-
Приведенные примеры нельзя назвать даже фолсом.
Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей.
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
p2u
Если строго остаться в рамках данного теста, на что вы сами настаиваете, то тогда поясните, плиз.
С одной стороны вы говорите:
С другой стороны вы говорите:
Не доходит до меня.
Что конкретно не доходит? Что вы передергиваете? Или что в рамках данного теста базы обновлять не имеет смысла? Или что речь не о базах как таковых, а именно об обновленных?
Сообщение от
p2u
Скорее у меня что-то либо с русским языком, либо с логикой.
Смысл слова "передергивать" вы знаете. Остальное не столь важно.
Добавлено через 3 минуты
Сообщение от
santy
Ну, не факт, что вплывет эта проблема ни на этапе инсталляции нового антивируса, ни на этапе сканирования системы. Paul здесь прав... и драйвера встречаются от старых версий (4.5) КАВ, который не всегда нормально деинсталлируется, и модули от Симантек, не исключенные из автозагрузки.... (скажем, если Симантек был установлен через центр управления с паролем, а пароль забыт_утрачен_унесен с собой другим админом, то приходится не деинсталлировать, а исключать многочисленные службы из загрузки). Проявляют же себя_визуально становятся видны эти модули например при запуске АВЗ в виде перехватчиков. А вот как они влияют на работу антируткитов - не могу сказать.
Если проблема не всплывет ни на этапе инсталляции, ни на этапе сканирования системы ДО заражения, можно смело утверждать, что эта проблема не проявится в условиях заражения.
Добавлено через 10 минут
Сообщение от
Зайцев Олег
И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. Приведу пример в ответ на то, что будет, когда вирлаб не справится с потоком зловредов и набивкой сигнатурных баз
Между прочим, страдают паранойей не только антивирусы, которые приведены в качестве примера. Кроме того, это только вы знаете, что файл безвреден.
Сообщение от
Зайцев Олег
Смешно, хотя по идее плакать надо -безобидная программа по выводу строк в цикле на консоль сразу заподозрена двумя известными антивирусами, хотя она ничем не упакована, совершенно безвредна и не делает вообще ничего опасного.
Опять же - это только вы об этом знаете.
Сообщение от
Зайцев Олег
Плюс со временем явно приоритет получат технологии типа UDS в KIS и Sonar в NIS - т.е. системы, которые столкнувшись с подозрительной программой немедленно свяжутся с разработчиком, и получат из некоей мега-базы ответ, что делать. В такой ситуации качество детекта может быть весьма высоким при небольшом объеме баз - не придется таскать огромадные базы чистых и зловредных на каждый ПК
Это как - ждать ответа в онлайне?
Добавлено через 2 минуты
Сообщение от
herzn
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.
Последний раз редактировалось borka; 03.11.2008 в 18:29.
Причина: Добавлено
---
С уважением,
Borka.
-
Сообщение от
herzn
Приведенные примеры нельзя назвать даже фолсом.
Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей.
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
Пример с файлом, имеющим подозрительное имя как раз некорректнен - в системе такого нет, имя похоже на системное и т.п. - за такое можно поругаться. Но приведенный мной пример не такой - обычный EXE, импортирующий вполне легальные функции (документированные замечу) вполне стандартным образом, и к тому-же никак их не вызывающий ! И это пример 2, пример 1 воообще ничего не импортирует - просто у него в теле есть имена функций, которые он выводит на экран. И я видел сотни "детектов" разных безобидных утилит и программ только за то, что они статически импортят пару функций, содержат на свою беду неподходящие слова в константах или сжаты подозрительным пакером. С пакером то еще все более или менее ясно, но почему банальный импорт 1-2 функций приводит к детекту ? Вот в чем вопрос (причем эти импортированные функции никак не вызываются, а первый демо-пример то собственно ничего кроме вывода шуточных сообщений на консоль не делает ...).
Добавлено через 8 минут
Сообщение от
borka
1. Опять же - это только вы об этом знаете.
2.
Это как - ждать ответа в онлайне?
3. Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.
