Бета-тестирование антивируса "ВирусБлокАда"

[QUOTE=kvit]
Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.
[/QUOTE]
Так об этом и речь, добавлена поддержка авторизации на прокси, в том числе и NTLM. Для указания логина/пароля используется ключ [b]/u=[/b], причем если задать просто '/u=', т.е. без параметров, то программа сама спросит имя пользователя и пароль, если задать '/u=имя_пользователя', то программа попросит ввести только пароль. Если указать полностью '/u=имя_пользователя:пароль', то программа ничего спрашивать не будет, но хранить пароль в батнике не очень хорошо в плане безопасности.

В любом случае, если будут какие проблемы, пиши, постараемся исправить. Ты пока единственный, кто просил поддержку NTLM прокси :)

На обновление выложена новая бета-версия. Теперь сканер работает заметно быстрее в режиме максимальной эвристики (точнее, теперь эвристика не так сильно замедляет работу), поддерживается больше упаковщиков, в консольный сканер добавлено детектирование в памяти активных rootkit'ов, со следующего обновления размер скачиваемых данных при обновлении должен быть намного меньше (теперь для daily.udb используются обновление с помощью бинарных патчей как и для исполняемых модулей). В комплекс с графическим интерфейсом включена поддержка Security Center Windows XP SP2 (теперь винда признает нас за антивирус :) ).

[QUOTE=serge]
в консольный сканер добавлено детектирование в памяти активных rootkit'ов
[/QUOTE]
Эвристика или по сигнатурам?
Кстати, как на счет защиты реестра. Не планируется?

[QUOTE=Geser]
Эвристика или по сигнатурам?
[/QUOTE]
алгоритмы по обнаружению потенциальных руткитов, без сигнатур

[QUOTE=Geser]
Кстати, как на счет защиты реестра. Не планируется?
[/QUOTE]
планируется, чуть позже. планов громадьё, планируем последовательность

[QUOTE=Dr]
алгоритмы по обнаружению потенциальных руткитов, без сигнатур
[/QUOTE]
Вот это класс :)

[QUOTE=Geser]
Вот это класс :)
[/QUOTE]
Если честно, все пока довольно примитивно, просто используется функция обнаружения наличия руткита, взятая из программы [url=http://virusinfo.info/index.php?board=25;action=display;threadid=87]antikit[/url], если еще кто помнит такую :) Антивирус просто детектирует перехват API-функций и выдает предупреждение об этом (GUI версия комплекса еще и предлагает пользователю исправить перехваченные функции для того, чтобы можно было искать "спрятанные" файлы), вся теория очень хорошо описана Олегом. Кстати, AVZ детектирует руткиты на данный момент надежнее - контролирует больше функций из различных библиотек, но и ложных срабатываний дает больше.

Данный механизм уже довольно давно используется в бета версии GUI-сканера, но до сих пор мы не получили вообще ни одного отзыва от пользователей. В общем, причин может быть много:
1. У пользователей руткитов нет
2. В алгоритме детектирования есть ошибки и он просто "не видит" руткитов
3. GUI-версию антивируса просто никто не использует

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

[QUOTE=serge]
Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.
[/QUOTE]
GUI версию использовали бы, если бы она была бесплатной и работала без инсталяции. Сегодня таких продуктов просто нету, думаю такая вещь пользовалась бы большой популярностью.

Ребят, а как насчет шифрования файла лицензии после предъявления его антивирусу (имеется в виду хранение ключа на диске в зашифрованном виде, причем шифровать с применение уникального ключика, генерирующегося при инсталляции), а то трудно закрыть к нему доступ для пользователей особенно под Windows 9X. А любопытных море, знаю по DrWeb, ключики могут ненароком "уплыть".

Поздравляю любимый антивирус с 50000 отметкой!!! Полдороги до 100000 записей пройдено, так держать. Берегись KAV!!!

консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу [url]http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz[/url]

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

антивирусный ICAP-сервер можно взять по адресу [url]http://www.ant-virus.by/download_files/vbaicap20050204.tbz2[/url]

освежили консольную версию для Windows-систем. архив по адресу [url]http://www.anti-virus.by/download_files/vba32-console-scanner-beta-20050208.zip[/url]

VBA32 пропускает уже давно известные вирусы.
К примеру: попытайтесь скачать с _http://www.crack.am любой файл и все поймёте.
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

Так подарите им вашу коллекцию.

[QUOTE=Andrey]
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.
[/QUOTE]
Ну так помоги людям. Думаю Вам будет чем обменяться ;)

[QUOTE=pig]
Так подарите им вашу коллекцию.
[/QUOTE]
О, pig меня опередил :)
И с Олегом думаю будет чем поменяться. Ему тоже пригодится :)
А в обмен мы поделимся тм что на форуме собираем.

А смысл?
Все равно быстро устаревает.
Каспер 90% детектит.
А остальные х...ен поймешь: одни конторы считают вирусами другие нет.

Антивирусы лечат последствия, а не причину.

Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

[quote author=Участковый link=board=18;threadid=144;start=120#msg6473 date=1107883600]
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?
[/quote]
пока она ниже, чем в бете. релиз поставляется корпоративным клиентам, где зачастую за компами сидят тётушки-бухгалтера. чтобы их не пугать, релиз детектит только самые стабильные группы, которые встречаются в "живой" природе. в бете у нас слегка "развязаны руки", можем экспериментировать. сейчас постепенно начнём перетаскивать записи из беты в релиз.

[QUOTE=Dr]
консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу [url]http://www.anti-virus.by/download_files/vba32cl-3.10.3-20050207-beta.tar.gz[/url]

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания
[/QUOTE]

А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...