Перейти к содержанию
Vadim Fedorov

Новый подход к защите ПК от Symantec

Recommended Posts

Vadim Fedorov
А тогда в чём суть? Тот же whitelisting, только подправленный статистикой распределения модулей по компьютерам пользователей.

Вы могли бы пояснить суть вопроса/удивления более подробно ?

Я не совсем уверен в том, что правильно понял суть вопроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

То есть, Quorum- это не распределённая система пользовательских рейтингов, которые, в общем-то, как я понимаю, не интересны компании, а просто whitelisting со статистикой распредения модулей ко компьютерам пользователей, поскольку что делать с greylisting совершенно непонятно- песочница в продукте отсутствует как класс. Но ведь анасировалось всё немного иначе, не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Если Вы внимательно прочитаете мои сообщения, то обратите внимание на то, что слова "миллионы" относятся

к "миллионам поступающих SHA256 hash" которые классифицируются в зависимости от распространенности,

а также анализируются статистические параметры наиболее распространенных файлов.

Перед назначением рейтинга Norton Trusted все файлы, входящие в состав приложения тщательно анализируются специалистами Symantec,

использующими специализированные инструменты, в том числе и автоматизированные.

Вадим, прошу прощения, если мой вопрос остался вами непонятым и сподвиг на написание столь обширного ответа, который, увы, так и не ответил на мой изначальный вопрос. Я попробую перефразировать его и надеюсь что получу не подлежащий двойной трактовки ответ (да или нет):

Проводится ли тщательный анализ (проводился ли он) для всех этих 51 млн (спасибо за цифры!) файлов, признанных Norton Trusted ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Проводится ли тщательный анализ (проводился ли он) для всех этих 51 млн (спасибо за цифры!) файлов, признанных Norton Trusted ?

А кто вам сказал что все эти файлы были признаны Norton Trusted? Откуда Вы взяли эту информацию, из какой цитаты или какой иллюстрации? На каком основании Вы делаете необоснованные выводы как работает продукт, если Вы его даже не пробовали использовать? Не пытались вникнуть в его архитектуру? Или мы по-прежнему придерживаемся старого совкового подхода - "Пастернака не читал, но осуждаю"?

Коллеги, если тема и дальше пойдет в таком ключе, она либо уедет в Неформальное общение, либо будет закрыта

То есть, Quorum- это не распределённая система пользовательских рейтингов, которые, в общем-то, как я понимаю, не интересны компании, а просто whitelisting со статистикой распредения модулей ко компьютерам пользователей, поскольку что делать с greylisting совершенно непонятно- песочница в продукте отсутствует как класс. Но ведь анасировалось всё немного иначе, не так ли?

Илья, на чем Вы основываетесь делая такие выводы? Ну вам то вроде не свойственно судить о технологии на базе "некомпетентной" информации и недальновидных комментариев представителей КОНКУРИРУЮЩИХ вендоров?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
...что делать с greylisting совершенно непонятно- песочница в продукте отсутствует как класс.

А разве в продуктах Norton перестали присутствовать технологии поведенческого анализа на случай подобных "серых лошадок" ?

Но ведь анасировалось всё немного иначе, не так ли?

Я не замечал расхождений в анонсах и конечной реализации.

Возможно, Вы располагаете списком конкретных противоречий (цитат) которые по Вашему мнению можно усмотреть

в текстах анонсов и последующих описаниях ?

Вадим, прошу прощения, если мой вопрос остался вами непонятым и сподвиг на написание столь обширного ответа, который, увы, так и не ответил на мой изначальный вопрос. Я попробую перефразировать его и надеюсь что получу не подлежащий двойной трактовки ответ (да или нет):

Проводится ли тщательный анализ (проводился ли он) для всех этих 51 млн (спасибо за цифры!) файлов, признанных Norton Trusted ?

Кирилл уже ответил на этот вопрос, поэтому я сделаю лишь дополнение от себя.

chk, Вы по-прежнему невнимательно читаете мои ответы, а также невнимательно изучили приведенный выше скриншот,

поэтому в свою очередь тоже спрошу - а почему Вы решили, что речь идет о 51 миллионе (округленно) файлов, обладающих

рейтингом Norton Trusted ?

На скриншоте абсолютно четко видно, что цифра 51.800.044 файла сопровождается надписью "Known good files",

но это вовсе не означает того, что все эти известные файлы обладают рейтингом Norton Trusted.

Пользователи продуктов Norton могут получить информацию об установленных на их компьютере приложениях,

обладающих рейтингом Norton Trusted, воспользовавшись соответствующим пунктом меню "Application Ratings".

Что касается специализированной внутренней статистики, то я уже написал о том, что по вполне понятным причинам

она не может быть публичной.

Отдельно еще раз подчеркну: все файлы, обладающие рейтингом Norton Trusted были тщательно проанализированы в Symantec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья, на чем Вы основываетесь делая такие выводы? Ну вам то вроде не свойственно судить о технологии на базе "некомпетентной" информации и недальновидных комментариев представителей КОНКУРИРУЮЩИХ вендоров?!

