Вопросы по Windows. Архив.

-KosMos-

alien8 писал(а):У меня вот файрволл предупреждает об изменениях.

Ты - не совсем характерный пример, как мог бы и сам догадаться.

alien8 писал(а):Меры безопасности

Для этого уже много лет есть антивирусные резидентные мониторы.

-KosMos-

Shkel писал(а):Я еще не доехал до родителей и не пробывал

Лучше попробовать мой совет №3, если предыдущие не сработали. Быстрее, и надёжнее.
Вскрывать пароли - последнее средство...

alien8 · Сообщение **alien8** » Вс янв 10, 2010 00:31

-KosMos-

>>Для этого уже много лет есть антивирусные резидентные мониторы.

За много лет не видел НИ ОДНОГО антивируса, 100% отсекающего ВСЕ вирусы.
Все эти детские "да вот у меня каспер (симантек, нод, бла-бла....) круче, чем ...перечень остальных, никогда проблем не было" - обычно всего лишь рассказы об одном компе, чаще домашнем.
проблем меньше - да. 100% распознавание вирусов - НЕТ.
Так что выбор между ленью и безопасностью.

Правда файрволл (и на Маке тоже) работает по большей части "в обратную сторону" - отсекает излишне любопытный софт (не вирусный), который норовит выползти в инет без спроса. Причем обновление отключено. Скорее всего безобидный сбор статистики, но нефиг.

-KosMos-

alien8 писал(а):За много лет не видел НИ ОДНОГО антивируса, 100% отсекающего ВСЕ вирусы.

Естественно.
Но ещё раз подумай о том, что обычный пользователь компьютера (т.к. компьютер на сегодня уже давно как просто "бытовой электроприбор") в принципе не хочет знать о каких-то там "изменениях".

alien8 · Сообщение **alien8** » Вс янв 10, 2010 00:43

-KosMos-
>>Но ещё раз подумай

Я не думаю, я это и так знаю

Поэтому у меня вирусов нет, а у них есть. Иногда такие, о которых даже по телефону стесняются сказать

(а потом долго мажутся, что они ни при чем - прям как Дарт

)

-KosMos-

alien8 писал(а):, а у них есть.

Большинство об этом не знает, и даже не напрягается по этому поводу...

AndyKK · Сообщение **AndyKK** » Вс янв 10, 2010 01:21

Мне кажется вирусов, практически, не стало, так какие-то отголоски, вот троянов хватает, да и безобидные они в общем.

Polosatiy_io

Новый папа писал(а):- как обеспечить отслеживание всех изменений?

Как нормальные фаерволы отслеживают. Грубо говоря - жмешь альт-контл-делит, идешь на закладочку процессов и смотришь, какой процесс каким файликом пользуется, че в реестр пишет, в какие порты и на какие ИПы стучится, какие процезза запускает и какие процессы вмешиваются в его работу. Текстовой информации - с гулькин нос!

Новый папа

-KosMos- писал(а):Винт - то железный. А вот пользователь может оказаться не железным, когда антивирь и операционка будут делить железный винт. Smile

Ну раз ты этой работы до сих пор не заметил, то наверное этот процесс щадящий (в отличие от реального сканирования на вирусы).

-KosMos- писал(а):Зачем применять вторичный, когда можно применить основной?

Основной более тяжелый - это первое. Во-вторых, менее надежный. В третьих, избыточен, если файл уже проверялся. Ты предлагаешь по 100 раз проверять одно и тоже? Зачем?

-KosMos- писал(а):Ещё как причём. Базы вирусных сигнатур растут, усложняются алгоритмы их выделения из обычного кода. Когда проц слабый и оперативки мало - действительно, проще CRC (или что там?) быстренько прогнать по файлу, когда же возможности проца намного превышают скорость чтения харддрайва - CRC становится практически бесполезным.

Не бойся ты вирусных баз и сложных алгоритмов. Разработчики умеют думать и эти алгоритмы работают 1 раз для любого файла. Второе сканирование произойдет только в случаях:
а) файл изменился
б) изменился сам антивирус (обновились базы или версия программы)
с) пользователь задал ручное сканирование

-KosMos- писал(а):Как часто ты обновляешь базы?

