Milyen víruskeresőt...
Nagy Sándor
lwolf at freemail.hu
2005. Sze. 21., Sze, 17:33:15 CEST
Simon Gábor írta:
Üdv!
Először is köszönöm a válaszokat! Megpróbálok minden felvetésre
reagálni, hogy a kép tiszta legyen.
> Megjegyzés: rosszul konfigurált védelem alá tehetsz akármit...
> (Már az egyik múltkori leveledben is írtál olyat, hogy erőgépen lassan
> ment a védelem.
> Biztos, hogy megfelelően vannak bekonfigurálva a védelmi paraméterek?
> pl. ha a real-time védelmet minden állományra kéred, - értsd: .bmp,
> különféle archívumok, egyéb nagyon nagy méretű állományok - akkor ne
> csodálkozz a homokórán...)
>
Nem emléxem, hogy erőgéppel kapcsolatban írtam volna, hogy lassan ment a
védelem, egy P2+32MB RAM-ról emlékeztem meg szerintem, ezt nem nevezném
erőgépnek. :) Esetleg a "bizalommal" kapcsolatosra gondolsz, de az
kombinált megoldás...
>
> Számítva arra, hogy a notebook nem csak a tanár otthonában fog
> üzemelni, hanem megjelenhet az iskolai hálózatban is, én inkább a
> központi felügyeletet biztosító kliens-védelem (F-Secure esetében:
> Client Security) telepítését fontolnám meg ezeken a gépeken.
>
Ez a "megjelenés" elég ritka alkalom attól tartok... Legutóbb akkor
láttam az egyiket, amikor vírusokat irtottam róla. :) Egyébként nem
jellemző, hogy behozzák.
> Amiért ezt akarnám: ez a kiépítés biztosítja a kliens számára a
> rendszergazda által előírtakat maradéktalan érvényesülését, és ez
> teszi elérhetővé a rendszeradminisztrátor számára a gép
> státuszinformációit, méghozzá felcsatlakozás után azonnal. Emiatt nem
> kell nyugtalankodnom, hogy ki, milyen védelmi szinten áll éppen.
>
> Amiért nem akarnám: az egyedi telepítésű védelemmel kínlódjon a
> felhasználó, nekem, mint rendszeradminisztrátornak nincs rá további
> gondom. (Ami persze, csak addig igaz, amíg el nem túr valamilyen
> beállítást, aminek következtében akár meg is fertőződhet a notebookja,
> majd azzal mint fertőzési góccal, belép a suli hálózatába.)
>
Had turkálja, legalább lesz valami munkám... Továbbmegyek: Ha a
rendszergazda mindent automatizál, előbb-utóbb feleslegessé válik.
Azthiszem az önálló lesz a nyerő megoldás.
>> egypár "bizalommal" kapcsolatos nevű antivírust fogok legyomlálni róluk
>
> Megütötte a szemem: "egypár". Tehát több.
Öööö ez az egypár (gépenként egy), az pár darab, de ugyanaz a fajta, el
akartam kerülni a nevének az említését, de a CA Trust-ra gondoltam.
Távmenedzsmentes cucc volt, úgyhogy a legfrissebb javítócsomagok és
vírusdefiníciós adatbázisok voltak rajtuk. És ami azt illeti nem én
állítottam be őket, de ez mostantól megváltozik. (Ezek tényleg érdekes
dolgokat produkáltak.)
És szám szerint 14 darab volt, és igen leformáztam őket. És jólesett. :)
/Van aki baltáról álmodik, én formatról, rendszergazdája válogatja/
Mindegy spongyát rá, a Trust "Outdated" topic nekem mától.
> Biztos, hogy jól írod / jól használod?
Ha nem veszed rossz néven, megismertetlek egy definícióval, amit
valószínűleg sem Te sem más nem fog elfogadni, pedig igaz:
Definíció: Amelyik védelmi eszközt lehet rosszul használni, az nem
védelmi eszköz, hanem potenciális veszélyforrás.
> Egy időben 2 antivírus termék alkalmazása egy gépen ellenjavallt;
> lassulást, rossz esetben lefagyást okozhatnak az összeütközések.
>
Nem szoktam többet használni, próbából pár éve kipróbáltam milyen 3
víruskeresőt ráengedni egy vírusos gépre egyszerre...az eset tanulságos
volt. (Norton+AVG+Antivir keresők + ezek rezidens részei, ja és hogy még
durvább legyen, az Ad-aware és a Spybot is egyidőben) Arra viszont
rájöttem, hogy egyszerre kettő használata nem olyan rossz dolog
hosszútávon, ha csak egyikük rezidens része aktív. Bár a mai
vírusdefiníciós adatbázisok frissítései a konkurrens gyártóknál
többnyire naprakészek, eltérés mindig van a felismert vírusok számában,
így csökkenhet az ebből adódó "fel nem ismerések" száma. Persze ez csak
az én hipotézisem, ki hogy látja. Egyetlen okból nem alkalmazom
gyakorlatban: macerásabb egyszerre két víruskeresőt karbantartani.
>
>> simán beficcentek mellette a vendégek, és valami szépet és jót akarok
>> rásózni a tanárokra.