А я их ещё выводов не делал. Я всё пытаюсь понять, что это такое. Объяснения достаточно путанные- то пользовательские мнения учитываются, то не учитываются. Непонятна система защиты от накруток статистики. Да и ещё видео от Matt Rizos тоже заставляет задуматься- как же оно реально работает и зачем там введён graylisting, если система защиты затрудняется с ним работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
На данный момент уже не ново, но на момент августа 2007г. реализация системы Norton Community Watch составе продуктов Norton 2008, позволяющей осуществлять сбор анонимных статистических данных, было очень даже ново.

Вы, вероятно, не знаете об Agnitum ImproveNet. http://www.agnitum.com/support/improvenet/description.php

# Agnitum invites you to join the ImproveNet program to improve the quality, security and control features of Outpost Firewall Pro even more! With your consent, Outpost Firewall Pro will collect anonymous information about network-enabled applications on your computer to be used to expand the existing database of known applications so we can make many more automatic access rules available to users;

# Outpost Firewall Pro 3.5 now also features an automatic distribution and update of new rules. After a new access rule has been created based on information from Agnitum's ImproveNet program, it is automatically shared with other Outpost Firewall Pro users via Agnitum Update to reduce the number of product prompts;

Outpost Firewall Pro 3.5 (build 639/457). Release date: February 9, 2006, см. http://www.agnitum.com/products/outpost/history.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А разве в продуктах Norton перестали присутствовать технологии поведенческого анализа на случай подобных "серых лошадок" ?

Так это типичный blacklisting, только с сигнатурами поведений. В Quorum'е же идёт вставка graylisting, но, похоже, система работает с ним по стандартной blacklisting-схеме. Вот и непонятно- зачем тогда нужна вся эта дополнительная статистика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Вы, вероятно, не знаете об Agnitum ImproveNet. http://www.agnitum.com/support/improvenet/description.php

Виталий, я знаю об Agnitum ImproveNet, спасибо:)

Вы не обратили внимания на разницу значений между термином "ново"/"новшество" который я употребил,

и термином "уникальность", который я не употребил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Красный - вредоносное ПО, т.е. не заслуживающие доверия объекты, подлежащие блокировке и удалению.

Желтый - объекты, достаточная информация о которых, отсутствует - подлежат углубленной проверке при помощи

всех доступных технологий.

Зеленый - заслуживающие доверия объекты, активность которых не ограничивается.

Как уже было написано выше - в случае какого либо изменения заслуживающих доверия объектов,

будет проведена их повторная проверка и информация будет повторно сверена с базой данных Symantec.

угу, так тут вся соль и есть

определение доверенных и недоверенных с последующим контролем доверенных на изменения - это фишка есть и у вас и у касперских, а вот с жёлтыми вы ничего не делаете, а у касперских ограничения слабые и сильные на них. или если не так, то, пожалуйста, проясните

Коллеги, если тема и дальше пойдет в таком ключе, она либо уедет в Неформальное общение, либо будет закрыта

я прошу прощения многоуважаемый Кирилл, но тут мы просто проясняем для себя неясные пока моменты технологии Symantec, которые упущены в доступных маркетинговых описаниях

а также высказываем мнения об эффективности сей технологии

чем вас этот ключ обсуждения не устраивает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
А кто вам сказал что все эти файлы были признаны Norton Trusted? Откуда Вы взяли эту информацию, из какой цитаты или какой иллюстрации? На каком основании Вы делаете необоснованные выводы как работает продукт, если Вы его даже не пробовали использовать? Не пытались вникнуть в его архитектуру? Или мы по-прежнему придерживаемся старого совкового подхода - "Пастернака не читал, но осуждаю"?

Коллеги, если тема и дальше пойдет в таком ключе, она либо уедет в Неформальное общение, либо будет закрыта

Кирилл, а почему вы так нервничаете ? Почему вы говорите о том, что я делаю "необоснованные выводы", в то время как я выводы не делаю, а всего лишь задаю вопросы о непонятных моментах ? Почему вы столь уверенно заявляете, что я "даже не пробовал использовать" ваш продукт ? Вы знаете меня лично ? Вы знаете что я пробовал, а что нет ? Разве я как раз не пытаюсь вникнуть в его архитектуру ?

Почему вы столь категоричны и начинаете оперировать модераторскими правами, причем в негативном изложении ?

Кирилл, это ваша работа - отвечать на такие вопросы и предоставлять информацию. Вам за это платят деньги и здесь, на АМ, вы добровольно взяли на себя этот труд. Я понимаю, что предоставленные вам компанией Симантек маркетинговые материалы, вероятно, не отвечают на те вопросы, о которых я спрашиваю, но ! вы же эксперт Кирилл, вы же должны разбираться в технологиях вашей компании лучше, чем рядовой маркетолог, вы даже можете переадресовать вопрос своим зарубежным коллегам.

chk, Вы по-прежнему невнимательно читаете мои ответы, а также невнимательно изучили приведенный выше скриншот,

поэтому в свою очередь тоже спрошу - а почему Вы решили, что речь идет о 51 миллионе (округленно) файлов, обладающих

рейтингом Norton Trusted ?

На скриншоте абсолютно четко видно, что цифра 51.800.044 файла сопровождается надписью "Known good files",

но это вовсе не означает того, что все эти известные файлы обладают рейтингом Norton Trusted.

