole to carry out an attack) are used or shared by attackers before the software vendor knows about the vulnerability.

И определяется здесь понятие zero-day-эксплойта уязвимости в каком-либо ПО. Про уязвимости, которые производители ПО ещё не закрыли к моменту их использования злоумышленниками. Это определение ничего не говорит нам о том, какие сэмплы нужно отбирать для тестирования антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
И определяется здесь понятие zero-day-эксплойта уязвимости в каком-либо ПО. Про уязвимости, которые производители ПО ещё не закрыли к моменту их использования злоумышленниками. Это определение ничего не говорит нам о том, какие сэмплы нужно отбирать для тестирования антивирусов.

А как, например, собирают шелкоды на загрузку и установку малдрайвера? Просветите-ка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

[offtop]

dr_dizel, если Вам что-то непонятно, задавайте вопросы или не пишите ничего. По правилам форума нельзя размещать сообщения, не несущие смысловой нагрузки, п. 11.12.

Валерий, это facepalm.

Пост написан исключительно для расширения Вашего кругозора.

[/offtop]

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Эвристика - это не сигнатуры. С детектом эвристики сэмплы не брались. Это не соответствует классическому определению zero-day-угроз.

Ответьте тогда, что в современном понимании является сигнатурами? :)

Облегчу задачу. Несколько лет назад некоторые вендоры начали громко говорить о чудо технологии, обстрактно названной эвритиской, способной детектировать неизвестные образцы известный угроз. Тут я подчеркиваю, что технология изначально детектирует новые образцы семейства, а не принципиально новые виды.

Многие сразу же стали говорить, что это те же самые сигнатуры, только вид сбоку. Можно называть их проактивными, нечеткими, да как угодно, смысл не меняется. Для иллюстрации вспоминаем эпидемию Warezov, который обновлялся так таким образом, что вендорам приходилось клепать на него сигнатуры, дженерики и новые записи эвристики постоянно. Именно тогда наглядно захлебнулась хваленая эвристика Nod32 (кому интересно, может найти на нашем форуме темы на этот счет). К чему я это? Да к тому, что все это защита от небольших модификаций известных угроз.

Очень часто на сэмплы, которые появились только что, срабатывают эвристики у многих антивирусов, до 50%.

И вы предлагаете относить их к zero-day? Это будет смешно.

А тестеры не могут определить часто, эвристик сработал у антивируса или сигнатура. Потому что вендоры не делятся такой информацией, а сами определить этого не могут.

Вот именно, потому что по сути это одно и тоже. Много раз обсуждалось, что делить эти вещи сейчас нет никакого смысла. В тесте проактивной защиты мы как раз проверяем уровень детекта новых угроз сигнатурными методами. Если DrWeb так крут, как вы говорите, то он покажет после нового года в этом тесте 50-60% или больше, и можно будет считать, что против новых модификаций он надежно защищает. Сможете взять на это на вооружение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А как, например, собирают шелкоды на загрузку и установку малдрайвера? Просветите-ка.

Это уж точно п.11.12

За бессвязность речи я бы выдал по-полной программе, но я не модератор...

P.S. 2Umnik: Вот это уже "..... стыд", а не фейспалм :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Да к тому, что все это защита от небольших модификаций известных угроз.

Я с лёгкостью могу эту мысль распространить и на HIPS. Они тоже защищают только от известных типов установки в систему. Но сейчас существуют вредоносные программы, которые обходят HIPS'ы и устанавливаются в систему. Таким образом, приходится докручивать HIPS'ы. Кстати, докрутить HIPS - это обычно куда дольше, чем заточить эвристик.

Но да, ни один из существующих ныне тестов не подтвердит и не опровергнет это.

Многие сразу же стали говорить, что это те же самые сигнатуры, только вид сбоку. Можно называть их проактивными, нечеткими, да как угодно, смысл не меняется.

Да, такое мнение вполне нормально. Но это лишь говорит о том, что сейчас нет чёткой терминологии. А нет её, потому что все антивирусные продукты очень разные. Если мы придерживаемся терминологии, которая на руку одному из вендоров, другие страдают. Т.е. объективность ускользает. Привязаться к чему-то общему для технологий всех вендоров со временем становится всё сложнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Тоже немного позволю себе поофтопить.

Валерий, это facepalm.

Пост написан исключительно для расширения Вашего кругозора.

«Услышав это, Роланд поморщился, покачал головой и прикрыл глаза изуродованной правой рукой.»

— Стивен Кинг — Тёмная Башня

Пожалуй, любимая моя книжка. Всем советую осилить :)

У меня кругозор немного шире точки, которую некоторые называют своей точкой зрения :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это уж точно п.11.12

О, целых 2 эксперта в теме! :lol:

Вам что-то не нравится во фразе для Валерия? Вы хотите уберечь его от чего-то по-мамски?

