Текущий архив: 2006.05.07;
Скачать: CL | DM;

Вниз

CBT_HOOK !   Найти похожие ветки 

← →
Игорь Шевченко ©   (2006-02-15 12:14) [40]

Rouse_ ©   (15.02.06 12:09) [39]

Это же какие тормоза, пардон. А если у меня файл базы данных на пару десятков гигабайт ? Может, у него из сканирования можно исключать файлы ?

Сдается мне, что-то ты не договариваешь...

---

← →
Rouse_ ©   (2006-02-15 15:28) [41]

да нет - говорю как есть :)

---

← →
Игорь Шевченко ©   (2006-02-15 15:58) [42]

Так как быть с файлами немеряного размера ? Оно их тоже будет сканировать каждый раз при открытии ?

---

← →
Rouse_ ©   (2006-02-16 09:18) [43]

Проверять не на чем, но по логике вещей да... Но IMHO только в том случае если они могут нести в себе исполняемый или интерпретируемый код, как это видно из Compaund File...

---

← →
Игорь Шевченко ©   (2006-02-16 10:48) [44]

Rouse_ ©   (16.02.06 09:18) [43]


> Проверять не на чем, но по логике вещей да


Выкинь такой антивирус в корзину. Моя искренняя рекомендация. Или все-таки, может в документации что-то написано на эту тему ? :)

---

← →
Rouse_ ©   (2006-02-16 11:13) [45]

В документации написано что можно переключить в настройках с проверки всех файлов на проверку по формату... Естественно нашего расширения там нет... именно это мы и пишем в нашей инструкции, либо отключить мониторинг либо переключить на сканирование по формату, но представь когда пользователь Старая Бабулька - Сметчица (не секрет что во многи конторах о сисадминах слышали - что есть такой зверек, но не более ;) )... И как ей обьяснить последовательность действий? У нас тут в службе тех поддержки телефоны разрываются, очень часто девченки проводят банальный курс первичных навыков владения компом пользователю по телефону. Предложишь отказаться от таких пользователей? :)))

---

← →
Игорь Шевченко ©   (2006-02-16 11:21) [46]

Rouse_ ©   (16.02.06 11:13) [45]

Я все-таки не понимаю. Вот есть у меня файл, куда данные пишутся и читаются. Файл большой, что туда пишется - известно моей программе и Аллаху. С какой стати антивирус его сканирует при каждом открытии ?

---

← →
Deka ©   (2006-02-16 11:48) [47]

Обычно антивирусам можно "объяснить" какие файлы надо игнорировать и не проверять их. Например поставить в список исключения сканирования *.dbf - вот и нет тормозов с файлами баз данных. Кстати может быть и у веба есть такой списочек?

---

← →
Rouse_ ©   (2006-02-16 11:51) [48]

> С какой стати антивирус его сканирует при каждом открытии ?

Все вопросы к разработчикам антивируса... :)
Если производиться перехват доступа к файлу но список проверенных файлов не храниться (с просчетом КС к примеру), то такой подход вполне уместен :)
ЗЫ: ИМХО мы свалились в глобальный оффтоп :)

---

← →
Игорь Шевченко ©   (2006-02-16 12:10) [49]

Rouse_ ©   (16.02.06 11:51) [48]

Видишь ли, я с антивирусами не первый день знаком, но с такой особенностью их поведения сталкиваюсь впервые. И что-то мне подсказывает, что если до сих пор не сталкивался, то это явление атипичное. В связи с этим, предлагается рассматривать поведение конкретного антивируса, как глючное, отчего совет "отрубать антивирусы во всех случаях", к которого весь оффтопик начался, является безусловно вредным.

---

← →
kaZaNoVa ©   (2006-02-16 13:00) [50]

любой "нормальный" антивирус, имхо, проверяет файл, если его открыли для записи ..  это и есть зло .. некоторые вообще всегда проверяют все файлы, даже если с него просто иконку взять надо .. (проводник Windows)

---

← →
Игорь Шевченко ©   (2006-02-16 13:09) [51]

kaZaNoVa ©   (16.02.06 13:00) [50]


> любой "нормальный" антивирус, имхо, проверяет файл, если
> его открыли для записи


Ты ошибаешься. Зачем проверять любой файл ?