Да, вы правы, я допустил ошибку решив, что Good Files = Trusted files. Рад что мы продвинулись вперед еще немного.

Перейдем к следующему вопросу ?

Вопрос таков: Из этих 51 800 044 файлов некоторое неизвестное количество имеет статус Norton Trusted ? Или эти две категории "Good files" и "Norton Trusted" никак между собой не коррелируют и это, де-факто, абсолютно разные базы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
угу, так тут вся соль и есть

определение доверенных и недоверенных с последующим контролем доверенных на изменения - это фишка есть и у вас и у касперских, а вот с жёлтыми вы ничего не делаете, а у касперских ограничения слабые и сильные на них

1. Для условно "желтых" в Symantec предусмотрены алгоритмы проверки в гораздо более агрессивном режиме,

в том числе и при помощи технологий поведенческого анализа.

2. А каким образом продукты ЛК соотносятся с данной темой ?

Что касается подхода в продукте ЛК (о котором Вы сами упомянули, поэтому отвечу на сообщение), то тут можно заметить следующее:

насколько я могу судить по высказываниям многих Gold Beta Tester-ов ЛК, настройки HIPS в KIS по-умолчанию

обеспечивают относительно не самый надежный режим работы, который GBT предпочитают изменять при помощи

следующих настроек:

69c201a2db06.png

что сводит настройки к двум группам - "Trusted" и "Untrusted" приложения, и предполагает самостоятельное

перемещение заслуживающих по мнению пользователя доверия приложений из группы "Untrusted"

в группу "Trusted" в тех случаях, когда они попадают в группу "Untrusted".

Т.е. этот вариант не подходит для абсолютного большинства обычных пользователей.

В случае настроек по-умолчанию, возникает другая проблема, когда номинально декларируемый

автоматический режим в продукте ЛК, на практике полностью таковым не является, т. к.

при столкновении с условно "желтыми" приложениями во многих случаях пользователь KIS

увидит предупреждение с запросом действия, и ему понадобится самостоятельно принять решение об ограничении

такого приложения в правах.

Т.е. получаем ситуацию, когда во-первых: подобный запрос действия от продукта, работающего в автоматическом режиме,

приведет обычного пользователя попросту в замешательство, во-вторых: большинство обычных пользователей как правило

позволят в такой ситуации запуск приложения без ограничения - т.е. и в автоматическом режиме наличие групп

"слабые и сильные ограничения" выглядит, как мне кажется, не очень убедительно.

P.S. Предлагаю в дальнейшем обсуждении воздерживаться от противопоставлений различных продуктов,

так как это обычно приводит лишь к сплошному негативу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Из этих 51 800 044 файлов некоторое неизвестное количество имеет статус Norton Trusted ?

Да, в состав 51 800 044 известных на тот момент файлов ("Known good files") входят и файлы, которым был присвоен рейтинг "Norton Trusted".

P.S. chk, позволю себе намекнуть на то, что при издевательски-неуважительной манере общения,

которую Вы продемонстрировали в первой части сообщения #36 (особенно в его первой редакции),

Вы вряд ли сможете рассчитывать на желание оппонента поддерживать с Вами диалог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600
Защищённому ли? Что-то гложат меня сомнения. Подождём лучше результатов динамического теста.

В ходе проведения личных тестов, которые всегда были и будут для меня иметь неоспоримую ценность по сравнению с результатами полученными или представленными Вами, я могу с уверенностью заявить Вам, что корпорация Symantec и её технологии по достоинству может ответить на информационные угрозы современного мира. Это доказал и доказывает - непосредственно мой личный опыт, личный опыт моих коллег по работе, друзей, знакомых и людей использующих непосредственно продукты корпорации Symantec для защиты своих персональных компьютеров.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Да, в состав 51 800 044 известных на тот момент файлов ("Known good files") входят и файлы, которым был присвоен рейтинг "Norton Trusted".

Отлично. Теперь ясности гораздо больше!

Следующий вопрос:

Исходя из факта, что есть более 50 млн "зеленых" файлов, часть из которых является "более зелеными" (Norton Trusted) - мы видим, что на практике мы имеем условное деление не на три категории (зеленый-желтый-красный), а на четыре ! (+более зеленый).

Вы пишете:

"1. Для условно "желтых" в Symantec предусмотрены алгоритмы проверки в гораздо более агрессивном режиме,

в том числе и при помощи технологий поведенческого анализа. "

Поскольку "более зеленые", как известно, были проверены вручную и более тщательно, а для "желтых" применяются более агрессивные проверки, остается нераскрытым процедура работы-обработки "зеленых". Что происходит с ними ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Vadim Fedorov

Прежде чем я начну задавать вопросы по теме, задам предварительные.

Откуда знания работы компонентов? У Вас есть доступ к закрытой внутренней технической документации? Вам эти сведения (закрытые, защищенные договорами/контрактами) предоставляют сотрудники Symantec? Или Вы ориентируетесь на материал, написанный техническими писателями по маркетинговым материалам?

Какой смысл вносить в базу dll?

Узнай, что такое dll. Может вики тебе подскажет.

