Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Какой должна быть Anti-Spyware программа

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Какой должна быть Anti-Spyware программа

    Предлагаю подискутировать на тему - что должна в идеале уметь программа, предназначенная для убиения SpyWare, AdvWare, Hijacker, Dialer и прочей подобной нечисти, которая в чистом виде не является вирусом или трояном, но может изрядно попортить жизнь пользователю.

    Как создатель бесплатной утилиты AVZ (http://z-oleg.com/secur/avz.htm) я хочу обобщить пожелания и предложения и воплотить их в новых версиях AVZ (текущая версия - не более как простейшая оболочка для ядра AVZ)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    Вообще давольно близка к идиалу Ad-Aware. Добавить ещё возможность бокировать установку новых сервисов и возможность просматривать установленные сервисы + возможность видеть процессы которые скрываются, и отмечать их. Ещё неплохо каждый день автоматически делать копию всех важных верток реестра, и сравнивать их по требованию. Неплохо что бы имелся список наиболее часто встречающихся безопасных процессов, с их MD5.

  4. #3
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    Вообще наверное нужно разделить требования к сканеру, и резидентному модулю. Вот ближе к вечеру составлю списочек

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Список - это хорошо его удобно обсуждать и реализовать. У AVZ уже есть резидентный модуль (он сейчас тестируется), и вероятно действительно лучше разделить требования к сканеру и резидентному сторожу (хотя база у них естественно будет общая)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    Re:Какой должна быть Anti-Spyware программа

    *упавление файлом hosts в полной мере. частично реализованно в
    spybot S&D , только в ручную нельзя вставлять сайты из интерфейса программы
    * желательно линк на описание найденного шпиона .
    *имунизация на подобие spywareblaster . мне не нравиться мониторы , которы потребляют ресурсы и конфликтуют друг с другом , по моему идеальное решение : предотвратить само заражение

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Цитата Сообщение от drongo
    упавление файлом hosts в полной мере. частично реализованно в
    spybot S&D , только в ручную нельзя вставлять сайты из интерфейса программы
    также желательно линк на описание найденного шпиона .
    Вероятно, имеет смысл делать копию файла Hosts для возможности восстановления и считать его CRC для контроля - по хорошему, меняется он редко. Насчет описания шпионов - я со временем хочу сделать свою базу описаний (по принципу - краткое описание + ссылки). Кстати, тут есть еще момент с классификацией - где проводить грань между AdvWare и SpyWare (например, лаборатория Касперского делит все жестко - или троян, или AdvWare)

    Насчет иммунизации - это сильно захламляет реестр и помогает 1-2% SpyWare (которые приползают через ActiveX). А мой монитор не конфликтует и не тормозит - 3 мб ОЗУ и все ... - он же не антивирь, поэтому ресурсов ему нужно очень мало)

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994

    Re:Какой должна быть Anti-Spyware программа

    оф-топик : антивирусный монитор у меня 2.6 мб кушает (ф-прот ), то что знает определяет и не тормозит ни капли

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Цитата Сообщение от drongo
    оф-топик : антивирусный монитор у меня 2.6 мб кушает (ф-прот ), то что знает определяет и не тормозит ни капли
    Почему же оф-топ - это кстати как раз показатель нормально сделанного монитора - есть к чему стремиться. У меня принцип монитора прост - ведется контроль за запущенными процессами, при обнаружении нового процесса он проверяется по имеющейся базе и выносится вердикт - опасен (тогда он останавливается) или не опасен - тогда он помечается во временной базе как "проверен и безопасен" - при его повторных запусках проводится проверка, не изменился ли он с момент последнего запуска. Расход ресурсво естественно минимален.

  10. #9
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    Сканер
    Два режима проверки:
    1. Быстрая проверка. Все загруженные процесы со всеми их dll, все объекты из списка автозапуска и сервисов, BHO, host file и все критические ключи реестра.
    2. Полная проверка. Всё перечисленное выше + проверка всех файлов на диске и полная проверка реестра.

    Далее, что бы была действительно хорошая программа для борьбы со шпионами, кроме автоматического поиска она должна вкючать в себя набор утилит облегчающих отлов всякой гадости вручную.
    1. Возможность генерации отчёта в который входит все загруженные процесы со всеми их dll, все объекты из списка автозапуска и сервисов, BHO, host file и все критические ключи реестра позволяющие перенаправить бродилку или запустить автоматически программу. Для каждого файла подсчитанная MD5. Очень желательно умение видеть процессы невидимые через Task Manager, и сравнивать со списком процессов которые через него видны.
    2. Возможность сохранения отчёта и последующего сравнения с другими отчётами на предмет изменений.
    3. Кроме "плохох" программ знание так же хотя бы наиболее распространённых "хороших" программ.
    4. Возможность автоматического архивирования с паролем и отправки подозрительных файлов на анализ.
    5. Возможность определять файлы имеющие цифровую подпись Microsoft
    6. Возможность удаления файлов во время перезагрузки, если не удалось удалить обычным способом.
    7. Возможность генерации списка всех исполняемых файлов директории Windows, с последующей возможностью сравнения и нахождения изменений.