1. Не только я - антивирус по хорошему должен изучить поведение зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик
2. Именно так. И это общая тенденция, так как
2.1 у разработчика может стоять мега база, пополняемая постоянно зверями и чистыми. В результатет ее размер будет огромен, скажем десятки/сотни ГБ, поместить такую в антивирус нереально, равно как обновлять. Но ничто не мешает скажем антивусу собрать MD5 хеши неопознанного ПО и запросить такую мегабазу, запомнив ответ. Минус ясен - нужен Инет. Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
2.2 Встретив нечто с опасным поведением антивирус может не гадать, что делать - а запросить центр. Там будет накапливаться статистика таких запроросов, что позволит аналитикам в первую очередь пополнять базу тем, что вызывает наибольшие проблемы.
Причем время между запросом и ответом небольшое, скажем
максимум 1-2 секунды, поэтому часами ждать не придется
3. Он есть такой в AVZ, есть он в KIS (последний заметив запуск EXE с явно корявыми атрибутами и подозрительным именем может выдать алерт, типа вот дескать такое вот чудо-юдо стартует, запустить или как ?), но KIS в основном смотрит на объективные данные (предполагаетмое поведение и т.п.), а не на внешние признаки
Последний раз редактировалось Зайцев Олег; 03.11.2008 в 20:38.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. ...
ПК
Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура!
Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах.
ps Я не профессионал (прошу сильно не пинать меня), можно сказать - делитант. Поэтому хочу услышать авторитетного мнения. Спасибо!
-
Не совсем понял эту мысль.
Сообщение от
Зайцев Олег
антивирус по хорошему должен изучить поведение зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик...
Он есть такой в AVZ, есть он в KIS (последний заметив запуск EXE с явно корявыми атрибутами и подозрительным именем может выдать алерт, типа вот дескать такое вот чудо-юдо стартует, запустить или как ?), но KIS в основном смотрит на объективные данные (предполагаетмое поведение и т.п.), а не на внешние признаки
И что? Если это пустышка, так надо или не надо антивирусу реагировать? Может он или он должен? Я буду читать на экране безобидные, но совершенно лишние преведы от медведа или нет?
Сообщение от
Зайцев Олег
у разработчика может стоять мега база, пополняемая постоянно зверями и чистыми. В результатет ее размер будет огромен, скажем десятки/сотни ГБ, поместить такую в антивирус нереально, равно как обновлять. Но ничто не мешает скажем антивусу собрать MD5 хеши неопознанного ПО и запросить такую мегабазу, запомнив ответ. Минус ясен - нужен Инет. Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
Ясно. Тогда антивирь вообще не нужен никакой. На чистую систему ставится тупой блокиратор, который ждет ответа от мега-базы до принятия решения.
-
Сообщение от
Olegka-2007
Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура!
Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах.
ps Я не профессионал (прошу сильно не пинать меня
), можно сказать - делитант. Поэтому хочу услышать авторитетного мнения. Спасибо!
Говорить так уже глобально "делать ставку" наверное не стоит (от сигнатруного детекта например отказаться невозможно из-за однозначности вердикта), но технологии эвристического детектирования, оценки опасности и т.п. будут активно развиваться и совершенствоваться. В остальном тенденция идет к многоконтурной защите, т.е. не ставке на что-то одно в ущерб всему остальному, а именно на "контурах", каждый из которых подстраховывает и дополняет остальные. Это важно, так как этом никакие правила и никакой суперэвристик не даст 100% детекта, но довольно большую категорию заразы он перекроет (те самые 70%), что уже весьма хорошо. Прибавим к этому сигнатурный сканер, HIPS, PDM, Firewall - каждый компонент дает шанс на то, что он задавит что-то, пропущенное другим компонентом.
Добавлено через 8 минут
Сообщение от
ananas
1. Не совсем понял эту мысль.И что? Если это пустышка, так надо или не надо антивирусу реагировать? Может он или он должен? Я буду читать на экране безобидные, но совершенно лишние преведы от медведа или нет?
2. Ясно. Тогда антивирь вообще не нужен никакой. На чистую систему ставится тупой блокиратор, который ждет ответа от мега-базы до принятия решения.