Молодец, а теперь посмотри тему на оффоруме и спроси у Марата, когда, с какого форума и с чьей подачи nnCron был добавлен в базу Доверенных.

Если бы мне это было интересно, непременно спросил бы. :) На самом деле я впервые в жизни увидел эту программу и удалил ее сразу после снятия скриншота.

А вы сказали одно, а в качестве доказательства приводите дополнительный модуль dll для Фоксит Ридер.

Еще раз, изучи, что такое "dll". Изучи где-нибудь, а здесь не пиши - оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Исходя из факта, что есть более 50 млн "зеленых" файлов, часть из которых является "более зелеными" (Norton Trusted) - мы видим, что на практике мы имеем условное деление не на три категории (зеленый-желтый-красный), а на четыре ! (+более зеленый).

И на этот раз отмечу, что Вы невнимательно читаете мои предыдущие сообщения.

В сообщении #19 содержится следующая цитата:

" В определенном смысле градации присутствуют, но для облегчения восприятия большинством пользователей

на данный вопрос лучше всего ответить следующим образом (обозначив ключевые пункты):

Представить систему можно по-принципу цветов: красный-желтый-зеленый."

Т.е. изначально было отмечено то, что градации присутствуют, но в целях облегчения восприятия были обозначены ключевые пункты.

Можно добавить, что общее количество "градаций"/"категорий" еще больше, чем Вы предположили, но как показало обсуждение -

выходить за рамки облегченной для восприятия "системы 3-х цветов" категорически не стоит:)

Vadim Fedorov

Прежде чем я начну задавать вопросы по теме, задам предварительные.

Откуда знания работы компонентов? У Вас есть доступ к закрытой внутренней технической документации? Вам эти сведения (закрытые, защищенные договорами/контрактами) предоставляют сотрудники Symantec? Или Вы ориентируетесь на материал, написанный техническими писателями по маркетинговым материалам?

Дмитрий, у Вас эти вопросы возникли самостоятельно, или коллеги попросили уточнить:) ?

Зачем задавать довольно своеобразный блок вопросов, на который Вы заведомо можете получить лишь вежливо-ироничный ответ - "No comment"...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
И на этот раз отмечу, что Вы невнимательно читаете мои предыдущие сообщения.

В сообщении #19 содержится следующая цитата:

" В определенном смысле градации присутствуют, но для облегчения восприятия большинством пользователей

на данный вопрос лучше всего ответить следующим образом (обозначив ключевые пункты):

Представить систему можно по-принципу цветов: красный-желтый-зеленый."

Т.е. изначально было отмечено то, что градации присутствуют, но в целях облегчения восприятия были обозначены ключевые пункты.

Можно добавить, что общее количество "градаций"/"категорий" еще больше, чем Вы предположили, но как показало обсуждение -

выходить за рамки облегченной для восприятия "системы 3-х цветов" категорически не стоит:)

Хорошо. А на вопрос мой ответите ?

P.S. И знакомы ли вы с содержанием презентации "Reputation: a new chapter in malware protection", которую делали на конференции VB 2009 сотрудники Симантек: Carey Nachenberg, Zulfikar Ramzan, Vijay Seshadri ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Vadim Fedorov

Конечно самостоятельно. Вы переспросили, потому что Вам это не очевидно, но я с охотой поясню.

1. Я работаю в ЛК (К.О. :)). Теоретически, должен знать, как работает KSN. Но чтобы знать, я должен прочитать техническую документацию.

2. Чтобы прочитать техдокументацию, я лезу на специальный внутренний ресурс... и обнаруживаю, что у меня нет доступа к ней. Есть доступ к документации по Rescue Disc, частично по KTS, частично по SandBox и т.п. Потому что их тестирование было моей прямой обязанностью и я делал запрос на доступ. KSN вне моей компетенции.

3. Раз я не имею доступа и рискую его не получить (какое обоснование запроса на чтение?), то могу разузнать _в общих чертах_ от тех, что связан с KSN. Вот в общих чертах о технологии и знаю. В общих, потому что полная занимает десятки страниц печатного текста, с графиками, таблицами и прочее. Я видел ее распечатанную, но не читал. :) Банально некогда было, изучал прямо в этот момент Песочницу.

Итак, я работаю в компании и имею о технологии общее представление. Имею основания полагать, что мое общее представление значительно глубже и подробнее, нежели любого из форумчан. Конечно, я не считаю коллег из ЛК.

Продолжаем.

Такие документации есть объект, защищаемый компанией. Если я распечатаю доку по Рескью Диску и передам ее на сторону, то минимум что будет - уволят. Повторю, минимум.

Конечно, можно почерпнуть знания из пресс-релизов, из сообщений маркетологов, из докладов на выставках и т.п. Но можно ли считать эти сведения полными? Можно ли говорить, что они открывают хоть пятую часть? В диалоге на лавочке - да, можно. В этой теме есть риск предоставить неверные сведения.

Посему, если Вы почерпнули сведения из пресс-релизов и т.п., Ваши знания как минимум не полные и изрядную их часть могут составлять собственные умозаключения, основанные на чужих словах, на намеках, на полунамеках, на неправильно истолкованных фразах. Не думаю, что такие знания стоит использовать в спорах здесь.

