Антивирусники.

[Stanislav]

Цитата:

PS ИМаленький нюанс: представь, переставил ты какую-нибудь большую программулину: (Corel, 3DMAX, Delphi, Builder - нужное подчеркнуть), которая кидает оччень много всего в системные папки. Ты просто физически не сможешь ни вычислить вирус, затесавшийся в эти самые папки примерно в то же время (скажем, с компакта, с которого ты эту программулину ставил) ни поймать вирус, которым заражен дистрибутив.

А вот тут-то и надо кормить список файлов сканеру. Предположим у тебя вдруг после установки того же Coral почему-то изменился kernel32.dll Что это значит?

Цитата:

А вот хранить список файлов для скармливания сканеру - идея занятная. Но, ИТХО, будет также неплохо тормозить систему, ведь придется отслеживать каждое обращение к файловой системе, а это, знаешь ли... тем более при небольшом объеме оперативки, когда постоянно идет работа со свопом...

Зачем отслеживать? Изменение файла обнаруживается по изменению контрольной суммы.


Кроме того. Пусть вирус есть в системе(сканеры пропустили) Он начнёт разможаться и тут же будет схвачен.

[DMakeev]

Цитата:

Первоначальное сообщение от Stanislav
А вот тут-то и надо кормить список файлов сканеру. Предположим у тебя вдруг после установки того же Coral почему-то изменился kernel32.dll Что это значит?

Я, конечно, извиняюсь, но нафигапри этом заморочь с контрольными суммами и т.д., если окончательную проверку производит сканер?

Цитата:

Первоначальное сообщение от Stanislav

Зачем отслеживать? Изменение файла обнаруживается по изменению контрольной суммы.
Кроме того. Пусть вирус есть в системе(сканеры пропустили) Он начнёт разможаться и тут же будет схвачен.

Хм... в папочке со всем известной операционкой достаточно МНОГО файлов, которые имеют обыкновение иногда при установке софта заменяться своими более старыми/новыми версиями. Может я конечно и глупый, но у меня за годы работы с этой операционкой так и не отложилось в памяти, какой файлик какой версии сколко весит

Ерундистика все это - файл изменился, ты не уверен, скармливаешь его сканеру. Не проще ли взять себе за правило делать полный скан системы раз в день/неделю/месяц/... Меня, к примеру, абсолютно не напрягает то, что мой комп занимается этим одну-две ночи в неделю...

[Stanislav]

Цитата:

Первоначальное сообщение от DMakeev
[B]Я, конечно, извиняюсь, но нафигапри этом заморочь с контрольными суммами и т.д., если окончательную проверку производит сканер?

Сканер издеваетс янад всем диском несколько часов. Ревизор - несколько минут.


То, что Вам кажется, что это ерунда вовсе не мешает Касперскому и Диалогнауке распространять антивирусы-ревизоры.

[DMakeev]

Stanislav, да, но ревизор может выдать лишь список подозрительных файлов, использование обычного антивируса неизбежно. Не спорю, это может дать преимущество в скорости, но, ИМХО, слишком большой гемморой для рядового пользователя. Для нормального использования нужна грамотная интеграция Вашего метода в антивирусный сканнер. В любом случае что-то конкретное можно сказать лишь после обширного тестирования... а на это нет ни времени, ни особых озможностей

[Stanislav]

Ну, гемморой не гемморой, а два года назад я поймал adinfом трояна, который появился в базах у kav и drweb только через 4 дня после его появления на млей машине.

[DMakeev]

Neo, вариант. Для дома оччень даже. Только вот неплохо бы нет-нет сканить все, для спокойствия.

Stanislav, я же еще полтемы назад писал, что этот метод имеет право на существование. Только вот для рядового пользователя это сложно.

PS А трояны, вообще-то, другими путями ловятся - для этого файрволы придуманы. Там уж не важно, известен этот троян или нет.