Мы тут зеродеев обыскались уже. Может подбросите парочку md5? :rolleyes:

P.S. А все предыдущие N страниц флуда вас значит устраивали? Или вы наш Лев Толстой?

Когда революционеры сотнями убивали царских губернаторов, графов и князей, тогда граф Толстой молчал, как рыба.

Но когда царское правительство по суду повесило нескольких этих революционеров-убийц, тогда великий гуманист Толстой вдруг разразился на весь мир статьей-истерикой "Не могу молчать". Почему? Где логика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, сначала разберитесь в определении термина Zero day attack, который действительно адекватный, но не по теме.

Потом флеймите дальше.

P.S. А все предыдущие N страниц флуда вас значит устраивали? Или вы наш Лев Толстой?

Нет, не устраивали. Часть была выделена в отдельную тему. А из Вашего флуда даже не знаю... Разве что в юмор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
сначала разберитесь в определении термина Zero day attack, который действительно адекватный, но не по теме.

Потом флеймите дальше.

Уже ведь вроде решили, что термин в названии был для красоты. Или вам ещё раз нужно перечитать статью по моей ссылке, которую я вам дал, в ответ на какую-то муть про зеровирусы? Или вы уже путаетесь кто что писал?

Нет, не устраивали. Часть была выделена в отдельную тему.

И какой результат из всего этого? Можете "подбить баланс"? Уже пора бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Уже ведь вроде решили, что термин в названии был для красоты.

Ах, для красоты? Ну если Вы так решили, тогда конечно можно считать, что Zero day attack - это то же самое, что и Zero day samples (viruses).

Тогда вопросов нет.

И какой результат из всего этого? Можете "подбить баланс"? Уже пора бы.

Баланс подбивают модераторы форума и бухгалтеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Коллеги, давайте не будем продолжать эскалировать ситуацию. Накал дискуссии уже давно не шуточный, не хватало еще переругаться всем из-за терминологии :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Если немного вспомнить историю споров на Антималваре, то припоминаются следующие очень интересные моменты :

- Более двух лет тому назад сотрудники DrWeb оспаривали необходимость внедрения в свой продукт более вменяемой самозащиты, все выпады о том, что базы антивируса можно грохнуть и он запустится без них парировались утверждением, что мол автоапдейтер тут же скачает недостающие компоненты. Чем закончился спор всем известно - самозащиту в пятёрке доработали. Следом была точно такая же дискуссия о необходимости сетевого экрана. Результат все тоже знают, пришлось вебовцам браться за разработку собственного СЭ. Сейчас - один в один дискуссия о HIPS. Думаю, что закончится как и в предыдущих случаях, через годик вебовцы объявят о начале тестирования встроенного в их антивирус HIPSa. Валерий, сколько бы вы не упирались и не пытались расписывать здесь уникальность пути, по которому идёт ваша компания, но вам всё равно придётся делать в своём антивирусе то, что другие компании в своих продуктах уже реализовали :P

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Коллеги, давайте не будем продолжать эскалировать ситуацию. Накал дискуссии уже давно не шуточный, не хватало еще переругаться всем из-за терминологии :(

Увы - но что бы споров не было, нужно сначала с терминологией определиться, а то оперировать ей будет невозможно.

опять же, как относиться к эвристике.

я так понимаю, у некоторых вендеров эвристика работает на базе сигнатур, а у некоторых автономно?

Или продуктов со 2рым типом(по моей типологии (: ) не существует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
я так понимаю, у некоторых вендеров эвристика работает на базе сигнатур, а у некоторых автономно?

Сначала надо определиться с понятием "эвристика". Она очень даже разная бывает с точки зрения технологий, например:

1) Статический трейсер с правилами

2) Эмулятор с правилами

2.1) п.2 + п.1

3) ...

3.1) ...

и так далее...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Коллеги, давайте не будем продолжать эскалировать ситуацию. Накал дискуссии уже давно не шуточный, не хватало еще переругаться всем из-за терминологии sad.gif

Вот ещё что. Не хватало мне ещё ругаться из-за терминологии. Хотя бы понять, что есть что.

А dr_dizel для начала бы научиться вести конструктивную дискуссию. Вечно куда-нибудь заносит далеко.

- Более двух лет тому назад сотрудники DrWeb оспаривали необходимость внедрения в свой продукт более вменяемой самозащиты, все выпады о том, что базы антивируса можно грохнуть и он запустится без них парировались утверждением, что мол автоапдейтер тут же скачает недостающие компоненты. Чем закончился спор всем известно - самозащиту в пятёрке доработали.

