-
Антивирус Касперского версии 6.0 и выше..
Почему антивирус Касперского, начиная с версии 6.0 или даже 5.5, при детектировании зловреда меняет дату его создания на дату детектирования. Ведь это не правильно, часто бывает, что по дате попадания зловреда на системный блок можно найти ещё пару тройку его "братьев". Да и вообще время и дата о многом может сказать. Задал этот вопрос в техподдержку получил вот такой ответ:
2007.11.13, 16:29 - Олеся Голубкова:
Здравствуйте.
По первому вопросу, согласно ответу разработчиков и 5 версии, и 6 версии, и 7 версии наш продукт действительно меняет дату и время создания файла на дату и время детектирования. Данная особенность не будет меняться в нашем продукте.
В версии 5.0 дата не меняется, на работе использую, но лицензия уже закончилась.
Последний раз редактировалось ISO; 30.11.2007 в 15:37.
Я не волшебник, а только учусь.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Извиняюсь за назойливость, но неужели все считают, что это правильно - изменение времени создания файла?
Я не волшебник, а только учусь.
-
-
Сообщение от
Ромео
Извиняюсь за назойливость, но неужели все считают, что это правильно - изменение времени создания файла?
И что, дата/время меняются именно при детекте? То есть у только что найденного вируса текущие дата/время?
-
Сообщение от
borka
И что, дата/время меняются именно при детекте? То есть у только что найденного вируса текущие дата/время?
Да именно так. Раздаётся поросячий визг, и о чудо, дата и время детектируемого файла изменились на текущие.
Я не волшебник, а только учусь.
-
-
Сообщение от
Ромео
Да именно так. Раздаётся поросячий визг, и о чудо, дата и время детектируемого файла изменились на текущие.
Хм... Интересная фишка. Может, DVi объяснит, почему такой алгоритм применен? Что сразу приходит в голову - это выделение продетектированного файла сегодняшними датой/временем на случай отказа от лечения...
-
А дата-время чего меняется? Последнего изменения?
-
-
Сообщение от
pig
А дата-время чего меняется? Последнего изменения?
Судя по ответу ЛК, это именно дата/время создания.
-
-
-
Да, меняет дату последнего изменения, я взял образец с датой изменения17.08.2004, включил KIS и тут же вылезло предупреждение о заразе, я нажал пропустить и дата изменения стала сегодняшней. Дата создания не меняется
Последний раз редактировалось ALEX(XX); 06.01.2008 в 09:24.
Left home for a few days and look what happens...
-
-
A в чeм, coбcтвeннo, пpoблeмa? нa чтo в вaшeй жизни влияeт дaтa измeнeния фaйлa? мнe кaжeтcя, чтo дaтa coздaния нeceт бoльшe инфopмaции. xoтя иcпoльзoвaть дaтy для лoвли виpycoв нeлeпo.
-
-
В чем глубокий смысл данного действия?
-
-
Сообщение от
DVi
A в чeм, coбcтвeннo, пpoблeмa? нa чтo в вaшeй жизни влияeт дaтa измeнeния фaйлa? мнe кaжeтcя, чтo дaтa coздaния нeceт бoльшe инфopмaции. xoтя иcпoльзoвaть дaтy для лoвли виpycoв нeлeпo.
Интересна и важна порой бывает дата когда на исследуемый системный НЖМД попал этот зловред, когда он был установлен в этой операционной системе. Это бывает важно для определения даты заражения исследуемого НЖМД, а так как руками порой выявить всех зловредов не представляется возможным, приходится атоматизировать процесс с использованием Вашего антивируса, делаю сразу поправку, что это тоже не даст 100% результат, но всё же приходится использовать антивирус для выявления зловредов на исследуемых НЖМД. Сами понимаете, что если дата будет изменена на текущую, то потеряется криминалистически важная информация.
В самом деле зачем реализована эта функция изменения даты и времени?
Согласитесь, что этого не нужно делать.
Я не волшебник, а только учусь.
-
-
пoдoзpeвaю, чтo фaйл пpocтo oткpывaeтcя нa зaпиcь. ecли cмoгy yзнaть тoчнee - нaпишy.
-
-
Спасибо. Интересно, как обстоят как дела у других антивирусов..
-
-
Сообщение от
DVi
пoдoзpeвaю, чтo фaйл пpocтo oткpывaeтcя нa зaпиcь. ecли cмoгy yзнaть тoчнee - нaпишy.
Угу, похоже это так, потому что дата открытия файла тоже меняется на текущую
Left home for a few days and look what happens...
-
-
Выяснил: файл принудительно открывается на запись, чтобы узнать, возможно ли его вылечить. Попрошу тестеров записать багу. Если будет возможность, выставим дату модификации в исходное значение.
-
-
Сообщение от
ALEX(XX)
дата открытия файла тоже меняется на текущую
Ну, это при любом открытии. У Dr.Web даже опция есть - восстанавливать дату открытия на предыдущее состояние.
-
-
Сообщение от
pig
Ну, это при любом открытии. У Dr.Web даже опция есть - восстанавливать дату открытия на предыдущее состояние.
Вообще говоря, ключ называется RestoreAccessDate...
-
В данной теме несущественно даже то, что он вообще есть
-
-
Сообщение от
DVi
Выяснил: файл принудительно открывается на запись, чтобы узнать, возможно ли его вылечить.
А разве простое открытие файла на запись без его именения меняет атрибуты?
Добавлено через 2 минуты
Сообщение от
pig
В данной теме несущественно даже то, что он вообще есть
http://virusinfo.info/showpost.php?p...7&postcount=14
Последний раз редактировалось borka; 08.01.2008 в 15:07.
Причина: Добавлено
---
С уважением,
Borka.