    Монитор
    1. Мониторинг запущенных (лучше запускаемых т.е. перехват API) процессов и подгруженных (подгружаемых) dll
    2. Мониторинг важных веток реестра и host file
    3. Мониторинг директории Windows хотя бы на предмет появления новых исполняемых файлов.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Отлично
    Два режима проверки беру на заметку
    далее по пунктам:
    1. Это я закладываю однозначно. Причем, как я думаю, отчет нужно иметь возможность генерить отчет в XML формате, чтобы можно было его автоматически анализировать. Насчет невидимых процессов ложнее - трудно увидеть процессы, которые прячет руткит (это правда отдельный вопрос, SpyWare не буде так изощренно маскироваться)
    2. Это полезно - это как раз к вопросу об XML
    3. Получается большой объем - я создал у себя базу на 25000 файлов - несжатый объем 4.5 мб, хранит данные о всех "полезных" файлов Windows разных версий, Office ... можно конечно избирательно взять сотни две наиболее известных
    4. Это однозначно нужно
    5. Тоже можно, снимет чать проблемы размера базы п.п. 3
    6. Обязательно. Это и сейчас есть в минимальном варианте - AVZ он пытается переименовать файл, чтобы после загрузки на втором проходе его удалить
    7. Функции типа Adinf ? Разумно, я уже об этом думал - это позволит ловить многих червей/троянов, а не только SpyWare

    По монитору - перехватить API можно, но как-то это нехорошо (документированного универсального пути то нет ...). Аналогично с мониторингом реестра - вешать драйвер а-ля regmon как-то страшновато (с точки зрения тормозов и стабильности системы). А вот мониторить папку Windows (и в особенности злачные места типа "Downloaded Program Files\") - это вероятно необходимо

    Тут еще момент возникает - как узнавать SpyWare - по MD5 долго и малейшее изменение приведет к тому, что мы не найдем его ... сейчас у меня используется размер + сигнатуры из разных точек файла

  12. #11
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    3. Получается большой объем - я создал у себя базу на 25000 файлов - несжатый объем 4.5 мб, хранит данные о всех "полезных" файлов Windows разных версий, Office ... можно конечно избирательно взять сотни две наиболее известных
    Должно очень хорошо сжиматься при архивировании. Так что качать будет не много. А вообще что такое сегодня 4.5М? Можно сделать версию lite без этой опции для тех у кого медленная линия и старый комп.
    По монитору - перехватить API можно, но как-то это нехорошо (документированного универсального пути то нет ...). Аналогично с мониторингом реестра - вешать драйвер а-ля regmon как-то страшновато (с точки зрения тормозов и стабильности системы).
    Опять же, можно сделать версию pro, для тех кто не боится эксперементировать Удачные решения постепенно добавлять в стабильную версию.

  13. #12
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    Кстати, у меня давно идея сделать веб базу данных "хороших" программ. Типа загнал в неё лог, получил обратно очищенный от "хороших" программ. Среди того что осталось легче искать проблемные.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Цитата Сообщение от Geser
    Кстати, у меня давно идея сделать веб базу данных "хороших" программ. Типа загнал в неё лог, получил обратно очищенный от "хороших" программ. Среди того что осталось легче искать проблемные.
    Именно так я и делаю (только локально, не через WEB) - когда ко мне попадает файл на анализ, я его показываю анализатору, он сравнивает с моей базой - для известного файла сразу сообщается, откуда он (например, из Windows XP SP1, лежит в System 32) и исключается из рассмотрения. Из типового лога остается примерно 10-50%, остальное узнается как известное. Аналогично для MD5 из лога. А жмется эта база паршиво - примерно 1:4 (т.е. до 1 мб он ужимается). Причина - у меня там кроме всего прочего MD5 суммы, а они уж очень уникальны Без них база в сжатом виде имеет размер около 200 кб - а это уже вполне приемлемо.

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82

    Re:Какой должна быть Anti-Spyware программа

    Разные режимы проверки - это, конечное хорошо. Но надо бы и несколько режимов работы с точки зрения продвинутости пользователя. Не всякий начинающий пользователь будет адекватно реагировать на постаянные сообщения о появлении новых исполняемых файлах в директории Windows.