1.1 Если речь идет чисто о сканере, типа Virustotal (он не знает, что за файл, как называется, откуда взят ..), то у сканера на него реакции быть не должно. Взять мои семплы ("ужасные вирусы" )- это же совершенно безобидные программы, которая ровным счетом ничего не делают, 4 строчки кода ... их вина только в том, что в их теле есть "нехорошие" константы или "нехороший" по мнению сканеров импорт в заголовке. Эвристик по хорошему должен посмотреть и понять, что в случае первого пример эти константы выводятся на экран, во втором - импорт есть, вызова нет - т.е. код неопасен, и реакция на него следовательно нулевая
1.2 Если речь идет о запуске реального EXE в реальной системе, то в принципе его можно обругать на "нехорошие" атрибуты, в особенности если стартует он скажем из корня диска или из системной папки под псевдосистемным именем. Но обругать не как злобный вирус или троян такой-то там, а именно как подозрительную программу ... Но и тут клеймить нещастную программу за пару констант в теле или за "нехороший" импорт совершенно недопустимо (взять например AVZ - когда его детектили несколько антивирусов эвристикой, детектили его именно за константы в теле, в частности за ключи реестра анализатора автозапуска).
2. Это конечно крайность, но в принципе да - если есть чистая система и некий анализатор, который при старте проверяет ЭЦП + при отсутствии таковой обращается к мега-базе частых/грязных, то все подписанное известными и довренными производителями софта будет пропущено, все злобное - убито. Остальное попадет аналитикам (как статистика того, что не опазналось, и юзер алерт - типа доверить или нет). Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо
Последний раз редактировалось Зайцев Олег; 03.11.2008 в 21:42.
Причина: Добавлено
-
-
Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо
Вообще то, я имел ввиду несколько не это. Черно-белые списки - это же стопроцентная гарантия или нет? Все "если" вообще станут не нужны, они будут использоваться лишь пока не закончится переходный период к созданию мега-баз. Запускается то, что по аналогии с виндой называется последняя удачная конфигурация или чистый образ. Остальное у клиента вообще не анализируется и не запускается до получения ответа из мега-базы. Если клиент что-либо хочет запустить, он знает, что должен быть в сети, и на отклик потребуется некоторое время. И в этом случае владелец мега-базы может даже продать клиенту гарантию на свои услуги. По другому я не вижу смысла "вбухивания миллионов в дата-центры" как еще один слой.
-
Сообщение от
ananas
Вообще то, я имел ввиду несколько не это. Черно-белые списки - это же стопроцентная гарантия или нет? Все "если" вообще станут не нужны, они будут использоваться лишь пока не закончится переходный период к созданию мега-баз. Запускается то, что по аналогии с виндой называется последняя удачная конфигурация или чистый образ. Остальное у клиента вообще не анализируется и не запускается до получения ответа из мега-базы. Если клиент что-либо хочет запустить, он знает, что должен быть в сети, и на отклик потребуется некоторое время. И в этом случае владелец мега-базы может даже продать клиенту гарантию на свои услуги. По другому я не вижу смысла "вбухивания миллионов в дата-центры" как еще один слой.
Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п.
В локальной сети проще - набор софта вполне конкретный, и в плюс к мегабазе глобальной админ в теории модет вести базу хешей файлов, которым по его мнению можно доверять (тот самый спец софт, самописные тулзы и т.п.). Т.е. все, что вне списка юзер запустить не сможет, и если сильно хочется - то ему придется идти сначала за пивом, потом к админам Не панацея, но в принципе защита от подавляющего числа вирусов несигнатурно... Причем по сути это уже делается за счет привилегий в домене с грамотным админом, только путь другой - вместо контроля по мегабазе чем-то там на машинах юзеров админ попросту обрезает юзерам права на установку и запуск любого ПО, все ставится централизованно или локально админом, и админ же дает права на использование. Путь далеко не всегда применимый, но эффективный до безобразия
Принцип "мегабазы" (кавычки опять же как не случайны ) дял детекта применяются у меня в сети - все легитимные файлы со всех ПК переловлены, посчитаны и описаны базой, и она поддерживается в актуальном состоянии - как что не так, можно моментально найти, что и где применяется из "левого" и пресечь. Ясное дело, что это не в реальном времени применяется, так как для реального времени нужно очень хорошо следить за такой базой и постоянно ее пополнять по десять раз на дню
-
-
Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п.
Олег, я такого подхода не понимаю. Или делать, или нет. Скооперируйтесть, чтобы работало как DNS. А то пролучится, что у Вас в базе то, что и без всяких запросов к базам общеизвестно и разрешено. Думаю, клиенты будут.
