Уже тема поднималась неоднократно, просто с выходом новой версии DrWeb'a поднялась снова - какой антивирус выбрать...Предлагаю обсудить антивирусы (именно те, которые стоят на ваших домашних\рабочих компах), их плюсы и минусы. За основу думаю стоит взять наиболее популярные программы, т.к. проводить тестирование по обнаружению вирей желания нету.. Критериев несколько - скорость работы сканера, монитора, системы после установки антивиря, возможность и размеры автоматического обновления баз, разнообразие настроек. Ну и железо, на котором антивирь стоит.
Я ставил каспера 5.0 на домашний и на рабочий комп - тормоза при включенном сканере наблюдались капитальные, плюс на рабочем компе некоторые безобидные тулзы были удалены без ведома юзера (т.е. меня). К тому же полная проверка дисков висла на одном из архивов бух.проги, а после исключения из списков проверки найденные вири удаляться отказывались - каспер падал с ошибкой при удалении. Размер обновляемых баз >500 Кб в день - не очень радует...
ДрВеб 4.33 неплохо работает на домашнем компе, на рабочем (PIV-1500,128 метров памяти) тормоза жуткие, сканер полное сканирование дисков (2Х20 метров) так и не смог довести до конца. Размер обновляемых баз довольно маленький, криво реализовано автоматическое обновление. Убогий интерфейс, криво реализована автоматическая проверка...
По отзывам - Панда жутко тормозит (очень жутко).
Хотелось бы узнать, как (и какие) антивири работают у других, их достоинства и недостатки.

| Сообщение посчитали полезным:

Ага, nod32:
Событие в новом файле, созданном приложением C:\Program Files\Total Commander\Totalcmd.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. Пoжaлуйcтa, пepeдaйтe фaйл в Eset для aнaлизa.

| Сообщение посчитали полезным:

[HEX] пишет:
На вчерашний день (вируса в аттаче) ловил Каспер, Нод, АнтиВир и Панда
Даже бажный СнС 2.5 без АВ забанил при попытке записи кода в SVCHOST.exe

Virgo пишет:
а SNS так обойти можно
2.0 можно, 2.5 уже нельзя я уверен, что если разработчики это прикроют для KIS 6.0, способов еще валом. И не только у них. До выхода релиза 2.5 еще много чего закроется.

-----
Research is my purpose

| Сообщение посчитали полезным:

Такой флуд развели.
Чобы пользоватся АВ нужно его правильно настроить (это касается нода), а не пользоватся дефолтными настройками + ЮЗАТЬ регистрационную версию (а не патченую, кто даст гарантию что его правильно пропатчили?).
И еще чтоб говорить об том что говно а что нет, нужно рассмотреть ДВИЖКИ которые юзают аверы, и методы их обхода.

Nod DR.Web BitDefendr -> вотетих монстров так просто как Касперычи не на...беш ибо эвристика у них неплохая, что подкачивает так это не такие частые и маштабные апдейты как у каспера.

А касперского любой ребенок обойдет ибо там нефиг обходить.

Если ктото вздумал прислать вам троя (допустим пинча) и у вас стоит каспер то хрен он что спалит если файл покриптовать,попаковать, другое дело Nod DR.Web BitDefendr тут такая шара не проходит.

| Сообщение посчитали полезным:

2 Error_Log- извини, но СнС сносится прожкой, написанной на 5 минут на коленке. Я бы не стал так активно пиарить столь убогое поделие... Если же тебя так интересует тема classical HIPS, то есть куча других прожек качеством получше. А ещё лучше- смотри на программы класса sandbox HIPS.

| Сообщение посчитали полезным:

rav пишет:
СнС сносится
Я лишь хочу убедить, что не существует абсолютных защит. Подавляющее, если не абсолютное большинство программ rav пишет:
сносится прожкой, написанной на 5 минут на коленке что не может не огорчать.

-----
Research is my purpose

| Сообщение посчитали полезным:

Абсолютных защит, действительно, не существует. Просто вопрос в том, насколько профессионально написан софт. Например, с моей защитой так точно не получится сделать, покорпеть придётся намного дольше...

| Сообщение посчитали полезным:

rav пишет:
покорпеть придётся намного дольше...
Это ты так думаеш

| Сообщение посчитали полезным:

Error_Log
сколько платят за пиар, тесты, .. ?

| Сообщение посчитали полезным:

Я не думаю, я знаю.

| Сообщение посчитали полезным:

Asterix пишет:
сколько платят за пиар, тесты, ..
Это мое личное мнение, за личное мнение не плотят. Оно таковым было всегда, и я его не менял. У кого сомнения - поиск по форуму поможет. Если не согласен с мнением - обоснуй. Я считаю, что сигнатурный поиск уже не рулит.
rav пишет:
есть куча других прожек качеством получше
какие, например, лучше?