    Предлагаю три режима работы (можно реализовать через разные настройки интерфейса):
    1. Начинающий (сканирование и поиск известных программе шпионов, интерфейс красивый но с минимумом установки, информация об изменении реестра и добавлении файлов пишется в лог и при большом желании показывается пользователю через штатный просмоторщик).
    2. Опытный (Начинающий + возможность выдавать сообщения о подозрительных изменениях + простые инструменты отслеживания изменений системы)
    3. Эксперт (Опытный + возможность работы/просмотра с дампами реестра и таблицами изменения на жестком диске + вспомогательные инструменты работы с реестром и файлами на жестком диске).

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    В таком случае веротяно нужно вести речь даже о создании линейки продуктов - ядро общее, а возможности и интерфейс у каждого свои (для начинающего - все на автомат, минимум настроек ... для продвинутого - наоборот, максимум опция и разных возможностей)

  17. #16
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    [quote author=Зайцев Олег link=board=22;threadid=146;start=0#msg657 date=1097904180]
    В таком случае веротяно нужно вести речь даже о создании линейки продуктов - ядро общее, а возможности и интерфейс у каждого свои (для начинающего - все на автомат, минимум настроек ... для продвинутого - наоборот, максимум опция и разных возможностей)
    [/quote]
    Типа как у adaware. personal, plus, professional
    Хотя можно что бы долго не мучаться просто сделать переключение режимов как в spybot.

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82

    Re:Какой должна быть Anti-Spyware программа

    Действительно, лучше сделать через переключение режимов, т.е. 3 шаблона настроек, как во многих программах, типа низкий/средний/высокий с возможностью ручной настройки отдельных пунктов. При этом интерфейс, ядро и базы будут общими, а "лишние" возможности будут отключены.
    С разбиением на отдельные программы трудность в том, что человеку свойственно обучаться и грань между опытным пользователем и экспертом весьма быстро перешагивается (после нескольких инцидентов с которыми приходится разбираться "ручками"), а вслучае раздельных программ это подразумевает необходимость инсталяции более продвинутой версии. И не всегда возможно.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Ну вот, опираясь на вышесказанное я состряпал новый интерфейс для AVZ - давайте критиковать. Это мое видение уровня "начинающий" - все на одном экране, вроде я ничего не упустил (и лишнего особенно ничего нет).
    Одно только непонятно - стоит ли делать отдельные опции "лечить реестр", "исправлять настройки браузера" ?? по идее если найден и удален шпион, то имеет смысл удалить его ключи реестра, равно как в случае Hijacker воосстановить испрченные им настройки браузера.

  20. #19
    Geser
    Guest

    Re:Какой должна быть Anti-Spyware программа

    [quote author=Зайцев Олег link=board=22;threadid=146;start=0#msg1045 date=1099414095]
    Одно только непонятно - стоит ли делать отдельные опции "лечить реестр", "исправлять настройки браузера" ?? по идее если найден и удален шпион, то имеет смысл удалить его ключи реестра, равно как в случае Hijacker воосстановить испрченные им настройки браузера.
    [/quote]
    Для начинающего точно не стоит. Всё должно само лечиться, исправляться и восстанавливаться
    Кстати, можно версию с английским интерфейсом? А то не все же живут в России

    А вообще, симпатично сделано

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Какой должна быть Anti-Spyware программа

    Цитата Сообщение от Geser
    Для начинающего точно не стоит. Всё должно само лечиться, исправляться и восстанавливаться
    Кстати, можно версию с английским интерфейсом? А то не все же живут в России

    А вообще, симпатично сделано
    Вот и я думаю (по поводу опции лечения реестра) - оно или лечится все на автомате, или в лог - regedit в руки в вперед Про английский интерфейс я думаю - как только версия устоится, тут же сделаю ...

    PS: Надо будет завтра еще пообсуждать методики поиска SpyWare - я сегодня обобщу известные мне методы и скину на обсуждение в конфу

Страница 1 из 2 12 Последняя

Похожие темы

  1. Anti Spyware и Get Accelerator
    От nor5-asui в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.10.2009, 17:23
  2. BOClean : Anti-Spyware Version 4.23
    От Sibir в разделе Тестирование
    Ответов: 1
    Последнее сообщение: 27.04.2007, 04:53
  3. ZoneAlarm Anti-Spyware 6.1.514
    От HATTIFNATTOR в разделе Антивирусы
    Ответов: 0
    Последнее сообщение: 22.10.2005, 01:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00971 seconds with 19 queries