Если Вы почерпнули знания из технической документации, то да, знания будут хорошими. Но это, знаете ли, может быть неприятно для Symantec.

Надеюсь, теперь понимаете, почему я это спросил? Ответ все-таки будет? Ведь это важно для учета "веса" слов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

Umnik

Спасибо за сообщение, я понял суть гложущих Вас проблем, связанных с недостатком получаемой на работе в ЛК информации,

в результате чего, Вам приходится довольствоваться информацией о технологиях "в общих чертах", что, как следствие,

вынуждает основываться на "собственных умозаключения, основанных на чужих словах, на намеках, на полунамеках,

на неправильно истолкованных фразах", и приводит к особо болезненному восприятию содержательных сообщений других участников,

источники информации которых, являются для Вас загадкой.

Действительно, это не очень приятно, но, тем не менее, это не повод для сумбурных нетематических измышлений

на тему "что может быть неприятно для Symantec", вполне свойственным Вашему возрасту/должности,

но вовсе не свойственным тактичному диалогу.

******************************************************************************

Подытоживая, напомню о ключевом моменте данной темы - опровержение некорректного комментария, являющегося по своей

сути безответственным и дезинформирующим, что послужило "благодатной почвой" для недоразумений и заблуждений

на ряде ресурсов русскоязычного сегмента Internet.

Еще раз подчеркну основную суть опровержения:

Определение репутации объектов только лишь на основании мнения пользователей не является единственным критерием,

используемым компанией Symantec при определении репутации объектов.

Подробная информация о сути вопроса была предоставлена в первом сообщении, а также в последующих сообщениях,

позволяющих прояснить вопросы отдельных участников. Так как в итоге обсуждение переросло в обсуждение вопросов

не по-существу, не относящихся к основной сути темы, то остается лишь поблагодарить участников за проявленный интерес,

и напомнить о том, что всю необходимую информацию можно найти в данной теме. Спасибо.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

То есть я не получу ответа на свои вопросы?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
я могу с уверенностью заявить Вам, что корпорация Symantec и её технологии по достоинству может ответить на информационные угрозы современного мира. Это доказал и доказывает - непосредственно мой личный опыт, личный опыт моих коллег по работе, друзей, знакомых и людей использующих непосредственно продукты корпорации Symantec для защиты своих персональных компьютеров.

Извините, но мой опыт вычистки зловредов с компьютера друзей (там стоит SAV) говорит прямо об обратном. Matt Rizos продемонстрировал аналогичную ситуацию. Очевидно, у нас разные друзья. Надеюсь, на этом голословные и бездоказательные утверждения закончатся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Извините, но мой опыт вычистки зловредов с компьютера друзей (там стоит SAV) говорит прямо об обратном. Matt Rizos продемонстрировал аналогичную ситуацию. Очевидно, у нас разные друзья. Надеюсь, на этом голословные и бездоказательные утверждения закончатся.

Илья, Вы сейчас о чем? Мы разве обсуждаем качество работы SAV - продукта 10-ти летней давности? Да, это чисто сигнатурный продукт, этого никто и не отрицает, но уже давно пользователям предложены более совершенные технологии, и вообще мы обсуждаем Norton, так что давайте будем оперировать фактами из обсуждаемой области

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Илья, Вы сейчас о чем?

Я о том, что некоторым не стоит высказывать бездоказательные утверждения, ничего более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
1. Для условно "желтых" в Symantec предусмотрены алгоритмы проверки в гораздо более агрессивном режиме,

в том числе и при помощи технологий поведенческого анализа.

более агрессивных по сравнению с зелёными?:) так это нормально проверять неизвестные приложения по полной, а доверенные не проверять или проверять по более хитрым алгоритмам. чо тут такого удивительного

Т.е. получаем ситуацию, когда во-первых: подобный запрос действия от продукта, работающего в автоматическом режиме,

приведет обычного пользователя попросту в замешательство, во-вторых: большинство обычных пользователей как правило

позволят в такой ситуации запуск приложения без ограничения - т.е. и в автоматическом режиме наличие групп

"слабые и сильные ограничения" выглядит, как мне кажется, не очень убедительно.

когда кажется, необходимо осенять себя крестным знамением. тут нет противопоставления, есть сравнение и обсуждение подходов

имхо работа с различными степенями ограничений с возможными запросами к пользователю (вариант ЛК) более верный подход, чем просто предупреждение пользователя о желтости программы и выдаче ему какой-то информации об этом файле, информации которой тот самый обычный пользователь воспользоваться тоже врядли сможет. т.е. по сути это тот же самый запрос пользователю: "эта программа жёлтая, сам решай под свою ответственность что с ним делать, мы руки умываем и просто будем эти приложения проверять другими модулями, авось чего найдём."