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Я считаю, что сигнатурный поиск уже не рулит.

Да, как инструмент анти-зловредной защиты антивирусы уже очень давно не рулят- они просто неэффективны. Правда, они незаменимы для автоматической очистки системы постфактум (или после заражения, или после блокирования зловреда HIPS'ом) для удаления зловредных модулей простыми пользователями.

| Сообщение посчитали полезным:

Угу именно rav пишет:
постфактум Притом полный постфактум. Ибо если вирус спалили значит его уже врятли кто юзает

| Сообщение посчитали полезным:

Боже мой! уже 14 страниц исписали фразами типа "круче xxx" - "нет, круче yyy" итд. 100% защиты нет, "взломать можно все, что запускается" (С) не помню кто. Какойто антивирь не ловит такойто вирь, другой - другой. Самый главный антивирь - это голова на плечах. Еще желательно ставить фаер, т.к. он более или менее скрывает комп в сети и не дает загрузить этот вирь, опять-таки ессно далеко не на 100%. Но если сделать все, что можно для защиты от вирусов самому, это нужно делать - не открывать по почте файлы с надписью xxx porno итд, эти правила просты и всем известны. Топик перешел в какой-то флуд с повторами одного и того же. Универсального антивиря нет, есть только предпочтения у каждого из форумчан, но уверяю вас, обнаружить super-puper-antivirus от этих разговоров и обсуждения предпочтений не удасться.

| Сообщение посчитали полезным:

Всё проще. Антивирус нужен лишь для очистки системы от неактивных зловредных модулей постфактум, файервол- для контроля портов и траффика, HIPS (превентивная/проактивная защита)- от неизвестых (0-day) угроз. Просто антивирусники своим пиаром пытаются заставить людей думать, что антивирус есть панацея от всех бед, чтобы люди тратили деньги не на HIPS-системы, а на продление подписки. Но долго это, по моим подсчётам, не продлиться, поскольку уже сейчас доля 0-day malware в общем траффике более 60% и постоянно растёт. Думаю, что следующий год будет годом взрывного спроса на HIPS-системы, антивирусы отойдут на второй план.

То есть, концепция современной защиты очень проста. Первый эшелон- HIPS + файервол. Второй эшелон- антивирус. А религиозные войны на тему "антивирус ХХХ лучший, антивирус YYY-отстой"- это детский сад, поскольку в современных условиях оба они лишь инструменты второго эшелона защиты, и всегда можно найти зловреда, которого ловит XXX, но неловит YYY, и наоборот.

Да, насчёт головы на плечах- это правильно, но правильные, помогающие ей инструменты всё равно нужны.

| Сообщение посчитали полезным:

Error_Log пишет:
Это мое личное мнение, за личное мнение не плотят. Оно таковым было всегда, и я его не менял. У кого сомнения - поиск по форуму поможет. Если не согласен с мнением - обоснуй. Я считаю, что сигнатурный поиск уже не рулит.

Хочешь продолжить дисскуссию начатую в привате здесь?

| Сообщение посчитали полезным:

Asterix
я хочу сказать, что моя работа не имеет отношения к пиару и тестам, и вообще я не понял твоего посыла, или может будем еще здесь обсуждать у кого какая зарплата?.
rav пишет:
То есть, концепция современной защиты очень проста. Первый эшелон- HIPS + файервол. Второй эшелон- антивирус. А религиозные войны на тему "антивирус ХХХ лучший, антивирус YYY-отстой"- это детский сад, поскольку в современных условиях оба они лишь инструменты второго эшелона защиты, и всегда можно найти зловреда, которого ловит XXX, но неловит YYY, и наоборот.

Да, насчёт головы на плечах- это правильно, но правильные, помогающие ей инструменты всё равно нужны.
Согласен, единственная проблема, что если делать HIPS эффективной, она становится сложной простому пользователю.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
я хочу сказать, что моя работа не имеет отношения к пиару и тестам

тебе эта контора платит, и соответсвенно ты лицо заинтересованное, а выводы
каждый сделает для себя сам

| Сообщение посчитали полезным:

Asterix пишет:
тебе эта контора платит, и соответсвенно ты лицо заинтересованное
за пиар мне никто не платит, потому заинтересованности в этом 0.
мне еще одна контора плaтит, но я про нее вообще молчу
Asterix пишет:
а выводы каждый сделает для себя сам
А вот это правильно, тем более выводы люди делают обычно не со слов, а с личного опыта.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Согласен, единственная проблема, что если делать HIPS эффективной, она становится сложной простому пользователю.