---

← →
kaZaNoVa ©   (2006-02-16 14:16) [52]

Игорь Шевченко ©   (16.02.06 13:09) [51]

> Зачем проверять любой файл

возможно и ошибаюсь, но обычно антивирус обязательно считает часть файла, чтобы распознать формат, а в это время доступа к файлу то еще нет .. и после того, как распознает формат, он либо проферяет файл дальше, либо считает его неопасным и не проверяет...

так как вначале он всё-же анализирует - то можно, имхо, считать, что любой антивирус с настройками "проферять файлы по формату" - проверяет все файлы.

---

← →
Игорь Шевченко ©   (2006-02-16 14:23) [53]

kaZaNoVa ©   (16.02.06 14:16) [52]


> возможно и ошибаюсь, но обычно антивирус обязательно считает
> часть файла, чтобы распознать формат


У тебя, прости, откуда такие сведения ?

Кроме того, на свете очень много файлов, чей формат распознать не под силу ни одному антивирусу.


> а в это время доступа к файлу то еще нет ..


Как ты понимаешь, системный сервис NtOpenFile, который и перехватывает собственно, антивирус, сам читает какие-то данные, относящиеся к файлу, и доступа в это время к файлу тоже "-то еще нет", однако никого подобная задержка не беспокоит.

---

← →
kaZaNoVa ©   (2006-02-16 14:59) [54]

Игорь Шевченко ©   (16.02.06 14:23) [53]
У тебя, прости, откуда такие сведения ?
из наблюдений за его работой.

формат файла часто можно узнать, прочитав начало файла ...  (PE-заголовок там или еще что-нить характерное)


> Кроме того, на свете очень много файлов, чей формат
> распознать не под силу ни одному антивирусу.

конечно, и соответсвенно он ин и не проверяет ...

наблюдения, которые мне дают отснования делать подобные выводы- например если на дискете есть зараженный вирусом EXE-файл- то при открытии такой дискеты из проводника (считывание иконок) антивирус находит зараженный файл и ругается ...

далее, если зараженный файл просто по XOR"ить то конечно уже не находить ничего, а если exe- файл просто переименовать - то находит ..

вывод - в любом случае антивирус для своего анализа считывает часть файла, пусть и небольшую, но это затрата системных ресурсов, и каждый сам в праве выбирать, риск и быстродействие, либо задержки и некоторый уровень защиты
..

если я в чем-то ошибаюсь, заранее прошу извинить меня, сам никогда антивирусы не писал

---

← →
Игорь Шевченко ©   (2006-02-16 15:43) [55]

> если я в чем-то ошибаюсь, заранее прошу извинить меня, сам
> никогда антивирусы не писал


Ошибаешься.


> например если на дискете есть зараженный вирусом EXE-файл-
>  то при открытии такой дискеты из проводника (считывание
> иконок) антивирус находит зараженный файл и ругается ...
>


Разумно, это он и должен делать. Файл открывается проводником, читается.

Но речь, если ты помнишь, шла не об этом, а о том, что антивирус надо выбрасывать, по твоему утверждению.


> далее, если зараженный файл просто по XOR"ить то конечно
> уже не находить ничего


но в этом случае он перестает быть зараженным.


> в любом случае антивирус для своего анализа считывает часть
> файла, пусть и небольшую, но это затрата системных ресурсов,
>  


Любой чтение файла есть затрата системных ресурсов. Абсолютно любое. В данном случае файл читается проводником, что тоже является затратой системных ресурсов, так как в процессе извлечения иконки системой выполняется масса увлекательных действий.


> и каждый сам в праве выбирать, риск и быстродействие, либо
> задержки и некоторый уровень защиты


Безусловно. Но на этом форуме выбор будет направлен в сторону увеличения уровня защиты, в отличие от других форумов.

---

← →
kaZaNoVa ©   (2006-02-16 16:05) [56]

Игорь Шевченко ©   (16.02.06 15:43) [55]

> Ошибаешься.

ясно, признаю свою неправоту.


> Но речь, если ты помнишь, шла не об этом, а о том, что
> антивирус надо выбрасывать, по твоему утверждению

думаю всё-же не стоит :)

---

Страницы: 1 2 вся ветка

Текущий архив: 2006.05.07;
Скачать: CL | DM;

Наверх

Память: 0.58 MB
Время: 0.052 c