И еще. Вы сейчас сами критикуете идею, о которой выше сказали
Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
Похоже, не все так однозначно. Да и конкуренты не спят. Средства есть, а вкладывать их или нет - вопрос. Не вложить сейчас - упустить момент. А вложить, так отдача не очевидна.
Но! Я хоть и вступил в обсуждение, считаю идею дата-центров вредной. Нет такой коммерческой компании и тем более государственной, которой я как частное лицо доверю явно рыться на своем винте при любом раскладе.
А корпоративные базы и политики другое дело. Не интересно. Спасибо.
-
Сообщение от
ananas
Олег, я такого подхода не понимаю. Или делать, или нет. Скооперируйтесть, чтобы работало как DNS.
Важно понять, что многие проблемы нерешаемы глобально. Предположим, все скооперировались, все сделали ... но сидит программист, и правит баги в своей программе. Каждое нажатие кнопочки "компилировать" дает новое приложение с новым хешем - и каким образом это отследить и описать базой легитимного ПО (у программиста стоит такая система контроля по мегабазе и он не запустит ни одну из своих программ)? Т.е. получаем умножение количества нажатий кнопки "компилировать" на количество программистов, полученную цифру множим на количество того, что они могут компилировать И получаем огромадный поток того, что нужно изучить и поместить в базу легитимных ... а это нереально, ни сейчас, ни в будующем... (а плюс патченные крекерами файлы в великом множестве, всякие самосборки Windows, запакованные криптерами и продолжать можно до бесконечности). И юзеру не объяснить, что замечательная 157-я разновидность игры "Шарики", написанная соседом-студентом не работает из-за того, что не попала в базу ввиду ее распространенность всего на двух ПК... Реально поэтому другое:
1. Сделать мегабазу, но не глобальную, а скажем охватывающую 80-90% всего распространенного ПК. Это огромное подспорье антивирусу и любой системе безопасности. И это базу вести по мере возможности, понимая, что 100% всех существующих программ туда не загнать
2. Почти все крупные производители софта подписывают свои программы - следовательно, вместо базы хешей самих файлов можно создать базу вендоров, подписи которых мы доверяем. Это с одной стороны хуже (например, затесался в ряды фирмы X инсайдер, внедрил троянский код в компоненты X, а компания ее подписала и выкинула в Инет), но зато компактнее на много порядков и решает проблему, как узнавать каждый вариант софта компании X.
3. Подбивая статистику по запросам юзеров можно пополнять мегабазу п.п.1, внося в нее то, что чаще всего встречается на ПК юзеров ...
-
-
Олег, то, о чем Вы написали, лишь подтверждает, что кроме моего недоверия к самой идее баз, может быть и недоверие меньшего масштаба - недоверие к базе. Слишком много условностей. По-этому, думаю, что о пользе этого базового защитного слоя высказываются лишь те, кому нечего добавить в других слоях.
-
Сообщение от
ananas
Олег, то, о чем Вы написали, лишь подтверждает, что кроме моего недоверия к самой идее баз, может быть и недоверие меньшего масштаба - недоверие к базе. Слишком много условностей. По-этому, думаю, что о пользе этого базового защитного слоя высказываются лишь те, кому нечего добавить в других слоях.
Доверять или не доверять базам - это уже личное дело, деваться то некуда - базы есть и будут, без них никак - ибо любая эвристика, нечеткая логика и т.п. не могут без них. Пример - дебаггер. Если формально на него посмотреть, то что это ? Это какая-то программа, которая вмешивается в работу других программ, читает/пишет их память, модифицирует машинный код и т.п. - чем не злобный вирус ? Или взять например тулбар - в чем разница между тулбаром, который содержит удобные фичи для поиска и тулбаром, который требует энную сумму за разблокировку выхода в Инет или крутит баннеры ?! С технической точки зрения разницы то по сути никакой ... и только база, содержащая экспертную оценку конкретного объекта помогает расставить все точки над i. Еще пример - руткит, защищающий файлы зловреда, и скажем Acronis True Image 11, защищающий папку со своими резервными копиями. С технической точки зрения разницы между Acronis и руткитом нет - оба делают одно и тоже, только руткит из злобных побуждений, а Acronis - из благих. И таких примеров можно приводить сотни, когда формально нет разницы между зловредом и полезной программой нет ...
