Вопросы по Windows. Архив.

[Новый папа]

Могу микрух двоично-десятичных счётчиков отсыпать Smile

Спасибо, я не курю

[Новый папа]

Ага, возвращаемся и читаем

Дарт, это называется сверкой контрольных сумм и сущевствует во всех антивирусах (и даже в ОС) уже 100 лет в обед Smile

доходим до твоей ссылки и читаем по кругу


Предлагаемое решение лежит на поверхности и его сразу же и использовали. Только не в таком виде, потому что в таком виде оно не работает. Ответь хотя бы на такие вопросы, как:
- как обеспечить отслеживание всех изменений?
- кто будет вести журнал изменений?
- где будет хранится дамп?
- что должно произойти при изменении дампа?
- что должно произойти при изменении журнала?
- нужно ли хранить дамп памяти?
- нужно ли хранить журнал изменений памяти?

В общем, еще раз говорю, не изобретай велик
Все антивирусы после своей установки сканируют все файлы, считают их контрольную сумму (это нужно для того, чтобы не заморачиваться с дампом) и при любом обращении (скорее всего ДО и ПОСЛЕ) сверяют эту контрольную сумму и сигнализируют, если произошли подозрительные изменения.

[-KosMos-]

Все антивирусы после своей установки сканируют все файлы, считают их контрольную сумму (это нужно для того, чтобы не заморачиваться с дампом) и при любом обращении (скорее всего ДО и ПОСЛЕ) сверяют эту контрольную сумму и сигнализируют, если произошли подозрительные изменения.

Это ты где такое вычитал?

афаик ни один современный антивирус этим не занимается.

[Новый папа]

Аваст этим занимается. Точнее занимался в своей негугловой версии, а в этой не знаю.

Что такое афаик?

[-KosMos-]

Точнее занимался в своей негугловой версии, а в этой не знаю.

Раньше этим занимались многие. Когда деревья были большими, а винты - маленькими.

Что такое афаик?

as far as i know

[Новый папа]

Раньше этим занимались многие. Когда деревья были большими, а винты - маленькими.

Так он и сейчас продолжает Просто я поставил гугловый, а в нем нет явной менюшки на этот счет, но:
- возможно он делает это в фоне без запроса пользователя
- возможно он ипользует базу от предыдущей инсталляции негугловой версии
т.е. со 100% уверенностью на счет гуглового я сказать не могу

А в чем проблема посчитать контрольные суммы? У тебя есть данные, что антивири этим не занимаются или ты просто так считаешь? Возможно они это делают, не сообщая тебе

as far as i know

На сколько я знаю?

[-KosMos-]

А в чем проблема посчитать контрольные суммы?

Время и место.

У тебя есть данные, что антивири этим не занимаются или ты просто так считаешь?

Для этого есть отдельные продукты.
И да, я считаю, что смысла в этом нет никакого.
В современной операционке файлы могут меняться по миллиону разных причин.

На сколько я знаю?

да.

[Новый папа]

Время и место.

Времени требуется ровно столько, скольно его требуется на чтение файлов (только программы и библиотеки, возможно еще скрипты).
Места - несколько сотен килобайт или несколько мегабайт (единицы). На один файл требуется 32 байта.

И да, я считаю, что смысла в этом нет никакого.
В современной операционке файлы могут меняться по миллиону разных причин.

Начнем с последнего утверждения. На самом деле значимыми являются изменения программ, библиотек и скриптов.
Так вот программы и библиотеки не могут меняться Только при апдейтах, т.е. фактически замене, а так же в результате применения патча. Если программа меняет сама себя или другую программу, то это потенциальная вирусная активность и ее антивирус проверяет.

Теперь по первому. Смысл есть самый прямой, потому что без контрольной суммы антивирус не сможет понять просматривал ли он этот файл или еще нет. Когда ты что-то делаешь, а антивирус работает в фоне, то он сканирует все программы, которые ты запускаешь. Сканирование подразумевает чтение файла с диска, разбор и анализ - операция тяжелая. Зачем ее делать, если файл в точности такой же, каким был 10 минут назад, когда ты его тоже дергал?
Именно поэтому любой антивирус первым делом рассчитывает контрольную сумму файла и если она совпадает с той, что записана у него в базе - сразу дает добро на выполнение не занимая ресурсы.

[-KosMos-]

Времени требуется ровно столько, скольно его требуется на чтение файлов

А ничего, что винту в это время есть ещё чем заняться?..

Места - несколько сотен килобайт или несколько мегабайт

На, допустим, терабайт? Возможно, но сомневаюсь.

На самом деле значимыми являются изменения программ, библиотек и скриптов.

Чёрта с два. Вредоносные цепочки сейчас встраивают куда только можно. Вспомним шум буквально недельной давности, когда открыли очередную дырку в adobe reader, и вирусоносителем был, ессно, pdf.

Смысл есть самый прямой, потому что без контрольной суммы антивирус не сможет понять просматривал ли он этот файл или еще нет.