Они обновляются автоматически почти каждый день. Раз в 3 дня примерно, если в среднем.

-KosMos- писал(а):Ещё раз - это может произойти по любым, неведомым антивирусу, причинам.

Вот именно поэтому контрольная сумма дает 100% сигнал, что файл изменился. Любые другие "ЖУРНАЛЫ ИЗМЕНЕНИЙ" не сработают, потому что можно банально загрузиться из под другой ОС и поменять файл - никакой журнал не создасться в этом случае. А контрольная сумма поменяется.

Новый папа

Polosatiy_io писал(а):Новый папа писал(а):
- как обеспечить отслеживание всех изменений?

Как нормальные фаерволы отслеживают. Грубо говоря - жмешь альт-контл-делит, идешь на закладочку процессов и смотришь, какой процесс каким файликом пользуется, че в реестр пишет, в какие порты и на какие ИПы стучится, какие процезза запускает и какие процессы вмешиваются в его работу. Текстовой информации - с гулькин нос!

И журнал изменений файлов пишут? Покажи

А почему файер-волы не используют для поиска вирусов можешь объяснить?

А отслеживает ли файер-вол изменения файлов, которые произошли не под хостовой ОС? (загрузка с внешнего носителя)

-KosMos-

Новый папа писал(а):Ну раз ты этой работы до сих пор не заметил, то наверное этот процесс щадящий

... или же этого не происходит в принципе.

Я, чесгнря, сам антиврус вообще поти никогда не запускаю, у меня всегда монитор работает.

Новый папа писал(а):Основной более тяжелый - это первое. Во-вторых, менее надежный. В третьих, избыточен, если файл уже проверялся. Ты предлагаешь по 100 раз проверять одно и тоже?

Ты запускаешь сканер чаще чем раз в 3 дня (т.е. между обновлениями баз)? Зачем?
А если реже - то всё равно нужно полноценно проверять по новой.

Новый папа писал(а):Не бойся ты вирусных баз и сложных алгоритмов.

Это как раз ты то и боишься, и вместо полноценной проверки предлагаешь гонять упрощённую.

Ну, всё может быть.

Новый папа

-KosMos- писал(а):... или же этого не происходит в принципе. Smile

Происходит, я уверен

-KosMos- писал(а):Я, чесгнря, сам антиврус вообще поти никогда не запускаю, у меня всегда монитор работает.

Так это монитор и делает

-KosMos- писал(а):Ты запускаешь сканер чаще чем раз в 3 дня (т.е. между обновлениями баз)? Зачем?

Сканер я вообще не запускаю, только монитор. Сканер раз в год может быть.

-KosMos- писал(а):А если реже - то всё равно нужно полноценно проверять по новой.

Когда запускается сканер, то по-новой и проверяется. Но я думаю, что это делается не полностью.

-KosMos- писал(а):Это как раз ты то и боишься, и вместо полноценной проверки предлагаешь гонять упрощённую. Smile

Контрольные суммы - это не проверка на вирусы. Это способ узнать были ли изменения

-KosMos-

Ну, вот, собственно, и ответ (про KIS 2009):

4.Технология проверки файлов - iChecker

Технология позволяет увеличить скорость проверки за счет исключения некоторых объектов. Исключение объекта из проверки осуществляется по специальному алгоритму, учитывающему дату выпуска баз приложения, дату предыдущей проверки объекта, а также изменение параметров проверки. Например, у вас есть файл архива, который был проверен приложением и ему был присвоен статус незаражен. В следующий раз этот архив будет исключен из проверки, если он не был изменен и не менялись параметры проверки. Если вы изменили состав архива, добавив в него новый объект, изменили параметры проверки, обновили базы приложения, архив будет проверен повторно. Технология iChecker имеет ограничение: она не работает с файлами больших размеров, а также применима только к объектам с известной приложению структурой (например, файлы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).

Ты оказался прав... но не совсем.

Новый папа

А "не совсем" в чем заключается?

-KosMos-

Выделение увидел?