-
-
Что можно пожелать ЛК, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...?
Линейкой измеряли?
Как ваш пост относится к теме?
Я в тестах anti-malware и других по поиску и лечению/удалению зловредов
никогда особо не углублялся. Я больше интересуюсь файрволами.
Выделено мну. Ну если не угублялись, то к чему столько страниц?
всем остальным следовало бы молчать и ахнуть от восхищения.
Всем остальным следовало лечить буткит и русток, а не пеарится..
-
-
Олег, снова меняемся местами?
Новый стопроцентнонадежный слой, требующий к тому же миллионых затрат, имеет смысл быть только, если это обеспечит переход на новый революционный уровень защиты от сервиса приложения усилий к сервису с гарантией.
А если при этом опять вспоминать про отсутствие стопроцентной защиты, то отношение к этой и подобным ей инициативам у меня лишь такое, как к очередной рекламной акции по промыванию мозгов.
Доступно это в корпоративной среде - хорошо, кто спорит. Не доступно глобально - разницы в принципе нет. Оптимизации, ускорения, улучшения и т.д. - все это полезно и хорошо. Но это не есть революция или, кому больше нравится, глобальный переворот. 52, 68, 70, 97, 98, 99, 99.9999 < 100. А в реальной жизни и этих тестовых показателей еще надо очень постараться достичь. Желаю антивирусных успехов.
-
Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом?
-
Сообщение от
Wayfarer
Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом?
Собственно файлы заражал только русток.
От остальных надо было зачищать систему. См. эксельку к тесту - там все написано.
-
-
Сообщение от
Зайцев Олег
И я видел сотни "детектов" разных безобидных утилит и программ только за то, что они статически импортят пару функций, содержат на свою беду неподходящие слова в константах или сжаты подозрительным пакером. С пакером то еще все более или менее ясно, но почему банальный импорт 1-2 функций приводит к детекту ?
Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.
Сообщение от
Зайцев Олег
1. Не только я - антивирус по хорошему должен изучить поведение зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик
ИМХО, только за счет неслабого снижения скорости работы.
Сообщение от
Зайцев Олег
И это общая тенденция,
Тогда в перспективе антивирус не потребуется. При запуске каждого файла будет производиться сверка его контрольной суммы с базой чистых.
-
Сообщение от
borka
Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.
ИМХО, только за счет неслабого снижения скорости работы.
Тогда в перспективе антивирус не потребуется.
При запуске каждого файла будет производиться сверка его контрольной суммы с базой чистых.
Эмулятор дейстивтельно требует времени, но в ответ он дает качество. Если скажем проверять с эмуляцией не все подряд, а только запускаемые файлы и только один раз (кешируя р-ты проверки), то потери быстродействия не будет.
Я с мегабазами да, согласен - это уже не столько антивирус выходит, сколько распределенная система типа свой/чужой
-
-
Сообщение от
Зайцев Олег
Я с мегабазами да, согласен - это уже не столько антивирус выходит, сколько распределенная система типа свой/чужой
Эвристика уже находится на максимуме своих возможностей?
Может разработчикам антивирусной защиты пора уже переквалифицироваться - одним садиться за создание черно-белых датацентров, а другим - за повышение надежности программ теневого копирования?
Какая разница, сколько новых вирей появляется, миллион или миллиард, если они все, а не пятнадцать избранных, гарантировано лечатся одним единственным откатом. Если создатели программ теневого копирования возьмутся за активное перевоспитание домохозяек, еще не известно, чья возьмет.
-
Сообщение от
ananas
Какая разница, сколько новых вирей появляется, миллион или миллиард, если они все, а не пятнадцать избранных, гарантировано лечатся одним единственным откатом.
- Лечатся ли откатом сворованные пароли?
- Лечатся ли откатом переведенные с банковского счета деньги?
- Лечатся ли откатом сворованные документы?
Все это не лечится ни откатом, ни "лечением активного заражения", увы. Поэтому не надо переводить разговор в неконструктивное русло. Область применения антивируса ограниченна, но отнюдь не стремится к нулю, как Вы это решили представить публике. А область действия бекапа отнюдь не бесконечна.
Последний раз редактировалось DVi; 09.11.2008 в 19:30.
-