а ЛК к этому добавляет своё экспертное мнение, выраженное в заранее сделанных ограничениях на права жёлтой программы

и тут каждый выбирает какой подход кому ближе

--------------------------------------------

а возвращаясь к изначальной теме - как написали в своих маркетинговых материалах, так и получили в комментах со стороны конкурентов

написали что кворум основан на мнении пользователей - получили ответ, что так делать глупо

прояснили публично - молодцы, лучше бы сделали это сразу, в описаниях технологии

былоб кстати неплохо симантеку выложить вайтпапёр по этой технологии, чтоб у людей было чёткое представление, как это работает

это и продвинутым пользователям полезно и от комментов несправедливых со стороны конкурентов избавит и форумчане не будут задаваться вопросами "а не придумал ли этот непонятный чувак всё про нортон, ведь на сайте симантека ничего подобного нет"

----------

а не пофиг ли кстати вам Umnik как смотрит симантек, на разглашение информации по своим технологиям? вам то какая забота?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • demkd
      а внутри локалки и не получится, белые ip нужны только при подключении через интернет.
    • santy
      Проверил на двух домашних ПК в локальной сети с роутером. Схема с серым IP работает отлично. Передача файлов гениальна! Вот просто как будто дополнительное зрение появилось :). Через белый IP  пока не удалось подключиться. Пришлось еще фаерволлы включить в интерактивный режим. (На автомате еще не проверял, возможно надо сохранить некоторые правила.)
    • demkd
      ---------------------------------------------------------
       4.99.4
      ---------------------------------------------------------
       o Исправлена функция автоматического переключения удаленных рабочих столов.
         Проблема проявлялась при работе с удаленной системой через локальную сеть, при запуске приложения
         от имени администратора не происходило автоматическое переключение на защищенный рабочий стол.
         (не касается полной версии разового доступа к рабочему столу, в этом режиме проблемы не было).

       o Проведено сравнительное тестирование системного удаленного рабочего стола и uVS.
         Передача файлов через системный удаленный рабочий стол идет почти в 20 раз медленней чем через через uVS.
         Максимальный fps в 32-х битном цвете почти в 3 раза ниже чем у uVS в FHD.
         (!) Выявлена проблема совместного использования uVS и системного рабочего стола.
         (!) Если системный рабочий стол был закрыт БЕЗ выхода из пользователя, то uVS не сможет
         (!) отбразить рабочий стол логона пользователя (Winlogon).
         (!) Единственное решение проблемы: подключиться заново через системный рабочий стол и выйти из пользователя.
       
    • demkd
      ---------------------------------------------------------
       4.99.3
      ---------------------------------------------------------
       o Это обновление повышает качество работы с удаленной системой и добавляет новый режим работы.
         (!) Новая функция не совместима со старыми версиями uVS, если у вас в настройках установлен флаг bReUseRemote = 1,
         (!) то перед обновлением необходимо закрыть все серверные части uVS на удаленных компьютерах с помощью
         (!) старой версии uVS.

       o Добавлен новый режим работы: Разовый доступ к удаленному компьютеру.
         (!) Доступно начиная с Vista, подключение к рабочему столу устаревших систем возможно лишь прежним способом.
         Ранее просмотр и управление рабочим столом удаленного компьютера было вспомогательной функцией при работе с удаленной системой.
         Для подключения требовались полномочия администратора или знание логина и пароля администратора удаленного компьютера и
         физическая возможность подключения к удаленному компьютеру.
         Новый режим работы похож на то, что предлагают всевозможные поделки для удаленного администрирования.
         o В этом режиме доступно: управление и просмотр рабочего стола, а также быстрый и надежный обмен файлами на пределе пропускной
           способности канала. (для сравнения RAdmin в гигабитной сети передает файлы более чем в 15 раз медленней чем uVS).
         o Передаваемые кадры теперь не только сжимаются, но и шифруются,  целостность передаваемых файлов защищена
           проверочным хэшем и шифрованием.
         o Подключение осуществляется без использования промежуточного сервера, т.е. это чистый P2P.
         o Подключение возможно к компьютеру за NAT при включенной у роутера опции uPNP.
         o Подключение возможно к компьютеру, где активирован VPN.
           (!) Подключение производится к реальному адресу роутера или адаптера компьютера с VPN, VPN канал полностью игнорируется.
         o Подключение возможно в обе стороны, т.е. из пары компьютеров требуется лишь 1 белый IP, направление подключения выбирается
           при начальной настройке.

         При запуске start.exe теперь вам доступны три новые кнопки:
         o Управление удаленным компьютером и обмен файлами.
           Эту кнопку нажимает тот кто хочет получить доступ к удаленному компьютеру, в открывшемся окне можно выбрать
           вариант подключения (см. ниже) и ввести код доступа полученный от того кто предоставляет доступ к компьютеру.
           Варианты подключения:
             o Соединение примет мой компьютер - в этом случае необходимо выбрать IP к которому будет подключаться другая
               сторона. При подключении через интернет следует выбирать белый IP адрес, если ваш компьютер за роутером
               и на нем активен NAT, то выбрать нужно именно его IP адрес. (адрес с пометкой [router]).
               Если роутер поддерживает uPNP, то этот адрес будет выбран по умолчанию.
               Если же в списке нет белых IP то вам следует выбрать другую опцию подключения.
               После выбора IP просто нажмите кнопку Старт и передайте одноразовый код доступа другой стороне.
               При подключении по локальной сети вы можете нажать кнопку "Все IP" и выбрать любой серый адрес для подключения.
               Поддерживается и IPv4 и IPv6.
               (!) Код доступа автоматически копируется в буфер обмена при нажатии кнопки "Старт".