Подсказка. Антиспам забыли. И ничего странного в том, чтобы защищать собственные продукты, нет. Перечисленная аргументация вполне подходила под те недостатки, которые Вы перечислили. В то время, когда эта аргументация была нужна. Не переносите аргументацию прошлых лет в сегодняшний день.

Так же, как отсутствие нормального антируткита в продуктах Eset объяснялась тем, что если этот антивирус стоит на компьютере, то вирусы не пролезут. Настолько хорошая у него эвристика и проактивка. Да, эвристика неплохая. И понятно, почему так защищаются.

Вот все говорят до сих пор, что продукты ЛК тормозят - отвечают, что 200МБ сканируют за 3 секунды. Тоже всё понятно. Всё ж на поверхности.

А истина, она всегда будет посередине. Поэтому в очередной раз говорю, теперь Вам. Включайте свою голову. Если Вы не доверяете по каким-то причинам одному вендору, посмотрите через эти же очки на антивирусную индустрию в целом. Увидите очень многое. Если призма будет выбрана адекватная.

Следом была точно такая же дискуссия о необходимости сетевого экрана. Результат все тоже знают, пришлось вебовцам браться за разработку собственного СЭ.

Нет, не такая же. Аргументация заключалась в том, что файрволл - это уже не антивирус. Антивирус можно вполне использовать совместно с файрволлами, среди которых достаточно достойных, в т.ч. бесплатных решений. Появилась возможность создать что-то своё - сделали. И это будут комплексные продукты. Только для тех, кто желает.

Думаю, что закончится как и в предыдущих случаях, через годик вебовцы объявят о начале тестирования встроенного в их антивирус HIPSa.

Ничего подобного. Сейчас никто не говорит, что HIPS не будет. Но это не снимает никаких претензий с тестов, которые делают упор на значимости именно HIPS-технологий, хотя в название это не вынесено. Эта точка зрения не изменится никогда.

Валерий, сколько бы вы не упирались и не пытались расписывать здесь уникальность пути, по которому идёт ваша компания, но вам всё равно придётся делать в своём антивирусе то, что другие компании в своих продуктах уже реализовали tongue.gif

Что Вы здесь имеете в виду? Самозащиту, которая сделана совершенно иначе, чем у конкурентов? Антируткит, который работает иначе? Антиспам может быть похож на тот, что реализован в продуктах ЛК?

На самом деле у каждой антивирусной компании свой уникальный путь развития. Чтобы это увидеть, достаточно открыть глаза. Желательно в дневное время суток :)

я так понимаю, у некоторых вендеров эвристика работает на базе сигнатур, а у некоторых автономно?

А у некоторых, и первое, и второе, и третье, и с компотом :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Сначала надо определиться с понятием "эвристика". Она очень даже разная бывает с точки зрения технологий, например:

1) Статический трейсер с правилами

2) Эмулятор с правилами

2.1) п.2 + п.1

3) ...

3.1) ...

и так далее...

А у некоторых, и первое, и второе, и третье, и с компотом :)

окей ... тогда с чего вдруг это называется у всех эвристикой? :)

если исходить из общего понимания термина "эвристика", то туда можно и ХИПС засунуть :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
тогда с чего вдруг это называется у всех эвристикой? smile.gif

У кого у всех? Могу за нас сказать. .based - это расширенные вирусные записи. Приблизительно уровень сигнатур. Origins Trasing (.origin) - это нечто между сигнатурами и классическим эвристиком. FLY-CODE мы сейчас считаем частью эвристика, хотя здесь используются другие технологии относительно классического эвристика (который тоже никуда не делся).

если исходить из общего понимания термина "эвристика", то туда можно и ХИПС засунуть smile.gif.

Ну, тогда придётся его детект тоже из теста выкинуть и всё свести к абсурду. Я об этом уже писал выше. Хотя по логике вещей так и получается.

Вот поэтому за попытку оценить возможности продуктов по противодействию новым угрозам - спасибо. А за результат... сложно поддаётся интерпретации. И выносить в заголовок некие "новые угрозы" непонятного типа по непонятно каким правилам выбранные... Не согласен лично я с тем, что так было сделано. Но, возможно, в будущем высказанные замечания будут учтены. Первый блин, как говорится, и должен быть com'ом, а exe'шники будут дальше. Тот тест, что был проведён, можно вполне взять за точку отсчёта и начинать улучшения. Но я бы не стал этот инновационный (т.е. необкатанный по сути) тест, его результаты вообще показывать широкой публике. Не готовы они для этого. Для аналитического портала - да, пойдёт, можно пообсуждать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×