Milyen víruskeresőt...

Nagy Sándor lwolf at freemail.hu
2005. Sze. 21., Sze, 17:33:15 CEST


Simon Gábor írta:

Üdv!

Először is köszönöm a válaszokat! Megpróbálok minden felvetésre 
reagálni, hogy a kép tiszta legyen.

> Megjegyzés: rosszul konfigurált védelem alá tehetsz akármit...
> (Már az egyik múltkori leveledben is írtál olyat, hogy erőgépen lassan 
> ment a védelem.
> Biztos, hogy megfelelően vannak bekonfigurálva a védelmi paraméterek? 
> pl. ha a real-time védelmet minden állományra kéred, - értsd: .bmp, 
> különféle archívumok, egyéb nagyon nagy méretű állományok -  akkor ne 
> csodálkozz a homokórán...)
>
Nem emléxem, hogy erőgéppel kapcsolatban írtam volna, hogy lassan ment a 
védelem, egy P2+32MB RAM-ról emlékeztem meg szerintem, ezt nem nevezném 
erőgépnek. :) Esetleg a "bizalommal" kapcsolatosra gondolsz, de az 
kombinált megoldás...

>  
> Számítva arra, hogy a notebook nem csak a tanár otthonában fog 
> üzemelni, hanem megjelenhet az iskolai hálózatban is, én inkább a 
> központi felügyeletet biztosító kliens-védelem (F-Secure esetében: 
> Client Security) telepítését fontolnám meg ezeken a gépeken.
>
Ez a "megjelenés" elég ritka alkalom attól tartok... Legutóbb akkor 
láttam az egyiket, amikor vírusokat irtottam róla. :) Egyébként nem 
jellemző, hogy behozzák.

> Amiért ezt akarnám: ez a kiépítés biztosítja a kliens számára a 
> rendszergazda által előírtakat maradéktalan érvényesülését, és ez 
> teszi elérhetővé a rendszeradminisztrátor számára a gép 
> státuszinformációit, méghozzá felcsatlakozás után azonnal. Emiatt nem 
> kell nyugtalankodnom, hogy ki, milyen védelmi szinten áll éppen.
>
> Amiért nem akarnám: az egyedi telepítésű védelemmel kínlódjon a 
> felhasználó, nekem, mint rendszeradminisztrátornak nincs rá további 
> gondom. (Ami persze, csak addig igaz, amíg el nem túr valamilyen 
> beállítást, aminek következtében akár meg is fertőződhet a notebookja, 
> majd azzal mint fertőzési góccal, belép a suli hálózatába.)
>
Had turkálja, legalább lesz valami munkám... Továbbmegyek: Ha a 
rendszergazda mindent automatizál, előbb-utóbb feleslegessé válik. 
Azthiszem az önálló lesz a nyerő megoldás.

>> egypár "bizalommal" kapcsolatos nevű antivírust fogok legyomlálni róluk
>
> Megütötte a szemem: "egypár". Tehát több.

Öööö ez az egypár (gépenként egy), az pár darab, de ugyanaz a fajta, el 
akartam kerülni a nevének az említését, de a CA Trust-ra gondoltam. 
Távmenedzsmentes cucc volt, úgyhogy a legfrissebb javítócsomagok és 
vírusdefiníciós adatbázisok voltak rajtuk. És ami azt illeti nem én 
állítottam be őket, de ez mostantól megváltozik. (Ezek tényleg érdekes 
dolgokat produkáltak.)
És szám szerint 14 darab volt, és igen leformáztam őket. És jólesett. :) 
/Van aki baltáról álmodik, én formatról, rendszergazdája válogatja/
Mindegy spongyát rá, a Trust "Outdated" topic nekem mától.

> Biztos, hogy jól írod / jól használod?

Ha nem veszed rossz néven, megismertetlek egy definícióval, amit 
valószínűleg sem Te sem más nem fog elfogadni, pedig igaz:
Definíció: Amelyik védelmi eszközt lehet rosszul használni, az nem 
védelmi eszköz, hanem potenciális veszélyforrás.

> Egy időben 2 antivírus termék alkalmazása egy gépen ellenjavallt; 
> lassulást, rossz esetben lefagyást okozhatnak az összeütközések.
>
Nem szoktam többet használni, próbából pár éve kipróbáltam milyen 3 
víruskeresőt ráengedni egy vírusos gépre egyszerre...az eset tanulságos 
volt. (Norton+AVG+Antivir keresők + ezek rezidens részei, ja és hogy még 
durvább legyen, az Ad-aware és a Spybot is egyidőben) Arra viszont 
rájöttem, hogy egyszerre kettő használata nem olyan rossz dolog 
hosszútávon, ha csak egyikük rezidens része aktív. Bár a mai 
vírusdefiníciós adatbázisok frissítései a konkurrens gyártóknál 
többnyire naprakészek, eltérés mindig van a felismert vírusok számában, 
így csökkenhet az ebből adódó "fel nem ismerések" száma. Persze ez csak 
az én hipotézisem, ki hogy látja. Egyetlen okból nem alkalmazom 
gyakorlatban: macerásabb egyszerre két víruskeresőt karbantartani.