             o Соединение установит мой компьютер - просто скопируйте код доступа в поле ввода или код там появится автоматически
               если вы его скопировали из мессенджера. После чего нажмите кнопку Старт и ожидайте подключения.

         o Разовый удаленный доступ к моему компьютеру [админ]
           (!)Пользователь должен обладать правами администратора или правами по запуску и установке служб.
           Эту кнопку нажимает тот кто хочет предоставить доступ к своему компьютеру, в открывшемся окне можно выбрать
           разрешения для другой стороны.
           Доступны 3 варианта:
             o  Управление     - доступно: мышь, клавиатура, просмотр экрана и обмен файлами.
             o  Просмотр       - доступно: просмотр экрана и обмен файлами.
             o  Обмен файлами  - доступно: обмен файлами.
           Это полнофункциональная версия удаленного рабочего стола uVS, с возможностью удаленного подтверждения
           запуска приложений от имени администратора и эмуляции нажатия Ctrl+Alt+Del.

         o Разовый удаленный доступ к моему компьютеру [не админ]
           Все тоже самое что и во 2-м случае, кроме удаленного подтверждения запуска приложений от имени администратора
           и эмуляции нажатия Ctrl+Alt+Del, дополнительно есть ограничение по использованию защищенных рабочих столов.

       o При работе с удаленным рабочим столом теперь доступна передача файлов и каталогов из буфера обмена в обе стороны.
         Что бы передать файлы или целые каталоги на удаленный компьютер, просто скопируйте их в буфер обмена и в окне
         удаленного рабочего стола нажмите кнопку со стрелкой вверх.
         Передача изображения автоматически отключится и откроется окно с логом передачи файлов.
         В заголовке окна лога вы увидите объем переданных данных и среднюю скорость передачи (с учетом чтения их с диска).
         По окончании передачи  файлов в лог будет выведена информации о времени передачи, количестве успешно переданных файлов и
         средней скорости передачи.
         Переданные файлы будут помещены в буфер обмена удаленной системы и вы сможете  вставить их из буфера
         в любой каталог или прямо на рабочий стол. При этом файлы переносятся из временного каталога.
         Если же вы не вставили файлы из буфера обмена то они останутся во временном каталоге C:\uVS_copyfiles\*
         точный путь до которого выводится в лог на удаленном компьютере.
         Что бы получить файлы проделайте обратную операцию: скопируйте файлы в буфер обмена на удаленном компьютере
         и нажмите кнопку со стрелкой вниз, по завершению передачи файлы будут помещены в буфер обмена вашего компьютера
         и вы можете перенести их в любую нужную папку.
         Таким образом обе стороны видят какие файлы и куда копируются и при этом максимально упрощается процесс копирования.
         (!) При закрытии окна лога передача файлов будет остановлена.
         (!) При разрыве соединения передача файлов будет автоматически продолжена после восстановления соединения,
         (!) при этом работает функция докачки, т.е. если ошибка произошла при передаче большого файла, то передача его
         (!) продолжится с последнего успешно полученного блока, т.е. блок будет заново.
         (!) Каждая передача файлов является независимой, т.е. нельзя прервать передачу и воспользоваться функцией докачки.
         (!) Проверка целостности файлов производится на лету вместе с его расшифровкой, таким образом достигается
         (!) максимально возможная скорость передачи примерно равная скорости копирования файлов по локальной сети системой.
         (!) При необходимости передачи большого количества мелких файлов рекомендуется поместить их в архив, это серьезно
         (!) сократит время передачи.
         (!) Состоянии кнопки CS никак не влияет на данный функционал.

       o Изменен приоритет протоколов: IPv4 теперь является приоритетным, как показали замеры в гигабитной локальной сети
         IPv4 позволяет достичь более высокой скорости передачи данных.

       o Добавлено шифрование сжатых кадров удаленного рабочего стола для повышения защиты передаваемой по сети информации.

       o В случае разрыва соединения повторное подключение происходит автоматически без запроса.

       o Снижен инпут лаг при работе с удаленным рабочим столом.

       o Обновлена функция синхронизации буфера обмена с удаленной системой: теперь поддерживается передача скриншотов
         в обе стороны.

       o Обновлена функция передачи движений мыши в удаленную систему.
         Теперь доступно управление с помощью движений мыши, которое используется в некоторых приложениях и играх. (если нажата кнопка MM)
         Если указатель мыши видим в удаленной системе то управление производится позиционированием указателя по расчетным координатам (как и раньше),
         в противном случае указатель скрывается в клиентской системе и передаются лишь движения мыши.
         При возникновении проблем с восстановлением видимости указателя вы всегда можете переключиться из окна удаленной рабочего стола по горячей
         клавише RWin.

       o uVS теперь при старте добавляется в исключения Ф и брандмауэра до выхода из uVS.

       o Теперь запоминаются размеры и режим отображения удаленного рабочего стола для каждого активного монитора.
         Кнопка 1:1 применяется автоматически при первом выборе монитора.
         Обработчик кнопки 1:1 обновлен, теперь размер окна рассчитывается с высокой точностью для новых систем,
         где размер окна включает в себя тень.

