Др. Уеб - это антивирус, а не то, что вы подумали. http://gazlan.freetzi.com/opinion.html http://gazlan.freetzi.com/opinion/dr.web.djvu (3,996,544)
Phyber В том, что программа существующая не один год и настойчиво предлагаемая для покупки (и как бы от одного из "ведущих производителей") написана на "студенческом" уровне, имеет просто "никакую" функциональность и юзабилити. Я уж промолчал о том, что не каждый раз скачанная с сервера версия вообще запускается, а быстродействие таково, что средний "дневной улов" может проверяться несколько суток. При этом хваленая эвристика выдает немыслимую кучу ложных оповещений, но не ловит старинный DOS-овский троян "Andrusha", в котором открытым текстом прописано "FORMAT C".
Phyber Ну, когда файлов немного, мне проще глазами посмотреть - нет ли чего подозрительного. Когда десятки и сотни - нужна какая-то автоматизация. Попробовал разных AV, выдача False Alarm просто зашкаливает, к тому же, из бесплатного выбрать почти нечего, возиться с крэками и проч. просто лень. В целом, "по очкам" (меньше качать, меньше ложных срабатываний) CureIt! оказался лучше других - по "принципу наименьшего ущерба" и, хотя душа к даниловским продуктам никогда не лежала, иногда пользуюсь ("ежики кололись, плакали...").
ну не знаю, напишите доктору вебу письмо и приложите документ, может прислушаются и возьмут вас к себе консультантом.
Не сказал бы что dr.web такой уж хороший, но cureit часто просто незаменим в экспресс проверке и вычищении стандартных вирусняков в отличие от тулзы касперского.
Phyber В конце 90-х, когда я занимался всем этим гораздо активнее и отлавливал много всякого нового и разного, взялся было посылать новинки в AV-фирмы. Единственным ответившим был Евгений Касперский. Отвечал, обычно, той же ночью. Исключением стал только почтовый Steals Trojan (переходивший в Ring0, 9x), с которым они провозились чуть не месяц . Так что, смысла писать г-ну Данилову не вижу никакого.
gazlan Долго думали запихнуть свои мысли в djvu формат? По самой статье много спорных моментов, к примеру, запуск 2 копий оправдан вполне, у меня был червь, который заражал запускаемые exeшки, так вот, пришлось одной копией лечить другую. Еще не указана конфигурация машины на которой был запуск, вполне мб что это P2, чему тогда удивлятся. PS сам я с др въёбом ни в коей мере не связан, рассматривайте сий пост как частное мнение.
Clyde Нет, как-то по вдохновению Кстати да, забыл упомянуть - Уеб мало того, что заражается чем попало, так еще даже не имеет самодиагностики. При том, что такие техники в AV используются уже больше 20 лет, со времен DOS. Эташ.
Прочитал ваш труд, веб не юзал. Если верить вам, то это просто феерический щит, начиная от интерфейса и заканчивая функционалом. Но вы вроде юзали сканер, не вижу причин почему сканер нельзя заразить. И почему на картинках такое ужасное месиво из сплешей и кривого интерфейса?
Booster Точно так же заражается и полная версия - попадались сборки на пиратских компактах. Ни самодиагностики, ни SelfRepaire в нем нет. В старых DOS-AV (CP Antivirus etc) - были. Вы у меня спрашиваете? Я кроме PrtScr, Paste/Save и кнопок на его диалогах больше ничего не нажимал. Так оно устроено и так оно работает. Видимо, одна из фич "усиленной заshitы".
Могу наштамповать скриншотов, где все нормально и таких ужасов нет. По порядку из того, что мне известно об этом софте. Усиленный режим, насколько я понимаю, представляет собой запуск софта со всеми хуками самозащиты плюс вдобавок еще и на отдельном рабочем столе (типа от винлоков при запуске с флешки). Помимо кучи перехватов в SSDT/Object Callbacks, он еще затрагивает шадов. Так что может быть эти баги с графикой с этим и связаны. Почему они не сделали автоскан при старте? Очень просто - из соображений производительности. Когда Данилов и ко бодались с TDL в драйвера Даниловского софта была внедрена куча специальных I/O related костылей, которые все время допиливались, поскольку новые версии TDL их сливали. Для подтверждения попробуйте посканировать папочку systemroot\system32\drivers. Это действительно лагает, причем везде. Т.е. с автозапуском сканирования это бы лагало еще больше, поскольку там идет инициализация всех их дополнительных костыльных подсистем. Насколько я знаю, они убрали автозапуск и в обычном сканере, не только в CureIt. Вдобавок это дело улетало в BSOD на разных материнках (например я помню у них был долгое время баг с nVIDIA чипсетами и каким-то Intel контроллером AFAIR, можно погуглить и найти интересные топики на форумах Intel с кусками кода прямо из драйвера DwShark Dr.Web). Почему по умолчанию отключена проверка архивов? Да по той же причине - производительность, которая и так никакая. Не знаю как там в самых последних версиях и их бетах, но вплоть до 6.0 сканер доктор веб был (и по-моему остается) однопоточным. Кроме того у него не поддерживает UNICODE (продиктовано необходимостью поддержки парка машин всякого древнего гос отстоя, где повнедряли этот АВ). Эвристика никакая? Да она везде такая. Интерфейс дерьмо? Как бы все знают об этом - он такой как есть практически без изменений с их релиза 4.0 под win32. Когда все это будет исправлено? В долговременной "перспективе", "когда-нибудь", "мы работает над этим". В новых версиях обещается многопоточность, ускорение и всякие плюшки-решения вышеописанных проблем. Особых перспектив у этого АВ с таким подходом к бизнесу я не вижу. Пять или сколько там лет брызгать слюной и говорить, что фаервол не нужен, а потом запилить таки его и назвать мега фичей это круто, да. Сейчас таким же образом уже сколько лет пилится HIPS, про которые их руководство не так давно ничего хорошего в прессе тоже не говорило. Используйте антивирус Common Sense 2011 - дает 100% детект и лечение всех известных и неизвестных малварей.
А Данилов тем временем куёт железо, пока горячо и взламывает истребители А заодно разъясняет, кто тырит бабки у Березовского. Так что завидуйте, господа.
вопрос (серьёзный) - др.уеб не хучит ссдт или я этого не заметил? кто ковырял эвристику скажите в чем соль
кстати др.уеб через раз ронял мои приложения с манипуляцией peb и далее. хуки кривые имхо. м.б. проактивка запрятана в фильтрах?