>
>> simán beficcentek mellette a vendégek, és valami szépet és jót akarok
>> rásózni a tanárokra.
>
> Korántsem biztos, hogy mellette, "simán" lehet, hogy mögötte...
> Biztos, hogy minden Service Pack és op. rendszer frissítés fenn van a 
> gépeiden?
> Ennek hiányában a kártevők a védelmi vonal mögé kerülhetnek.
>
>
A mögöttét el tudom képzelni, hiszen egészen biztos, hogy nincs 
áttörhetetlen védelem, csak óvatos felhasználó.
Ha utóbbit nem tételezzük fel, akkor marad a szemfüles rendszergazda. :))
Továbbá mindnyájan tudjuk, hogy nincs hibátlan program (a "begin end." 
kivételével és az is fordítóprogramtól függ), a Service Pack miért lenne az?

> És még egy dolog.
> Volt egy leveled, amiben azon méltatlankodtál, hogy a védelmed "nem 
> volt képes vírusmentesíteni" egy kártevőt, csak a kézi törlés segített 
> a dolgon.
> A konkrét történet ismeretének hiányában csak valószínűségekre tudok 
> alapozni, előre is elnézést, ha tévedek.
> Úgy vélem: ha egy kereső fel van készítve egy fertőzés felismerésére, 
> akkor tisztában van azzal is, hogyan kellene azt megszüntetni. Ha 
> ennek ellenére mégis neked kell kézzel eltávolítani (mondjuk, úgy, 
> hogy bekattintod a megfelelő jelölő négyzetet egy varázslóban), akkor 
> az nagy valószínűséggel nem vírus volt, hanem valami más (pl. egy 
> féreg, vagy egy kémprogram, stb. egy levél mellékletében), amiből 
> egyszerűen nincs mit megmenteni - a megfelelő tevékenység ilyen 
> esetben a teljes megsemmisítés vagy legfeljebb az átnevezés, ha netán 
> tanulmányozni akarnád.
>
Én nem méltatlankodtam, hiszen számomra izgalmas dolog a registryben 
turkálva előkeresni a gyanús programokat az összes lehetséges kulcson, 
ahol előfordulhatnak. ("msconfig"-gal még egyszerűbb) Csak az 
átlagfelhasználókat sajnálom egy kicsit. Konkrét történettel nem tudok 
most szolgálni, mert sokszor előfordult, sokféle rendszeren és nem 
szeretném keverni az eseményeket.
Lehet, hogy kémprogram is volt, hogy azokat felismerte és nem törölte az 
egy dolog, de a trójai vírust azért talán kellett volna... Ha nagyképű 
akarnék lenni, azt mondanám: "Évek tapasztalatával olyan vírusokat is 
megtalálok a registry turkálásával, amit a víruskeresők sem." ;) Pedig 
előfordul. Bizonyos neveken már meg se lepődöm, lásd: msbb.exe meg 
társai. Még "win.ini load=" is járja.

Tehát, az említett esetben a kereső megtalálta, és ügyesen mutatta, hogy 
trójai, felajánlotta a törlést is, tehát _tudta_ mi a helyes eljárás. 
Csak nem tudta törölni. Mindez mindennapos normál üzemmódban, dehogy 
csökkentett módban miért csinálta, az számomra rejtély. A csodás 
varázslók sem törölték, se átnevezni nem tudták a karanténjukba. Elvileg 
nem futhatott a háttérben a processz, és mégsem tudta törölni. Egy 
TotalCommander SHIFT-F8 viszont csodákra képes... jahogy írásvédett és 
rendszer attribútuma is volt, az előfordulhat.
Én is úgy vélem, hogy képesnek kellett _volna_ lennie az eltávolításra a 
víruskeresőnek.

> Nem tudom, most milyen védelmi terméket használsz, de a fentiek 
> alapján fel kell tegyem a kérdést: biztos, hogy tudod, hogyan kell 
> helyesen használni az _adott_ védelmet? Biztos, hogy megfelelő a 
> felkészültséged adatbiztonsági oldalról?
> Ha kétségeid lennének ez ügyben, írj magánban, lehet, hogy tudok 
> segíteni.)))

Adatbiztonsági szempontból lelkes oktatóim sokáig készítettek fel - 
elméleti síkon. Ami azt illeti igen, nagyjából tisztában vagyok a 
szélmalomharccal, amit a lelkes védelmi szoftver készítők folytatnak a 
soha nem pihenő hekker/spammer/adware/vírusíró bandával és mind jobban 
biztos vagyok benne, hogy az internet egy nagy veszélyforrás, ami ellen 
az egyetlen 100%-os védelem a bejövő vonal "kihúzása" fizikailag a 
falból. :) Ez viccesen hangzik, de halálkomoly. És a még komolyabb baj 
az, hogy nem tehetjük meg. Ez nem emlékeztet valakit a "függőség" fogalmára?
Komolyra fordítva, gyakorlatban ismerkedem többféle megoldással, de a 
legszimpatikusabb számomra eddig az iptables-el leblokkolni minden 
portot a proxyn kívül a linux szerveren...

Nekem sosincsenek kétségeim...csak problémáim. A probléma pedig 
jellegénél fogva olyan valami, ami így, vagy úgy de megoldódik Ez nem 
kérdéses, csak az idő, amíg a megoldás folyamata tart. :)

 Nagy Sándor BSc.
 mérnökinformatikus

 KKSZI, Békéscsaba



További információk a(z) Techinfo levelezőlistáról