       o Добавлен выбор метода захвата экрана, доступно 3 варианта:
         o GDI -  медленный метод захвата экрана, но работает в любой удаленной системе, постоянный fps.
                  (единственный доступный метод для Win2k-Win7)

         o DDA1 - быстрый, работает начиная с Windows 8, максимальный коэффициент сжатия,
                  переменный fps в зависимости от экранной активности.
                  (!) рекомендуется использовать при ширине канала ниже 100Mbit, вместо DDA2.

         o DDA2 - очень быстрый метод сравнимый с захватом экрана с помощью mirror драйвера, но без использования драйвера,
                  работает начиная с Windows 8, низкий коэффициент сжатия, переменный fps в зависимости от экранной активности.
                  Способен захватывать видео с высоким fps (до 60) за счет упрощенного метода сжатия и обработки потока кадров.
                  (метод по умолчанию для Win8+, рекомендуется при значительной экранной активности).
                  (!) рекомендуется использовать при ширине канала не менее 100Mbit, при высоких разрешениях 1Gbit и выше
                  (!) из-за низкого коэффициента сжатия.
                  (!) При низкой экранной активности трафик до 10 раз больше чем у DDA1, при высокой - в 2 раза больше.
          
       o В окно удаленной рабочего стола добавлена кнопка "SYN" она замещает собой ручной выбора задержки захвата кадров.
         (отжатая кнопка соответствует нулевой задержке)
         Если кнопка нажата то задержка, а значит и максимальный fps ограничивается автоматически в соответствии
         с пропускной способностью канала, к сожалению это понижает максимальный fps и увеличивает инпут лаг,
         однако это полностью решает проблему, которой страдают даже лучшие программы удаленного управления
         при недостаточной ширине канала. Если канал слишком узок (10Mbit и менее) то при значительной
         экранной активности (оконное видео или анимация) происходит потеря управления удаленным рабочим столом
         из-за того что новые кадры отправляются в буфер значительно быстрее, чем клиентская машина успевает их получить и отобразить,
         в результате чего даже нажатия кнопок отображаются с задержкой в несколько секунд.
         Тоже самое будет наблюдаться в uVS в сходных условиях если кнопка SYN не нажата.
         Поэтому SYN не рекомендуется отключать при значительной активности в кадре и узком канале.
         Если канал 100Mbit и выше (локальная сеть), используется DDA2 то можно выключить SYN и это сильно поднимет fps и значительно уменьшит инпут лаг.
         Кнопка SYN по умолчанию нажата, состояние кнопки сохраняется при выходе из uVS.
         Выбранная цветовая битность теперь тоже сохраняется.

       o В окно удаленной рабочего стола добавлена кнопка "MR" она позволяет управлять указателем мыши из удаленной системы,
         Функция работает ЕСЛИ кнопка нажата И курсор находится в пределах окна удаленного рабочего стола И это окно активно.
         Функция предназначена для тех случаев когда человеку на том конце проще показать проблему чем описать ее словами.

       o Теперь клиентская часть uVS автоматически завершается если удаленная система перезагружается, выключается или завершается сеанс пользователя.
         (только если открыто окно удаленного рабочего стола)

       o Значительно увеличена скорость переключения мониторов, рабочих столов и смены разрешения монитора в DDA режиме.
         (!) Однако есть побочный эффект: если новый монитор будет подключен к удаленной системе пока открыто окно рабочего стола,
         (!) то для отображения картинки с этого монитора необходимо будет закрыть/открыть окно или повторно выбрать метод захвата экрана.

       o Добавлена поддержка браузера Microsoft Edge.

       o Обновлена функция чтения и удаления расширений браузеров: Chrome, Yandex, Edge.
         Добавлены сайты с включенными уведомлениями с указанием времени активации уведомлений.
         Из окна информации о расширении удалено поле Extension_homepageURL за бесполезностью.
         Мусор оставшийся от старых расширений помечается как "файл не найден" и будет удален при вызове функции удаления ссылок на
         отсутствующие файлы.

       o Контекстное меню в окне редактирования критериев теперь тоже использует выбранный размер шрифта.

       o Улучшена совместимость с системами с малым количеством оперативной памяти.

       o Исправлена функция захвата экрана в GDI режиме.

       o Исправлена ошибка в функции чтения защищенных файлов, в некоторых случаях функция не могла получить доступ к файлу.

       o Исправлена ошибка в функции смены рабочего стола

       o Исправлены ошибки инициализации COM.

       o Исправлена ошибка из-за которой из списка проверки выпало 2 ключа автозапуска.

       o Исправлена ошибка в функции отката изменений (Ctrl+Z) при работе с образом.

       o Исправлена ошибка повторной инициализации захвата экрана в случае если рабочий стол был переключен пользователем или системой
         до повторного открытия окна удаленного рабочего стола.

       o Исправлена ошибка при открытии окна информации о компьютере.
         Добавлена дата релиза биоса, исправлено отображение объема физической памяти, добавлена расшифровка типа памяти и условное обозначение
         ее производительности.

       o Добавлена возможность открывать ключ реестра в regedit-е двойным щелчком по строке в логе или
         через контекстное меню.
         (!) Недоступно при работе с образом автозапуска.
       
×