Twister Anti-TrojanVirus

[rayoflight]

Не нашёл здесь упоминания об этом продукте.А он,как говорят,защищает компьютеры правительства Китая.
Домашняя страница http://www.filseclab.com/eng/products/twister.htm
Для желающих попробовать имеется 30-дневный триал (с регистрацией 90 дней).При покупке пожизненная лицензия за 29.99$
Интересно было бы послушать ваши мнения.

[senyak]

Если чесно, то даже не слыхал о таком... Антивирус лучше, чем все эти анти-трояны (имхо)

[ALEX(XX)]

Посмотрел я его, нашёл сразу один мелкий баг, но он не критичный, так что его опустим. Вобщем, как я понял, это штука типа антивирус совмещённый с антируткитом. Есть десяток встроенных утилит, по типу как в АВЗ. Есть полезная фича - отправка подозрительных фалов аналитикам. Есть в составе утилита "Power Removal", предназначенная для удаления "трудноубиваемых" зверюк. Для удаления - надо указать полный путь к файлу. Правда, что делать если зверюка очень хитро прячется, непонятно. Ресурсов кушает немного. Есть какая-то иммунизация, не очень разобрался с её приколом. Есть встроенный диспетчер процессов, который предназнаяен для убиения процессов, которые через диспетчер задач не убиваются. Кстати, через диспетчер задач убить процесс антивируса нельзя, но через его диспетчер - можно Убивается без вопросов и не восстанавливается. Что сильно не понравилось, так это то, что лажает... И хорошо. Я взял чистую систему Win XP Pro SP3 и результат можно увидеть на скриншоте. Что будет, если он посчитает системные файлы вот таким образом, остаётся только догадываться...
И кстати, несмотря на невозможность убиения процесса через диспетчер задач, из автозагрузки он спокойно убирается и при следующей загрузке, антивирус мирно спит.
Моё мнение (могу ошибаться): Если действительно прав-во Китая пользуется таким антивирусом, то удачи им на этом нелёгком пути

[rayoflight]

ALEX(XX)
--------------------------------------------------------------
Я взял чистую систему Win XP Pro SP3 и результат можно увидеть на скриншоте. Что будет, если он посчитает системные файлы вот таким образом, остаётся только догадываться...
--------------------------------------------------------------
Значит,когда другие антивирусы (причём очень известные) считают системные файлы вирусами и убивают их,то это нормально.А тут сразу паника...Как-то предвзято получается.
Что будет?Ничего не будет,он не удаляет автоматом.
Странно,у меня точно такие же файлы он не посчитал вирусами.
Между прочим,фолсы можно было бы послать на исправление прямо из самой программы,а заодно посмотреть на скорость исправления. (новые вирусы они вносят в базы очень оперативно).
На моей памяти единственный антивирус,у которого нет ложных срабатываний,это Norton AV.

Если действительно прав-во Китая пользуется таким антивирусом, то удачи им на этом нелёгком пути

У меня точно такое же мнение сложилось насчёт правительства другой страны с их антивирусом VBA32

senyak
Это и есть антивирус,читаем название повнимательнее.Или им нужно было два раза написать слово Anti?

[Groft]

У меня точно такое же мнение сложилось насчёт правительства другой страны с их антивирусом VBA32

C этого места по-подробней пожалуйста
Какая взаимосвязь между Vba32 и правительством, не считая того, что он там стоит? Обоснуйте

[senyak]

Хм... у меня антивирусы не считают такие файлы, как написал "ALEX(XX)" вирусами. Если удалить svchost - пропадет интернет и может больше даже. Не все же поймут, что это не вирус. Да, действительно "антивирус" в ковычках. Вообщем удачи Китайцам

[rayoflight]

senyak

как написал

Полезно иметь собственное мнение.

у меня антивирусы не считают такие файлы вирусами

А у меня Twister и не считал точно такие же файлы вирусами.И что?

Groft
Если следовать логике уважаемого ALEX(XX),который из-за ложных срабатываний пожалел правительство Китая,я имел неосторожность провести некоторую параллель,поэтому сказал тоже самое в отношении VBA32 и правительства,его использующего,так сей продукт убил в своё время мою машину и без всяких ложных срабатываний.Тем не менее я не делаю из этого трагедии и не спрашиваю,почему VBA32 висит в списке рекомендованных на этом форуме.Хотя ложных срабатываний у него тоже более чем достаточно.
Только и всего.

[senyak]

Отключи эврестику и ложных срабатываний не будет. Как по мне, так он более-менее нормальный.

[Groft]

Если следовать логике уважаемого ALEX(XX),который из-за ложных срабатываний пожалел правительство Китая,я имел неосторожность провести некоторую параллель,поэтому сказал тоже самое в отношении VBA32 и правительства,его использующего

vba32 существует с 1994 года, а не с прошлого или позопрошлого В провительстве сидят не дураки и знают, что у них стоит. Замечу, что Vba32 - это коммерчиский продукт, а не государственный.