[Stanislav]

DMakeev
Нет. Этот троян не прописывался и реестр и не лез в сеть. Он повреждал некоторые файлы. А внедрялся путём модифицирования ярлыков из меню пуск на свой исполняемый файл, а после старта запускал нужную прогу, т.е. ту, которую ожидал пользователь. При чём при попытке просмотреть свойства ярлыка подменял ссылки в ярлыке здоровыми(естественно, работало, если он уже был активирован)

Я не вижу иных путей, как его ещё можно было бы поймать, пока сканеры его не знали.

[zic]

Цитата:

Нет. Этот троян не прописывался и реестр и не лез в сеть. Он повреждал некоторые файлы

Это уже не троян, троян это то что каким либо обрзом лезет в сеть , если таковое желание отсутсвует то соответсвенно это заурядный вирус.

[Stanislav]

zic
Троян - это программа, в которую изначально предназначена для совершения вредоносных действий. Они (действия) не ограничиваются операциями с сетью. Порча файлов есть вредоносное действие. Чем не троян?

[DMakeev]

Stanislav, это одно из определений выруса как такового. Трояны - разновидность вирусов, предназначенная для обеспечения проникновения на компьютер жертвы/отсылки информации с компьютера жертвы/ принятия передаваемой жертве информации. Все это делается, сам понимаешь, через сеть.

[Stanislav]

DMakeev
А что такое, например Trojan.FlashKiller?
Название взято из базы касперского. Ничего он не отсылает, сетью не пользуется. Но троян. У него другая деструктивная функция.

[zic]

Цитата:

А что такое, например Trojan.FlashKiller? Название взято из базы касперского

Вот это уж пардон вопрос к самому господину Касперскому , откуда он взял что это троян .
Но куда нам смертным до него .

Из твоего определения не вполне понятно в чем разница между тройном и вирусом ?.
Если судить по нему то Чих тоже троян , что совсем не соответсвует общепринятому и моему мнению .
Троян прямо или косвенно может приносить какую либо выгоду своему создателю- распространителю .И как правило трояны стараются не проявлять своего присутсвия в ситеме ( в отличии от вирусов ).
Но грань между понятими вируса и трояны очень расплывчата .
Вирус же просто бездумная машина разрушения .

[LSL]

zic
Но грань между понятими вируса и трояны очень расплывчата .
Вирус же просто бездумная машина разрушения .

Основное отличие трояна от вируса в том что
Вирус обязательно должен самопроизвольно размножаться (создавать свои копии как отдельные файлы или прокажать иные.)

А троян обязательно должен маскировать себя под безобидную программку на то он и троян !
Вспомнили миф про коня ?

[DMakeev]

Цитата:

Первоначальное сообщение от LSL
Основное отличие трояна от вируса в том что
Вирус обязательно должен самопроизвольно размножаться (создавать свои копии как отдельные файлы или прокажать иные.)
[/B]

Ню-ню... Хочешь я тебе неразмножающийся вирус вышлю? Оччень милая весчь, никакой антивирус не найдет, бо написан зверь одним воронежским парнем. Хотя, это, возможно, больше подходит под раздел "шутки", но, млин, когда я с ним два дня боролся, мне не до шуток было.

PS, мы от темы ушли...

[zic]

Многие трояны тоже размножаются , например рассылают себя реципиентам из твоей адрессной книги.

И не все вирусы размножаются .Некоторым это не нужно просто наличие в ситеме одного экземпляра бывает достаточно .

Скорее червей можно определить как вредоносные программы ключевым моментом в алгоритме которых является размножение .

zic добавил [date]1055882999[/date]:

Цитата:

PS, мы от темы ушли..

А если б мы от нее не ушли весь топик был бы загажен , фразами :
KAV , рулит !!
NAV рулит KAV отстой !!!
DrWEber рулит , KAV и NAV отстой !!!!
...........................................
Все что не делается все к лучшему

[LSL]

[OFF]
Хочешь я тебе неразмножающийся вирус вышлю?
В конверте белым порошком Терористы на форуме

Многие трояны тоже размножаются , например рассылают себя реципиентам из твоей адрессной книги.
Трояны никогда локально не размножаются
и не заражают другие программы как вирусы.