Classical HIPS- да, sandbox HIPS- нет.

| Сообщение посчитали полезным:

rav
Интуиция мне подсказывает, что ты участвуешь в разработке DefenseWall HIPS (sandbox HIPS), я прав? Смотрел эту программку. Идея untrusted application правильная, реализация ИМХО нет, могу обосновать свою точку зрения, если тебе интересно.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Идея untrusted application правильная, реализация ИМХО нет, могу обосновать свою точку зрения, если тебе интересно.

Интересно.

| Сообщение посчитали полезным:

rav пишет:
Думаю, что следующий год будет годом взрывного спроса на HIPS-системы, антивирусы отойдут на второй план.
Очень в этом сомневаюсь. Во-первых, постоянные крики проактивной защиты на любую программу, очень быстро способствуют ее отключению и скорейшему удалению. Во-вторых, скоро выйдет Vista, и всем HIPS наступит полный трындец (Patch Guard рулит). Так что недолго вашим HIPS жить осталось, они помрут так и не успев набрать популярность. Ну а будете хакать ядро и отключать Patch Guard, так засудят вас к чертовой матери, всю жизнь мелкософту должны будете. Вобщем, будующее антивирусов не за HIPS, а за хорошей эвристикой. 99,9% сегодняшнего вредоносного софта (в том числе весьма продвинутого), можно вылавливать статически, комбинируя сигнатуры с некоторыми эвристическими приемами (которых впрочем еще нет ни в одном антивирусе).

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

rav
Помещая приложение в "песочницу" DefenceWall не лишает его администраторских прав. Всегда можно поискать плохо документированную/недокументированную возможность для обхода защиты. В версии 1.54, например, существовала возможность вырваться из "песочницы" и вынести защиту со всеми потрохами через прямой доступ к диску, последнюю версию я подробно не смотрел.
Примерно такой же эффект можно получить и защититься от несанкционированных действий программы запустив ее от имени ограниченного пользователя. Правда тут недостаток - теряются настройки текущего пользователя и т.п.
Способов навредить пользователю DefenceWall оставляет предостаточно, но стоит признать, что по качеству реализации прога закрывает много чего из того, что не кроют другие, и СнС 2.0 в том числе.
Так же непонятно, как быть в ситуации, когда для нормальной работы программы могут понадобиться некоторые возможности, кот. блокирует HIPS без предупреждения, в то же время нет гарантий, что эта прога не содержит зловредного кода. Кстати к слову - последний QIP с DefenceWall работает не корректно.

Ms-Rem пишет:
скоро выйдет Vista, и всем HIPS наступит полный трындец (Patch Guard рулит)
Попытка майкрософта монополизировать рынок антивирусов может плохо кончиться. Помнится, антимонопольный коммитет неоднократно за это наезжал. К тому же ИМХО переход на Висту будет длительным, потому как врядли такой "мегамонстер" сможет быть восстребован в ближайшее время, а за это время многое может поменяться.

rav пишет:
Думаю, что следующий год будет годом взрывного спроса на HIPS-системы
Взрывного спроса не будет, потому как у HIPS есть своя доля рынка, и она не очень велика.

Ms-Rem пишет:
99,9% сегодняшнего вредоносного софта (в том числе весьма продвинутого), можно вылавливать статически, комбинируя сигнатуры с некоторыми эвристическими приемами (которых впрочем еще нет ни в одном антивирусе).
Вот и написал бы лучше свой антивирус

P.S. я не участвовал в разработке СнС 2.0 и более ранних версий.

-----
Research is my purpose

| Сообщение посчитали полезным:

То Ms-Rem - хех, ты единственно забываешь, что не все вот так сразу перейдут на висту..... Кто-то себе просто не сможет это позволить в силу аппаратный ограничений, ведь все мы с вами прекрасно знаем, какие там требования у этой системы.... Кто-то просто не захочет переходить из простого нежелания сидеть на сыром продукте..... А с ХР народ еще ооооочень долго не слезет, и причиной этому еще послужит то, что в конце года выйдет 3-й сервис пак для нее, а это еще более задержит народ на ней, все же я думаю хотят сидеть на стабильной системе. чем люоваться рюшечками, от которых нет ровно никакой пользы кроме вида.....
Так что и антивири, и ХИПСы будут еще тоже ооочень долго, только народ все равно будет предпочитать антивири ХИПСам.....

