Бета-тестирование антивируса "ВирусБлокАда"

[serge]

Не подскажите, а ошибка связанная с обновлением с использованием NTLM тут исправлена или еще нет? Просто так качать не очень хочется.

Так об этом и речь, добавлена поддержка авторизации на прокси, в том числе и NTLM. Для указания логина/пароля используется ключ /u=, причем если задать просто '/u=', т.е. без параметров, то программа сама спросит имя пользователя и пароль, если задать '/u=имя_пользователя', то программа попросит ввести только пароль. Если указать полностью '/u=имя_пользователя:пароль', то программа ничего спрашивать не будет, но хранить пароль в батнике не очень хорошо в плане безопасности.

В любом случае, если будут какие проблемы, пиши, постараемся исправить. Ты пока единственный, кто просил поддержку NTLM прокси

[serge]

На обновление выложена новая бета-версия. Теперь сканер работает заметно быстрее в режиме максимальной эвристики (точнее, теперь эвристика не так сильно замедляет работу), поддерживается больше упаковщиков, в консольный сканер добавлено детектирование в памяти активных rootkit'ов, со следующего обновления размер скачиваемых данных при обновлении должен быть намного меньше (теперь для daily.udb используются обновление с помощью бинарных патчей как и для исполняемых модулей). В комплекс с графическим интерфейсом включена поддержка Security Center Windows XP SP2 (теперь винда признает нас за антивирус ).

[Geser]

в консольный сканер добавлено детектирование в памяти активных rootkit'ов

Эвристика или по сигнатурам?
Кстати, как на счет защиты реестра. Не планируется?

[Dr.Xmas]

Эвристика или по сигнатурам?

алгоритмы по обнаружению потенциальных руткитов, без сигнатур

Кстати, как на счет защиты реестра. Не планируется?

планируется, чуть позже. планов громадьё, планируем последовательность

[Geser]

алгоритмы по обнаружению потенциальных руткитов, без сигнатур

Вот это класс

[serge]

Вот это класс

Если честно, все пока довольно примитивно, просто используется функция обнаружения наличия руткита, взятая из программы antikit, если еще кто помнит такую Антивирус просто детектирует перехват API-функций и выдает предупреждение об этом (GUI версия комплекса еще и предлагает пользователю исправить перехваченные функции для того, чтобы можно было искать "спрятанные" файлы), вся теория очень хорошо описана Олегом. Кстати, AVZ детектирует руткиты на данный момент надежнее - контролирует больше функций из различных библиотек, но и ложных срабатываний дает больше.

Данный механизм уже довольно давно используется в бета версии GUI-сканера, но до сих пор мы не получили вообще ни одного отзыва от пользователей. В общем, причин может быть много:
1. У пользователей руткитов нет
2. В алгоритме детектирования есть ошибки и он просто "не видит" руткитов
3. GUI-версию антивируса просто никто не использует

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

[Geser]

Исходя из предположения, что имеет место быть пункт номер 3, было и принято решение добавить этот код в консольный сканер.

GUI версию использовали бы, если бы она была бесплатной и работала без инсталяции. Сегодня таких продуктов просто нету, думаю такая вещь пользовалась бы большой популярностью.

[Minos]

Ребят, а как насчет шифрования файла лицензии после предъявления его антивирусу (имеется в виду хранение ключа на диске в зашифрованном виде, причем шифровать с применение уникального ключика, генерирующегося при инсталляции), а то трудно закрыть к нему доступ для пользователей особенно под Windows 9X. А любопытных море, знаю по DrWeb, ключики могут ненароком "уплыть".

[Minos]

Поздравляю любимый антивирус с 50000 отметкой!!! Полдороги до 100000 записей пройдено, так держать. Берегись KAV!!!

[Dr.Xmas]

консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_fi...07-beta.tar.gz

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

[Dr.Xmas]

антивирусный ICAP-сервер можно взять по адресу http://www.ant-virus.by/download_fil...p20050204.tbz2

[Dr.Xmas]

освежили консольную версию для Windows-систем. архив по адресу http://www.anti-virus.by/download_fi...a-20050208.zip

[Andrey]

VBA32 пропускает уже давно известные вирусы.
К примеру: попытайтесь скачать с _http://www.crack.am любой файл и все поймёте.
Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

[pig]

Так подарите им вашу коллекцию.

[Geser]

Да и из моей коллекции с максимальными настройками видит не более ~ 60% malware. Даже хваленый эвристик не помогает.
Но в любом случаи удачи проекту.

Ну так помоги людям. Думаю Вам будет чем обменяться

[Geser]

Так подарите им вашу коллекцию.

О, pig меня опередил
И с Олегом думаю будет чем поменяться. Ему тоже пригодится
А в обмен мы поделимся тм что на форуме собираем.

[Andrey]

А смысл?
Все равно быстро устаревает.
Каспер 90% детектит.
А остальные х...ен поймешь: одни конторы считают вирусами другие нет.

Антивирусы лечат последствия, а не причину.

[Участковый]

Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?

[Dr.Xmas]

[quote author=Участковый link=board=18;threadid=144;start=120#msg6473 date=1107883600]
Хотелось бы узнать у разработчиков, насколько эффективность эвристика в финальной версии (той, что за деньги продаётся) отличается от беты?
[/quote]
пока она ниже, чем в бете. релиз поставляется корпоративным клиентам, где зачастую за компами сидят тётушки-бухгалтера. чтобы их не пугать, релиз детектит только самые стабильные группы, которые встречаются в "живой" природе. в бете у нас слегка "развязаны руки", можем экспериментировать. сейчас постепенно начнём перетаскивать записи из беты в релиз.

[dmi]

консольный антивирусный сканер "ВирусБлокАда" для Linux-систем можно взять по адресу http://www.anti-virus.by/download_fi...07-beta.tar.gz

у кого есть возможность, потестируйте плиз и выскажите свои замечания/пожелания

А для FreeBSD? (и ICAP-сервер тоже)
Или они итак для неё подходят?
ICAP-сервер и под Windows не помешал бы...