HPC.ru lite - Все форумы
Форум: [OFF] Оффтопики не про КПК
Тема: Вопросы по Windows. Архив.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 [57] 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167

Новый папа [09.01.2010 22:54] :
Так он и сейчас продолжает Просто я поставил гугловый, а в нем нет явной менюшки на этот счет, но:
- возможно он делает это в фоне без запроса пользователя
- возможно он ипользует базу от предыдущей инсталляции негугловой версии
т.е. со 100% уверенностью на счет гуглового я сказать не могу

А в чем проблема посчитать контрольные суммы? У тебя есть данные, что антивири этим не занимаются или ты просто так считаешь? Возможно они это делают, не сообщая тебе

На сколько я знаю?
-KosMos- [09.01.2010 23:00] :
Время и место.

Для этого есть отдельные продукты.
И да, я считаю, что смысла в этом нет никакого.
В современной операционке файлы могут меняться по миллиону разных причин.

да.
Новый папа [09.01.2010 23:20] :
Времени требуется ровно столько, скольно его требуется на чтение файлов (только программы и библиотеки, возможно еще скрипты).
Места - несколько сотен килобайт или несколько мегабайт (единицы). На один файл требуется 32 байта.

Начнем с последнего утверждения. На самом деле значимыми являются изменения программ, библиотек и скриптов.
Так вот программы и библиотеки не могут меняться Только при апдейтах, т.е. фактически замене, а так же в результате применения патча. Если программа меняет сама себя или другую программу, то это потенциальная вирусная активность и ее антивирус проверяет.

Теперь по первому. Смысл есть самый прямой, потому что без контрольной суммы антивирус не сможет понять просматривал ли он этот файл или еще нет. Когда ты что-то делаешь, а антивирус работает в фоне, то он сканирует все программы, которые ты запускаешь. Сканирование подразумевает чтение файла с диска, разбор и анализ - операция тяжелая. Зачем ее делать, если файл в точности такой же, каким был 10 минут назад, когда ты его тоже дергал?
Именно поэтому любой антивирус первым делом рассчитывает контрольную сумму файла и если она совпадает с той, что записана у него в базе - сразу дает добро на выполнение не занимая ресурсы.
-KosMos- [09.01.2010 23:44] :
А ничего, что винту в это время есть ещё чем заняться?..

На, допустим, терабайт? Возможно, но сомневаюсь.

Чёрта с два. Вредоносные цепочки сейчас встраивают куда только можно. Вспомним шум буквально недельной давности, когда открыли очередную дырку в adobe reader, и вирусоносителем был, ессно, pdf.

Не просчитав контрольную сумму - антивирус не знает, изменилась она или нет.
Если антивирус считает контрольную сумму файла - значит, он просматривает весь файл, а значит сразу же может применить свой основной метод поиска - поиск вирусных сигнатур. Подсчёт контрольных сумм становится банально избыточным, ненужным этапом работы.

Ещё раз - такой метод работы был эффективне когда винты были маленькие, а процессоры - слабые.
Новый папа [09.01.2010 23:58] :
Ничего. Винт - он железный, ему что скажут, то и делает

Хоть на петабайт. Размер базы контрольных сумм зависит не от размера винта, а от кол-ва файлов на нем, т.к. на один файл расходуется 32 байта.
Итого на 1 миллион файлов нужно 32 мегабайта.

Во-первых, это не отменяет того, что делается расчет контрольных сумм.
Во-вторых, вирусоносителем может быть хоть ТХТ (собственно текст вируса). Никакого вреда он принести не может, пока не будет запущен на исполнение.

Совершенно верно.

Зачем применять основной метод, если файл не менялся с момента применения этого самого метода в прошлый раз?

Винты и процессоры вообще не причем (см. выше). Нет никакого резона искать вирусы там, где их нет (уже искали, ничего не нашли, алгоритмы поиска не менялись, базы вирусов не обновлялись, файл тот же самый и неизменный).
alien8 [10.01.2010 00:07] :
-KosMos-
>>Если антивирус считает контрольную сумму файла - значит, он просматривает весь файл, а значит сразу же может применить свой основной метод поиска - поиск вирусных сигнатур. Подсчёт контрольных сумм становится банально избыточным, ненужным этапом работы.

Избыточным - если задача - обнаружить вредоносный, которым его сочтет антивирус, код.

Контрольная сумма (в данном случае) - для исключения внедрения в последующем любого кода.
Очевидно, что второй способ банально надежнее. Вредоносный или нет, несанкционированное изменение - уже стоп! Независимо от "собственного мнения" антивируса, которое не есть 100% гарантия.
-KosMos- [10.01.2010 00:07] :
Винт - то железный. А вот пользователь может оказаться не железным, когда антивирь и операционка будут делить железный винт.
Зачем применять вторичный, когда можно применить основной?
Это примерно как пойти на пляж, взяв с собой плавки, а купаться всё равно в труселяхх - так ведь быстрее... и неважно, что плавки уже лежат в пляжной сумке.

Ещё как причём. Базы вирусных сигнатур растут, усложняются алгоритмы их выделения из обычного кода. Когда проц слабый и оперативки мало - действительно, проще CRC (или что там?) быстренько прогнать по файлу, когда же возможности проца намного превышают скорость чтения харддрайва - CRC становится практически бесполезным.

Как часто ты обновляешь базы?
-KosMos- [10.01.2010 00:15] :
Ещё раз - это может произойти по любым, неведомым антивирусу, причинам.

Какой такой "стоп"? У среднего не очень продвинутого человека, допустим, настроена автоматическое накатывание секьюрити апдейтов ко всем его программам. Антивирь будет каждый раз в этой ситуации ругаться, на каждый изменённый файлик? Да этот антивирь потрут к чертям на второй же день...
alien8 [10.01.2010 00:20] :
>>Антивирь будет каждый раз в этой ситуации ругаться, на каждый изменённый файлик?

Ага. Ну вообще - как настроишь. Может на каждый, может на исполняемый...
У меня вот файрволл предупреждает об изменениях.

А ты чего хотел? Меры безопасности - есть ограничение в чем-то личной свободы

А то лень, лень...а потом Dart рассказывает, что у него вирусы на комп проникают даже без шараханья черти-где, "оно само, я ничего не трогал, вечером выключил, а утром...вот..." (с) не Дарт, правда
Shkel [10.01.2010 00:20] :
Я еще не доехал до родителей и не пробывал
[Тема закрыта модератором]
[< Назад]  [Вперед >]