как сей продукт убил в своё время мою машину и без всяких ложных срабатываний

Вы имеете ввиду некорректно удалил вирусы?

Тем не менее я не делаю из этого трагедии и не спрашиваю,почему VBA32 висит в списке рекомендованных на этом форуме.Хотя ложных срабатываний у него тоже более чем достаточно.

Ложняки есть, без них никак

senyak
Отключи эврестику и ложных срабатываний не будет. Как по мне, так он более-менее нормальный

Большенство ложных срабатываний срабатывает на паранои и это нормально (и об этом предупреждается при установки сей эвристики). На оптимальном и максимальном эврестическом аналазе ложных срабатываний практически нет.

[ALEX(XX)]

Значит,когда другие антивирусы (причём очень известные) считают системные файлы вирусами и убивают их,то это нормально.А тут сразу паника...Как-то предвзято получается.
Что будет?Ничего не будет,он не удаляет автоматом.

Э.... Уважаемый, Вы несколько не так поняли моё вывод. Да ещё сходу целую теорию вывели... Да, мне эти ложняки не понравлись, но ложняки это не единственная проблема данного продукта
Объясняю. То что он фолсит, это не есть хорошо. Причём он сфолсил на ровном месте. Как по мне, если я уж и включаю расширенную эвристику, то я в курсе, что возможен повышенный уровень ложных срабатываний. Но в этом случае, ИМХО, это перебор. Вот у NOD32 замечательный анализатор, за 2 года ложняки я видел 3-4 раза... Хотя эвристический анализатор был выкручен на максимум
Этот антивирус слишком слабо самозащищается. Его старт зависит от простенькой строчки в автозапуске, причём сам антивирус никак не отслеживает целостность этой строки. Поскольку антивирус стартует не как сервис, то и при убиении его процесса, этот антивирус не пытается перезапуститься. Даже NOD32 (да, у него слабая самозащита) по сравнению с этим продуктом - неприступная крепость. Поскольку порядочное кол-во троянов нацелено убить антивирус, дабы никто не мешал работать, то противостояние будет в этом случае, недолгим.

Добавлено через 2 минуты

Отключи эврестику и ложных срабатываний не будет. Как по мне, так он более-менее нормальный.

А в чём он нормальный?

[Alex Plutoff]

-ALEX(XX), а что у Win XP Pro SP3 действительно iexplore.exe лежит в C:\Windows\ie7 ?..

Добавлено через 10 минут

-мне кажется, что C:\Program Files\Internet Explorer для него самое место, а вот iexplore.exe в %SYSTEMROOT% у меня тоже вызвал бы интерес

[Groft]

А в чём он нормальный?

Вы про эвристику или сам АВ продукт?
ps не могу понять.

[mayas]

на VBA не наезжать! он порой своей пароноидальной эвристикой очень выручает! и все по делу

касаемо сабжа - никак вообще!
если б мне даже каждый месяц платили 29.99$ за то что я это использую, не поставил бы!

[zerocorporated]

если б мне даже каждый месяц платили 29.99$ за то что я это использую, не поставил бы!

а я бы поставил... но не включал бы просто.

[Alex_Goodwin]

-ALEX(XX), а что у Win XP Pro SP3 действительно iexplore.exe лежит в C:\Windows\ie7 ?..[

В этой папке лежит копия 6 эксплорера, создается после установки 7, для возможности отката на 6.

[senyak]

Ну VBA как-то ставил и это лучше чем некоторые остальные продукты... А этот антивирус - очередная погремушка

[Alex Plutoff]

В этой папке лежит копия 6 эксплорера, создается после установки 7, для возможности отката на 6.

-спс, теперь и мне понятно... (Вы наверное не уловили сарказм в моем вопросе)
...разумеется так бывает, если ставить IE7 из дистрибутива, взятого с Internet Explorer Downloads

[Зайцев Олег]

Я потестировал этот продукт - поразительная штука. На эталонной системе тут-же детект Trojan.Patched.bh.hofo (в файле C:\WINDOWS\system32\svchost.exe) и трояна Trojan.Patched.bb.lzvb.dll в USER32.dll. Я нажал "лечить" и он убил систему Базы размером 30 мб, зашифрованы, но не сжаты. судя по ложнякам я могу предположить (это не более чем мое предположение), что они балуются так называемым "воровством сигнатур" (т.е. детектят например по MD5 первого килобайта файла не сильно задумываясь о том, что это такое - главное, что на что-то похожее когда-то какой-то антивирь среагировал) ...

[kps]

Да, странное обращение с одним из главных файлов ОС.