Не просчитав контрольную сумму - антивирус не знает, изменилась она или нет.
Если антивирус считает контрольную сумму файла - значит, он просматривает весь файл, а значит сразу же может применить свой основной метод поиска - поиск вирусных сигнатур. Подсчёт контрольных сумм становится банально избыточным, ненужным этапом работы.

Именно поэтому любой антивирус первым делом рассчитывает контрольную сумму файла и если она совпадает с той, что записана у него в базе - сразу дает добро на выполнение не занимая ресурсы.

Ещё раз - такой метод работы был эффективне когда винты были маленькие, а процессоры - слабые.

[Новый папа]

А ничего, что винту в это время есть ещё чем заняться?.. Smile

Ничего. Винт - он железный, ему что скажут, то и делает

На, допустим, терабайт? Возможно, но сомневаюсь.

Хоть на петабайт. Размер базы контрольных сумм зависит не от размера винта, а от кол-ва файлов на нем, т.к. на один файл расходуется 32 байта.
Итого на 1 миллион файлов нужно 32 мегабайта.

Чёрта с два. Вредоносные цепочки сейчас встраивают куда только можно. Вспомним шум буквально недельной давности, когда открыли очередную дырку в adobe reader, и вирусоносителем был, ессно, pdf.

Во-первых, это не отменяет того, что делается расчет контрольных сумм.
Во-вторых, вирусоносителем может быть хоть ТХТ (собственно текст вируса). Никакого вреда он принести не может, пока не будет запущен на исполнение.

Не просчитав контрольную сумму - антивирус не знает, изменилась она или нет.

Совершенно верно.

Если антивирус считает контрольную сумму файла - значит, он просматривает весь файл, а значит сразу же может применить свой основной метод поиска - поиск вирусных сигнатур

Зачем применять основной метод, если файл не менялся с момента применения этого самого метода в прошлый раз?

Ещё раз - такой метод работы был эффективне когда винты были маленькие, а процессоры - слабые.

Винты и процессоры вообще не причем (см. выше). Нет никакого резона искать вирусы там, где их нет (уже искали, ничего не нашли, алгоритмы поиска не менялись, базы вирусов не обновлялись, файл тот же самый и неизменный).

[alien8]

-KosMos-
>>Если антивирус считает контрольную сумму файла - значит, он просматривает весь файл, а значит сразу же может применить свой основной метод поиска - поиск вирусных сигнатур. Подсчёт контрольных сумм становится банально избыточным, ненужным этапом работы.

Избыточным - если задача - обнаружить вредоносный, которым его сочтет антивирус, код.

Контрольная сумма (в данном случае) - для исключения внедрения в последующем любого кода.
Очевидно, что второй способ банально надежнее. Вредоносный или нет, несанкционированное изменение - уже стоп! Независимо от "собственного мнения" антивируса, которое не есть 100% гарантия.

[-KosMos-]

Винт - он железный, ему что скажут, то и делает

Винт - то железный. А вот пользователь может оказаться не железным, когда антивирь и операционка будут делить железный винт.

Зачем применять основной метод, если файл не менялся с момента применения этого самого метода в прошлый раз?

Зачем применять вторичный, когда можно применить основной?
Это примерно как пойти на пляж, взяв с собой плавки, а купаться всё равно в труселяхх - так ведь быстрее... и неважно, что плавки уже лежат в пляжной сумке.

Винты и процессоры вообще не причем (см. выше).

Ещё как причём. Базы вирусных сигнатур растут, усложняются алгоритмы их выделения из обычного кода. Когда проц слабый и оперативки мало - действительно, проще CRC (или что там?) быстренько прогнать по файлу, когда же возможности проца намного превышают скорость чтения харддрайва - CRC становится практически бесполезным.

базы вирусов не обновлялись

Как часто ты обновляешь базы?

[-KosMos-]

для исключения внедрения в последующем любого кода.

Ещё раз - это может произойти по любым, неведомым антивирусу, причинам.

Вредоносный или нет, несанкционированное изменение - уже стоп!

Какой такой "стоп"? У среднего не очень продвинутого человека, допустим, настроена автоматическое накатывание секьюрити апдейтов ко всем его программам. Антивирь будет каждый раз в этой ситуации ругаться, на каждый изменённый файлик? Да этот антивирь потрут к чертям на второй же день...

[alien8]

>>Антивирь будет каждый раз в этой ситуации ругаться, на каждый изменённый файлик?

Ага. Ну вообще - как настроишь. Может на каждый, может на исполняемый...
У меня вот файрволл предупреждает об изменениях.

А ты чего хотел? Меры безопасности - есть ограничение в чем-то личной свободы

А то лень, лень...а потом Dart рассказывает, что у него вирусы на комп проникают даже без шараханья черти-где, "оно само, я ничего не трогал, вечером выключил, а утром...вот..." (с) не Дарт, правда

[Shkel]

Саня, ты вообще обратил внимание на то, что я тебе предложил? Эта процедура занимает 3-4 минуты. Что ты там паришься с дисками, не пойму

Я еще не доехал до родителей и не пробывал