-----
The blood swap....

| Сообщение посчитали полезным:

2 MS-Rem
1. Patch Guard нанёсёт серьёзнейший удар по антивирусной индустрии и индустрии файерволов. Это громадные деньги, так что у мелкософта нет шансов- её PatchGuard или заставят отключить (или же предоставить API для манипуляции SSDT) в судебном порядке (насчёт США не уверен, насчёт Европы- более чем уверен), или выход Вичты будет блокирован большими корпорациями.
2. Sandbox HIPS системы не используют всплывающие окна, поэтому не раздражают пользователя и не заставляют принимать решение. Это удел classical HIPS и их рыночная ниша (100% с тобой согласен!) мелкая и немассовая (гиков ныне не так уж и много и погоды они не делают).

2 Error_Log
1. Ошибка, о которой ты пишешь (прямой доступ к диску), уже давно поправлена. Я знал об этой возможности, но ошибся в программировании и не проверил должным образом, но я теперь учёный, каждую фичу проверяю по несколько раз!
2. Ограниченный аккаунт, к сожалению, в качестве защитного механизма работает из рук вон плохо. Кроме того, уровень неудобства пользования подобным недо-HIPS явно выше среднего. Ведь не просто так, несмотря на рекомендации онлайновых СМИ и журналов этот метод в массы не пошёл!
3. Malware пишется не столько с целью навредить, сколько с целью денег заработать. Тех, что вредяд, не очень много, да и DefenseWall построен так, что серьёзно навредить данным пользователя он не может, а остальное лечится переустановкой из бекапа. Кстати, это ещё и намёк на его необходимость, ведь если винт полетит, то никакой HIPS не поможет!
4. Взрывной спрос будет. Просто его ещё не распиарили! Ты сравни те средства, что вложили в пиар аверы и те, что в пиар HIPS- вот тебе и ответ. Все антивирусные вендоры двинутся в эту сторону (Каспер- первая ласточка), так что это лишь вопрос времени и денег.
5. Последний QIP я сейчас посмотрю. Насколько я его помню, он был неправильно написан и хранил свои данный в %Program Files%. Кстати, а что именно там работает неправильно?

| Сообщение посчитали полезным:

rav пишет:
Насколько я его помню, он был неправильно написан и хранил свои данный в %Program Files%. Кстати, а что именно там работает неправильно?
Так и есть - не сохраняется история, надо автору отписать, чтобы поправил, но я бы советовал тебе сделать возможность более тонкой настройки программ, чтобы можно было выборочно для определенных программ разрешать/запрещать определенную активность (опционально - для экспертов).
rav пишет:
Ограниченный аккаунт, к сожалению, в качестве защитного механизма работает из рук вон плохо
Ты про CreateProcessAsUser ? Да, это не самый хороший путь. Но есть идеи получше ;)

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Так и есть - не сохраняется история, надо автору отписать, чтобы поправил

Угу, пускай хранит хистори в %Application Data%- ей там самое место.

Error_Log пишет:
но я бы советовал тебе сделать возможность более тонкой настройки программ, чтобы можно было выборочно для определенных программ разрешать/запрещать определенную активность (опционально - для экспертов).

Это можно будет сделать в ветке 2.хх. Я пока обдумываю подобную фичу, мне люди на моём форуме уже такое советовали, но там много внутренних граблей- надо думать, как обойти.


Error_Log пишет:
Но есть идеи получше ;)

Неа, там всё плохо. С точки зрения юзабельности и безопасности- там всё через одно место сделано.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Во-вторых, скоро выйдет Vista, и всем HIPS наступит полный трындец (Patch Guard рулит).
А вот и начались первые наезды на Microsoft Евросоюз недоволен средствами безопасности Windows Vista http://www.lenta.ru/news/2006/09/14/vista/

-----
Research is my purpose

| Сообщение посчитали полезным:

Поддержеваю nice. NOD32 отличной!!!!!! (личное мнэние)

| Сообщение посчитали полезным:

Sir Sava пишет:
Поддержеваю nice. NOD32 отличной!!!!!! (личное мнэние)

Скрыть от этого авера троя проще пареной репы. Я бы не был так эйфорично настроен на вашем месте

| Сообщение посчитали полезным: