25.07.2007, 14:35 | #1 |
Дружище
Регистрация: 28.06.2007
Адрес: Центр
Пол: M
Сообщений: 653
Поблагодарил: 136
Поблагодарили 1,126 раз в 165 сообщениях
Открыли хайд
:
0 в этом сообщении 4 Всего |
Сравнения и споры насчет антивирусов и файерволов
IronLamberMan
ИМХО НоД говно)))) Поставил его один раз, так он так систему загрузил, постоянно какие-то вирусы видит, дрянь короче((( Panda Antivirys Titanium 2005 поставил триал, чудо))) никаких вирусов, никаких сбоев, едиснтвенный минус - грузится долговато при загрузке, но зато защищает)))) Пусть триал на 30 дней, у меня так пол-года стоит и не один касперские с его еже-часными обновлениями не сравниться))) НоД - Ф ТОПКУ! Panda Рулит! [Для просмотра данной ссылки нужно зарегистрироваться]
__________________
все проходит... Последний раз редактировалось Killer634; 25.07.2007 в 14:37. |
|
25.07.2007, 15:32 | #2 |
Мастер Игры
Регистрация: 29.10.2006
Адрес: Cтрелка
Пол: М
Провайдер: АДС ADSL
Сообщений: 1,046
Поблагодарил: 370
Поблагодарили 1,327 раз в 312 сообщениях
Открыли хайд
:
0 в этом сообщении 3 Всего |
да уж.. спорить о том какой антивирусник лучше - это тоже самое, что спорить какой стиль музыки круче или какой вид спорта инетреснее.
сколько времени уже с НОДом и никаких нареканий, даже какую-то панду ставить не хочется даже ради прикола, посмотреть что это такое
__________________
|
|
28.08.2007, 08:53 | #3 |
Приятель
Регистрация: 10.08.2007
Адрес: В квартире со всеми удобствами
Пол: М
Провайдер: Сэнди
Сообщений: 237
Поблагодарил: 151
Поблагодарили 157 раз в 69 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Avast: Лично я его не определял хороший или нет, мне его знакомые посоветовали. А интерфейс и удобства в работе не помешает.
А сам чей поганым Kaspersky пользуешься, который кроме тормазов и глюков больше ниче не ловит Последний раз редактировалось The Godfather; 18.04.2008 в 09:51. |
|
28.08.2007, 23:32 | #4 | |
Evil Man
Регистрация: 13.08.2007
Адрес: perl exp.pl
Пол: М
Провайдер: ВТ
Сообщений: 60
Поблагодарил: 92
Поблагодарили 22 раз в 8 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Цитата:
2.Аваст это полноя херня, хуже антивирь не придумать. 3.А вобще переходите на другой антивирь) и будет вам счастье, да и забыл сказать еще ставте фаервол
__________________
Последний раз редактировалось The Godfather; 18.04.2008 в 09:51. |
|
|
29.08.2007, 01:30 | #5 |
Я тут новенький
Регистрация: 07.08.2007
Пол: М
Сообщений: 21
Поблагодарил: 15
Поблагодарили 1 раз в 1 сообщении
Открыли хайд
:
0 в этом сообщении 0 Всего |
Я не пользуюсь антивирусами вообше, т.к. любой продукт что есть сейчас на рынке - убогое дерьмо, без исключений, с виду конфетка, а как до дела доходит то выясняется что хуже и придумать нельзя, почитай статьи разные на руткитс.ру, поймёшь в чем дело. Лучше всего использовать онлайн проверки где софт проверяется 10-15 разными продуктами, но и таким проверкам доверять нельзя, если нету головы на плечах то ни одна самая хорошая защита не поможет
Последний раз редактировалось The Godfather; 18.04.2008 в 09:51. |
|
30.08.2007, 03:53 | #6 |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Добавлю ещё что сейчас любые антивирусные продукты используют в основном три методики скинирования файлов:
1) Сигнатурный анализ, сверяет сигнатуру (определённый кусок, по которому можно явно идентифицировать файл, как простейщий вариант - точка входа) сканируемого файла по своей базе, если находит - сразу же детект 2) СтрингРеференс - анализ файла на подозрительные строки, импорты, и.т.п. 3) эмуляция (Ака SandBox) - пошаговая эмуляция исполнения файла, с последующим анализом его активности 1-й метод отлетает сразу, любой криптер, пермутатор кода, и сразу же сигнатура меняется, идём дальше - второй метод тоже не тянет, т.к. можно просто сделать какую нибудь шифровку строк с помощью того же TEA или RC4 алгоритма, с последующим подбором ключа расшифровки самой-же программой по ходу декриптовки, ну и третий - сэндбоксинг, так же мимо, простейщий вызов какой нибудь неэмулируемой API функции вроде MoveFileA и эвристику приходится остановить обработку файла, к слову таких апи можно придумать тьму, и никогда ниодин эвристик не научится эмулировать их все.. ну и соответственно импорты - сейчас уже никто в лоб не юзает, обычно вызывают по хэшу + забивают импорт всяким леваком, в итоге ничего подозоительного антивирь не находит. Из всего этого можно сделать вывод что нае%бать любой антивирь не составляет труда если есть голова на плечах Буду рад если кому то пригодится инфа, печатать устал |
|
Эти 3 пользователя(ей) сказали Спасибо Quantum за это полезное сообщение: |
30.08.2007, 05:38 | #7 | |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Сравнения и споры насчет антивирусов и файерволов
Цитата:
Юзайте лучше ZA, аутпост с ним рядом не стоял Последний раз редактировалось The Godfather; 18.04.2008 в 08:57. |
|
|
30.08.2007, 15:00 | #8 | |
Особый статус
Регистрация: 18.08.2007
Пол: M
Провайдер: ВТ
Сообщений: 1,161
Поблагодарил: 1,333
Поблагодарили 3,236 раз в 845 сообщениях
Открыли хайд
:
0 в этом сообщении 1,799 Всего |
Цитата:
|
|
|
30.08.2007, 16:01 | #9 | |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Цитата:
Ну хотя бы методы: При установке левого драйвера в систему, который восстанавливает SSDT и балуется антисплайсингом, т.е. попросту сносит все хуки Аутпоста из ядра со всех функций, аутпост ничего сделать не может, он даже свои хуки не может восстановить, и соответственно идёт в лесок, а вот ZA использует более хитрый способ, сам пока не доконца разобрался как, но он восстанавливает перехватичики функий Ну и ещё одно - за 5 минут можно написать программу которая при крике аутпоста о том что кто-то рвётся в сеть, будет искать диалог, ID кнопки и сразу-же тыкать разрешить, с ZA так не прокатит... это уже о многом говорит что люди в агнитум лабс не особо стараются.. это на вскидку, при более детальном изучении можно найти различий 5-10 в плюс ZA и в минус Аутпосту Я конечно не говорю что ZA это убер и всё такое, его тоже можно обойти, но намного сложнее чем Аутпост, имхо лучшее что сейчас есть на рынке сетевых мониторов |
|
|
30.08.2007, 16:27 | #10 | ||
Крестный отец
Регистрация: 17.04.2007
Адрес: Нижний Новгород
Пол: M
Провайдер: Билайн
Сообщений: 4,908
Поблагодарил: 1,384
Поблагодарили 7,039 раз в 1,808 сообщениях
Открыли хайд
:
0 в этом сообщении 24 Всего |
Цитата:
Цитата:
И к тому же Аутпост это намного более профессиональный файервол, а ЗА скорее для начинающих/любителей
__________________
Мы перенесем даже конец света, если нас вовремя и правильно поддержать. |
||
|
30.08.2007, 18:22 | #11 | ||
Приятель
Регистрация: 18.03.2007
Пол: М
Провайдер: DialUp
Сообщений: 137
Поблагодарил: 95
Поблагодарили 50 раз в 27 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Цитата:
я сам когда-то пытался перейти на comodo firewall, но так и не смог забыть аутпостовый network activity Цитата:
|
||
|
30.08.2007, 18:39 | #12 | |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Цитата:
Сплош и рядом, могу продемонстрировать наглядно, с тебя какая-нибудь дрянь которая ломится в сеть, с меня эта же дрянь с присобаченным модулем автоклика по кнопке, вот и посмотришь.. Подверженны все версии без исключения, и не только Аутпост, селф-протекшн есессно был включен, тут дело не в этом даже, а в том как без палева для какой нить проактивки подгрузить свой драйвер (это моё ноу-хау), а дальше уже немудрено - драйвер мочит всех и вся не оставляя абсолютно никаких шансов, и тут никакой селф-протект уже не поможет P.S. В результате тестирования, я пришёл к выводу что на данный момент таким методом можно обойти следующие программы: Jetico Firewall Comodo Firewall Kerio Firewall ZoneAlarm Firewall McAfee Firewall Kaspersky Internet Security Agnitum Outpost Firewall NOD32 I-mon module Panda Firewall Norton internet security как вы уже догадываетесь, дальнейший контроль приложения после установки драйвера уже невозможен ни одной проактивной защитой или фаерволлом Но всё же из всех протестированных мной программ, всех хитрее пытался отловить и противостоять внедрению ZoneAlarm Юзай AVZ для поиска руткитов, из фаерволлов я тебе даже посоветовать не могу ничего, ибо со всем чем встречался - исход был один и тот же... ну ZA можешь поставить, он самые распространённые трояны и бэкдоры всякие рубит... Последний раз редактировалось The Godfather; 18.04.2008 в 08:54. |
|
|
10.09.2007, 09:43 | #13 |
Ковёр и кисточки ЕДИНЫ!
Регистрация: 04.09.2007
Адрес: НН
Пол: M
Провайдер: ВТ
Сообщений: 363
Поблагодарил: 195
Поблагодарили 800 раз в 273 сообщениях
Открыли хайд
:
0 в этом сообщении 19 Всего |
Хм... список громких названий фаерволлов, которых "можно обойти указанным способом" наводит на мысль о том, что противостоять этому методу - не есть задача фаерволла. Этим наверна должен антивирь заниматься ? Неспроста ж многие уже пошли по пути создания комплексных пакетов, а-ля "Касперец Антихацкер", "Интеренет секьюрити" от Агнитум, да и Нортон тож вроде нечто подобное лабает...
Сидеть с одним фаерволлом, без антивиря, и чувствовать себя в безопасности - эт кнешн смешно ) ну, ежель ставишь тока проверенную софтину на комп, т.е. угрозы безопасности изнутри нет - тада фаервола достаточно... Тока ить, мало кто не злоупотребляет скачкой, запуском и установкой всякой плеши из инета: кряков/кейгенов неопознанных, к примеру... Последний раз редактировалось The Godfather; 18.04.2008 в 08:54. |
|
10.09.2007, 15:48 | #14 | |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Цитата:
__________________
[Для просмотра данной ссылки нужно зарегистрироваться] |
|
|
10.09.2007, 18:29 | #15 |
Ковёр и кисточки ЕДИНЫ!
Регистрация: 04.09.2007
Адрес: НН
Пол: M
Провайдер: ВТ
Сообщений: 363
Поблагодарил: 195
Поблагодарили 800 раз в 273 сообщениях
Открыли хайд
:
0 в этом сообщении 19 Всего |
2Quantum:
Ну, я в вопросах системного программирования и безопасности - не силён, так мягко скажем... Мож дурь щас ляпну ) Но, чисто вот такое поверхностное суждение приходит на ум: ежель антируткитовые функции будут в фаерволле одного производителя, и в антивире другого - не будут ли они друг с дружкой воевать на одном компе ? ) Нечто навроде ситуации, когда антивирь обнаруживает вредоносный драйвер, пытается его замочить, а фаерволл обижается на то что кто-то мочит невинный с его точки зрения драйвер и пытается замочить антивирь ) *если я некорректно употребил слово "драйвер" здесь - прошу простить ламера* ) |
|
10.09.2007, 19:58 | #16 |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
запросто, так и бывает как правило, допустим у тебя стоит спермский (проактивка KIS7), ты пытаешься поставить NOD32, спермский сразу же начинает двигаться в его сторону, говорит что такое то приложение пытается установить драйвер в систему, если это дело не прибить прямо сейчас, то дальнейший контроль приложения будет невозможен, ну допустим ты пропускаешь это мимо ушей, поставил нод, запустил, и он тут же начинает видеть в дайверах спермского вредоносную пое%оту какую нибудь, т.к. любые драйверы антивирусов/антируткит по/комплексных проактивных защит перехватывают море системных функций, ставят хуков своих туеву хучу, т.е. своим поведением мягко говоря смахивают на руткит, ну и есессно нод начинает гасить спермского, спермский начинает сопротивляться, пытается восстановить свои перехватчики и.т.п, инногда даже бывает так что после восстановления своих функций, он начинает пытаться мочить то, что мешало ему, тут в каждом конкретном случае может по разному быть, но крайне не рекомендуется ставить 2 разных продукта, темболее от разных АВ компаний...
друг эксперементировал когда-то, как раз спермского поставил, потом нод, включил проактивные модули и у того и у другого, они начали сначала в открытую гасить друг-друга, сначала смермский поудалял N% компонентов нода, то что смог выгрузить из ядра, нод начал орать, восстановил часть функций, без спросу закачал апдейт и восстановился полностью, далее я не помню какие действия были, но нод вроде как то покалечил один из основных компонентов спермского и смог выгрузить его из ring0, и тот окончательно сдох и уже не подавал никаких признаков жизни при перезагрузке... всякое бывает
__________________
[Для просмотра данной ссылки нужно зарегистрироваться] Последний раз редактировалось Quantum; 10.09.2007 в 20:04. |
|
10.09.2007, 20:11 | #17 |
Ковёр и кисточки ЕДИНЫ!
Регистрация: 04.09.2007
Адрес: НН
Пол: M
Провайдер: ВТ
Сообщений: 363
Поблагодарил: 195
Поблагодарили 800 раз в 273 сообщениях
Открыли хайд
:
0 в этом сообщении 19 Всего |
Ну, про антивири подобные истории известны, да и собсна врядли много кому придёт в голову поставить два антивиря одновременно - разве что исследователю или клиническому параноику ) А вот если подобные фокусы начнут проявлятся в гетерогенных парах (т.е. от разных производителей) антивирь-фаерволл - это будет печаааально Вряд ли разработчики жаждут озабачиваться тем, чтоб свой продукт "подружить" со всеми "коллегами"... Видать, потому то и стали всё чаще появляться комплексные решения - уж их то компоненты дружить обязаны...
Нтресн, кто из этих "комбайнов" удастся лучше... |
|
10.09.2007, 20:30 | #18 |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Как правило в фаерволлах нету такого, как собсно и в антивирях, т.е. если стоит фаерволл + обыкновенный авер, то всё будет нормально, обычно конфликты возникают когда юзер ставит какую нибудь проактивку (грубо говоря Авер и фаер + эвристик как отдельный модуль, в одном флаконе) и потом уже какой то фаер или авер отдельно, вот тогда и возникаю проблемы, т.е. нужно выбирать между связкой АВ+ФВ или проактивкой
__________________
[Для просмотра данной ссылки нужно зарегистрироваться] |
|
21.09.2007, 23:30 | #19 |
Я тут новенький
Регистрация: 04.09.2007
Адрес: Нижний Новгород
Пол: М
Провайдер: ВТ
Сообщений: 22
Поблагодарил: 16
Поблагодарили 35 раз в 6 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
Люди, Боже вас упаси этот Avast ставить! Сам тестил его, он НЕ умеет (!) ЛЕЧИТЬ вирусы, единственное, на что эта софтина способна - найти вредонос и удалить файл, в котором он находится.
В базах Аваста нет алгоритмов лечения. Помните об этом, если будете лечить, например, Bagle.a (заражает все исполнимые файлы на компе). Практика показывает, что в арсенале нужно иметь три антивируса (Каспер, Dr.Web и NOD32). Для домашнего использования лучше ставить Каспера, ибо скорость реакции на новые вири у него хорошая (2 - 5 часов), в то время как у других сей показатель намного хуже (лично отправлял новый вирь в Elvil Software, то есть Авастовцам, и только через 2 месяца и 3 дня его в базы добавили! Dr.Web - иногда находит вирьё, которое не находит Каспер и НОД (и это не ложняки - то, что он находил отправлял Касперу и оттуда отвечали, что это действительно новый вирь). NOD32 - из-за единственного преимущества: приличная эвристика. Ещё одно: лишь Каспер из всех вышеупомянутых антивирей нормально детектирует неизвестные (новые) руткиты с помощью проактива, а это огромный плюс. Откуда взял данные? Работаю в IT-компании инженером, каждый день приходится спасать компы корпоративных клиентов. |
|
23.09.2007, 14:06 | #20 |
Приятель
Регистрация: 29.08.2007
Адрес: 127.0.0.1
Пол: М
Сообщений: 226
Поблагодарил: 49
Поблагодарили 30 раз в 22 сообщениях
Открыли хайд
:
0 в этом сообщении 0 Всего |
эвристика нода тормозится любым вызовом функции вроде MoveFileA
__________________
[Для просмотра данной ссылки нужно зарегистрироваться] |
|