В "Менеджере автозапуска" не перечислены программы из меню "Startup" для пользователя домена, который работает на этом компьютере.
В "Менеджере автозапуска" не перечислены программы из меню "Startup" для пользователя домена, который работает на этом компьютере.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Зря ты меня не слушаеш. Для тех операционок где можно определить какои процесс слушает определённый порт нужно делать правила привязанные к процессам. Потому как из за ИЕ отменять проверку портов 1000-2000 для всех процессов не имеет смысла.Сообщение от Зайцев Олег
Исследование системы.
Ну жн бы наоборот, быделять цветом процессы, а цвет строк подгруженных ими длл что бы совподал с цветом фона. Так же заголовок таблицы (например Автозапуск
) должен отличаться от цвета фона, а все остальмые строки совпадать.
В списке драйверов почему-то в основном отсутствуют названия файлов
1. Названия файлов в списке драйверов могут отсутствовать - есть двайвера, у которых не возвращается имя файла ... пример - Beep, Null и т.п. - их можно отфильтровать.
2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю)
3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247 ... нужно еще aintrust послушать, может он выскажет мнение по портам ...
С цветами в общем всё нормально. Просто логика сделана наоборот. Заголовки таблиц должны отличаться о цвету от цвета фона, а сейчас наоборот. Заголовки цветом фона, а всё остальное отличается2. Цвета я поменяю (желательны предложения, т.к. я их не очень то и различаю
То же и с процессами. Строки названия процесса должны отличаться от цвета фона, а строки длл совпадать.
А вообще есть проблемка. Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее.
Так для каждого процесса можно определить не порт, а диапазон портов которые он обычно случает, и ругаться на всё остальное.3. насчет портов - варианты продумываются, но связка порт-процесс пока не проходит - есть же динамическое названием порта, ... оно непредсказуемо/ Ближайший пример - порты UDP, открывемые в IE - я попробовал несколько раз его запустить - и получил порты 1089,1230, 1247
Извини, может я чего-то не понял, но ведь на тех портах, которые слушает легитимный процесс может и бяка сидеть, или я не прав?
Может, но тогда делать нечего. Можно только быдавать предупреждения о нестандартных портах.
Жалко под 2000 не отображается связка "порт-процесс"
У меня сейчас, на домашнем, Миранда сегодня сидела на 1034 порту... перезапустил её, перестала
У меня порой Нортон тоже 1034 порт использует
У меня такая вешь. При копировании текста из лога АВЗ он становится следующим. Наверное, 866 кодировка используется. Можно и виндовую прикрутить. Хотя, может это только у меня.
Ïðîòîêîë ; àíòèâèðó&# 241;íîé óòèëèòû AVZ âåðñèè 3.60
Ñêàíèðîâ&# 224;íèå çàïóùåíî ; â 25.06.2005 11:32:52
Çàãðóæåí&# 224; áàçà: 14656 ñèãíàòóð ;, 1 íåéðîïðî&# 244;èëü, 55
Известная проблема. Сохранить лог вфайл и всё будет хорошо.
После выделения того, что надо скопировать, переключить язык в "Ru" на панели задач. А затем уже копировать.
Да, к сожалению есть такой баг - причем он прочвляется во всех писанных на Delphi программах. Я удавлю это в очередной версией перехватом Ctrl-C, Ctrl-Inst и меню по правой кнопке.
----
Я зыбыл анонсировать еще одну "фичу" нового AVZ ... по многочисленным просьбам введен режим действий, доступный для всех категорий зловредных программ - "спросить пользователя" (до этого было только "удалить" и "только отчет)". Если его выбрать, то AVZ для каждого объекта выводит окно с полным именем объекта и названием обнаруженного зверя.
В "Исследовании системы" есть проблемы с выделением цветом процессов и DLL, они часто путаются, т.е. некоторые процессы имеют цвет DLL, и наоборот.