Скорее червей можно определить как вредоносные программы ключевым моментом в алгоритме которых является размножение .
Обязательно по сети.

И не все вирусы размножаются .Некоторым это не нужно просто наличие в ситеме одного экземпляра бывает достаточно .
Вирус должен паразитировать на ком-то.
На то он и вирус.

А если прога форматнула винт это просто деструктивная программа, и не в коем случае не вирус.
[/OFF]

[DMakeev]

LSL, да причем здесь терроризм, могу и с исходниками выслать (если автор согласится).

[Stanislav]

zic
Win95.Cih - это вирус. И кстати, от FlashKiller-а он отличается только тем, что у CIh есть функция размножения - он внедряется в программные файлы(интересно внедряется, кстати, без изменения размера файла )
А деструктивная ф-ция совпадает.
Троянец не размножается сам по себе.

Многие трояны тоже размножаются , например рассылают себя реципиентам из твоей адрессной книги.
Это уже почтовые черви. (I-Worm.***)

DMakeev
А что он делает? Как себя проявляет? Как размножается?

[DMakeev]

Вирь живет только под Win2K/XP, функции размножения не имеет, все его действия заключаются в запуске через определенное время одной очень пошлой песенки... Есссно запускает не через винамп, а системным процессом, так что так просто его не снимишь и приходится дослушивать до конца. Еще он довольно интересно прячется.

Сегодня спрошу автора, если он согласится, выложу в нет (бо даже в архиве занимает поболе 3Мб), ссылочку кину.

[Stanislav]

DMakeev
Прячется? Он что, перехватывает обращения к файлам?

[Viaprog]

Никакой не использую. Ибо зачем он мне, если у меня Linux. Вот так!

[DMakeev]

Neo, размер большой из-за засунутого в нее mp3-шника. Еслиего пережать, можно и маленькой сделать. Сама прога копейки весит. А кому засунуть... преподы по информатике от таких штук млеют

Stanislav, да нет, все проще. Технологию не помню, врать не буду.

[Лорд Вердер]

Самый лучший антивирус (и главное совсем бесплатный):
format C:

[Viaprog]

F@ntom Глупо это.

[DMakeev]

Neo, лежит здесь: http://homenet.aksystem.ru/files/Zapadlo.R4.rar. При родителях/любимой девушке лучше не запускать - песенка на самом деле очень неприличная.
Там три exe-шника - TCPIPset устанавливает, Deliter удаляет.
Удачи.

[LSL]

DMakeev
Я когда-то давно написал учителю информатики программку.

Она себя в автозапуск(реестр) ставит, и каждые 5 минут показывает обнажённую бабу поверх всех окон.
Да и ещё она в списке задач не видна была

А учитель незнал об msconfig ...

[DMakeev]

LSL, я, когда школу закончил, преподу написал на прощанье программулинку, выбрасывающую раз в n=10+-7 минут окошко с сообением типа "В Вашем компьютере обнаружено пусковое устройство от советской баллистической ракеты типа "Земля - Земля". Подождите, я звоню в ФСБ" или стандартное виндовское окошко форматирования диска, которое, при нажатии кнопки "Отмена", эмулировала форматирование. Дети долго смеялись, а препод раза 4 переустанавливал все винды.

[LittelBigFace]

Ну так что народ какой антивирусник выбрать. Или какие.

[DMakeev]

LittelBigFace, если производительность системы не критична, ставь последнего касперского или Нортона. Во всех остальных случаях только Нортона.

[DMakeev]

Neo, он сейчас на компе у родителей, а они не в Воронеже. Вышлю через день-два (надо им письмецо откатать с пояснениями, где что и как лежит).