>
> Korántsem biztos, hogy mellette, "simán" lehet, hogy mögötte...
> Biztos, hogy minden Service Pack és op. rendszer frissítés fenn van a
> gépeiden?
> Ennek hiányában a kártevők a védelmi vonal mögé kerülhetnek.
>
>
A mögöttét el tudom képzelni, hiszen egészen biztos, hogy nincs
áttörhetetlen védelem, csak óvatos felhasználó.
Ha utóbbit nem tételezzük fel, akkor marad a szemfüles rendszergazda. :))
Továbbá mindnyájan tudjuk, hogy nincs hibátlan program (a "begin end."
kivételével és az is fordítóprogramtól függ), a Service Pack miért lenne az?
> És még egy dolog.
> Volt egy leveled, amiben azon méltatlankodtál, hogy a védelmed "nem
> volt képes vírusmentesíteni" egy kártevőt, csak a kézi törlés segített
> a dolgon.
> A konkrét történet ismeretének hiányában csak valószínűségekre tudok
> alapozni, előre is elnézést, ha tévedek.
> Úgy vélem: ha egy kereső fel van készítve egy fertőzés felismerésére,
> akkor tisztában van azzal is, hogyan kellene azt megszüntetni. Ha
> ennek ellenére mégis neked kell kézzel eltávolítani (mondjuk, úgy,
> hogy bekattintod a megfelelő jelölő négyzetet egy varázslóban), akkor
> az nagy valószínűséggel nem vírus volt, hanem valami más (pl. egy
> féreg, vagy egy kémprogram, stb. egy levél mellékletében), amiből
> egyszerűen nincs mit megmenteni - a megfelelő tevékenység ilyen
> esetben a teljes megsemmisítés vagy legfeljebb az átnevezés, ha netán
> tanulmányozni akarnád.
>
Én nem méltatlankodtam, hiszen számomra izgalmas dolog a registryben
turkálva előkeresni a gyanús programokat az összes lehetséges kulcson,
ahol előfordulhatnak. ("msconfig"-gal még egyszerűbb) Csak az
átlagfelhasználókat sajnálom egy kicsit. Konkrét történettel nem tudok
most szolgálni, mert sokszor előfordult, sokféle rendszeren és nem
szeretném keverni az eseményeket.
Lehet, hogy kémprogram is volt, hogy azokat felismerte és nem törölte az
egy dolog, de a trójai vírust azért talán kellett volna... Ha nagyképű
akarnék lenni, azt mondanám: "Évek tapasztalatával olyan vírusokat is
megtalálok a registry turkálásával, amit a víruskeresők sem." ;) Pedig
előfordul. Bizonyos neveken már meg se lepődöm, lásd: msbb.exe meg
társai. Még "win.ini load=" is járja.
Tehát, az említett esetben a kereső megtalálta, és ügyesen mutatta, hogy
trójai, felajánlotta a törlést is, tehát _tudta_ mi a helyes eljárás.
Csak nem tudta törölni. Mindez mindennapos normál üzemmódban, dehogy
csökkentett módban miért csinálta, az számomra rejtély. A csodás
varázslók sem törölték, se átnevezni nem tudták a karanténjukba. Elvileg
nem futhatott a háttérben a processz, és mégsem tudta törölni. Egy
TotalCommander SHIFT-F8 viszont csodákra képes... jahogy írásvédett és
rendszer attribútuma is volt, az előfordulhat.
Én is úgy vélem, hogy képesnek kellett _volna_ lennie az eltávolításra a
víruskeresőnek.
> Nem tudom, most milyen védelmi terméket használsz, de a fentiek
> alapján fel kell tegyem a kérdést: biztos, hogy tudod, hogyan kell
> helyesen használni az _adott_ védelmet? Biztos, hogy megfelelő a
> felkészültséged adatbiztonsági oldalról?
> Ha kétségeid lennének ez ügyben, írj magánban, lehet, hogy tudok
> segíteni.)))
Adatbiztonsági szempontból lelkes oktatóim sokáig készítettek fel -
elméleti síkon. Ami azt illeti igen, nagyjából tisztában vagyok a
szélmalomharccal, amit a lelkes védelmi szoftver készítők folytatnak a
soha nem pihenő hekker/spammer/adware/vírusíró bandával és mind jobban
biztos vagyok benne, hogy az internet egy nagy veszélyforrás, ami ellen
az egyetlen 100%-os védelem a bejövő vonal "kihúzása" fizikailag a
falból. :) Ez viccesen hangzik, de halálkomoly. És a még komolyabb baj
az, hogy nem tehetjük meg. Ez nem emlékeztet valakit a "függőség" fogalmára?
Komolyra fordítva, gyakorlatban ismerkedem többféle megoldással, de a
legszimpatikusabb számomra eddig az iptables-el leblokkolni minden
portot a proxyn kívül a linux szerveren...
Nekem sosincsenek kétségeim...csak problémáim. A probléma pedig
jellegénél fogva olyan valami, ami így, vagy úgy de megoldódik Ez nem
kérdéses, csak az idő, amíg a megoldás folyamata tart. :)
Nagy Sándor BSc.
mérnökinformatikus
KKSZI, Békéscsaba
További információk a(z) Techinfo levelezőlistáról