Поддерживаю предложение Geser'а:И тогда можно забыть про выделение цветом строк и выделять только шапки таблицы.Одни и те же длл дублируются для разных процессов. Неудобно и засоряет лог. Предлагаю так. Список всех процессов, а ниже список длл, и для каждой длл список PID процессов в которые она загружена. Будет намного нагляднее.
Кстати, неплохо бы, как раньше, выделять безопасные файлы зеленым цветом (и/или шрифтом).
Еще хорошо бы в таблицы добавить колонки с размерами файлов. Будет проще отделить безопасные файлы от "зверей", которые имеют, как правило, небольшой размер.
Олег, пару раз высылал вам системные файлы с расширением *.IME, *.TSP, а в базе безопасных их нет...
С *.IME, *.TSP проблема скоро разрешиться - как легко видеть из доработок AVZ я открываю сезон охоты на "правильные" файлы.
Теперь насчет размеров - есть два пути - добавить колонки или сделать имя файла гиперссылкой - при ее нажатии будет выскакивать окно со свойствами файла (размер, полные копирайты, данные о формате, упаковщике ...). Экспериментальный вариант есть - через обычный alert в javascript.
По поводу цветов - получается, что нужны цвета:
1. Цвет фона
2. Цвет и оформление заголовка
3. Цвет и оформления безопасного файла
4. Цвет и оформления небезопасного файла
плюс для выделения DLL
5. Цвет и оформления безопасного DLL файла
6. Цвет и оформления небезопасного DLL файла
Есть предложения ? (т.е. прямо цыета в HEX виде, я их забью в AVZ
Насчет предложения сделать DLL отдельно, без повторов - это и хорошо, и не очень ... выход таков - я делаю опцию, которая становится доступной при включении птички "Библиотеки процессов" - с помощью этой опции можно будет выбрать режим (как сейчас или два списка - exe и DLL). Для раздельного списка я в списке DLL добавляю столбец PID, там список PID процессов, причем каждый будет гиперссылкой для прыжка на строку процесса в списке процессов.
Насчет отображения "безопасных" и "опасных" портов надо подумать и попробовать накопить какую-то мало-мальскую статистику использования портов системными процессами (для начала). На мой взгляд, речь должна идти только о портах в режиме 'listening', т.к. все остальное может быть непредсказуемо и меняться как угодно, но таких портов будет совсем немного, хотя уже даже это исключит большую часть предупреждений.
И еще: пользователя смущает сообщение "Опасно... и.т.д.", связанное с обнаружением номера порта из базы "опасных" портов. Подобная ситуация была (и есть до сих пор) с нейросетью и кейлоггерами. Большинство народа почему-то сразу же решило, что если обнаружен кейлоггер, то это нечто страшное. Я говорил тебе об этом с самого начала, и потом пришлось долго еще объяснять, что имелось ввиду совсем другое.
Помимо этого, стоит проверять (эвристикой или еще как-то), нет ли в системе следов "зверя", который связан с этим опасным портом и сказать об этом пользователю (типа найдено/нет)
Кроме того, для процессов, инициированных .exe-шниками Microsoft, обязательно нужно проверять цифровую подпись и, возможно, целостность модуля в памяти (надо подумать об этом на досуге).
Иными словами, стоит подумать не только о накоплении статистики по портам и возможной реализации предложения Geser-а, но также и о том, как можно "улучшить" существующее на сегодяшний день решение.
И еще: документация! Надо в доке побольше разъяснять, что и как! Хотя хелпы редко кто читает, но все же! Это могло бы снять часть недоуменных вопросов.
UPnP, вообще-то, сервис сам по себе небезопасный...
А какой, по вашему мнению, безопасный?
А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.
тут просто проблема в том, что это для нас понятно - опасный, безопасный ... а беда в том, что увидев такое предупредление пользователь может поубивать подозрительные файлыА какой, по вашему мнению, безопасный?
А что касается именно UPnP, то, к сожалению, во многих случаях это "неизбежное зло", как, впрочем, и большинство системных сервисов.
Ваши права в разделе
