Лучший антивирус и его комплектация для сильно уязвимой системы?

Question

[Razor98]

Пожалуйста, подскажите лучший антивирус и его комплектацию.
Нужна серьёзная защита и чтобы был достаточно, даже очень гибким.
К примеру: если Avast, то какой - Premier или Enpoint Security?
Хотя Premier наверное слабоват будет)

Потому что атаки на ПК происходят профессиональные и в большом количестве, к тому же целенаправленные.
Этакий сверх-антивирус (пусть даже с большой ручной настройкой).

Заранее спасибо!)

Answer 1

[Олег Цилюрик]

подскажите лучший антивирус и его комплектацию. ... Этакий сверх-антивирус

Linux.

Comments

[s0ci0pat]

Чувак, что за бред? У меня на Windows вирусов не было, а так же в интернете полно историй, как взламывают серверы компаний, которые как бы на linux

[Олег Цилюрик]

s0ci0pat:

как взламывают серверы компаний, которые как бы на linux

А что? "вирусы" и "взламывать" мы так и не научимся? ... "хоть кол на голове теши" ;-)

[s0ci0pat]

Олег Цилюрик: почему-то некоторые советуют linux как волшебную панацею. "удали Windows", "установи Linux" и так далее - неизменные советы таких горе экспертов

[Олег Цилюрик]

s0ci0pat:

почему-то некоторые советуют linux

Для тех кто не понимает - объясняю: аргументов на то много ... но если говорить только о вирусах, то Linux устроен так, что вирусы в нём практически невозможны (это если кто понимает чем истинные вирусы отличаются от разных троянов, сетевых червей и прочее).

[s0ci0pat]

Олег Цилюрик: Для тех кто не понимает - объясняю: если у человека проблемы с компьютером из-за безалаберности, не компетентности или просто из-за лени, то смена операционной системы не избавит его от проблем, а скорее даже наоборот.

Да, кстати, не забывай, что на Linux не все программы есть ;)

[Олег Цилюрик]

s0ci0pat:

на Linux не все программы есть

Это только для тех кто не понимает какие программы и откуда их брать ;-)

[s0ci0pat]

Олег Цилюрик: Ок. Подскажите мне ПО на Linux, которое сможет открыть 800-страничный документ docx со схемами Visio, таблицами и рисунками, при это это ПО не зависнет и не вылетит. А самое главное, после открытия документа, его оформление должно выглядеть абсолютно точно также, как и в Word.

[Razor98]

Спасибо большое)

Согласен Linux при "правильной" подгонке с Windows не стоит даже сравнивать.
Но и Windows не стоит недооценивать, хоть он и менее гибкий в плане настроек, но на комплектацию жаловаться не стоит)

[Олег Цилюрик]

Razor98:

но на комплектацию жаловаться не стоит

Ну, ... если при деньгах, и всё покупать, то на комплектацию жаловаться, конечно, не стоит. ;-)

[Razor98]

А как ломаные версии?:)

[Олег Цилюрик]

Razor98:
А ломаные? ... - тогда вот так: ешь что дали и никаких претензий и вопросов ;-)

[Razor98]

Немного не понял смысла вашего последнего комментария...

[Олег Цилюрик]

Razor98: Ну, в том смысле, что ворованное - оно ворованное и есть.

[Razor98]

Воровством это не назовёшь) Тем более компании сами являются ворами)

[Олег Цилюрик]

Razor98:
Вопрос сложный... но всё оно ломаное, а значит навсегда глючное

[Razor98]

Вот тут я с вами абсолютно не согласен. Чаще всего оказывается так, что руки у народа оказываются прямее чем у разработчиков. Но, всё равно, спасибо)

Answer 2

[АртемЪ]

Если система сильно уязвима, то антивирус тут не поможет.
Он просто заблокирует небольшую часть угроз.

К примеру сейчас самый популярной вредоносной программой является "шифровальщик" который шифрует данные, и просит денег. Антивирусы против него бесполезны, т.к он не является вирусом.

Поэтому если система сильно уязвима - надо делать ее менее уязвимой, устраняя уязвимости с помощью патчей безопасности, файервола, политик, и антивируса.
Т.е антивирус это просто небольшая часть системы безопасности.

Comments

[Макс]

то есть как это шифровальщик - не вирус? И почему антивирус против него не помогает? Против кейгенов, который вирусом не является, но в базе антивируса есть, действует - а против шифровальщика вдруг нет?

[АртемЪ]

Макс: По той простой причине что это не вирус.
Вирусы это определенный класс программ, которые эксплуатируя уязвимости системы совершают разные действия в системе.
Шифровальщики как правило не используют никаких уязвимостей, т.е это обычная программа шифрующая данные, запущенная пользователем. Что плохого в программе шифрующей данные? И почему антивирус должен на нее реагировать. Я вот программой winrar регулярно шифрую данные, и ничего, антивирусы на нее не реагируют.

Вся разница в том что шифровальщик не сообщает пользователю ключ для дешифровки. Это его единственное отличие от нормальной программы шифрующей данные.
Поэтому отличить их от нормальных программ не представляется возможным.

Иногда для доставки шифровальщика на целевую машину используется вирус в качестве транспорта, тогда антивирус может помочь - заблокировать вирус, и шифровальщика который он несет в себе.

Но чаще шифровальщики проникают на систему используя методы социальной инженерии, т.е их запускает пользователь.

[АртемЪ]

кейгены которые вирусом не являются прекрасно детектируются антивирусами по одной простой примете - они лезут в память чужого процесса.
Т.е чтобы сгенерировать ключ от программы надо залезть в память программы.
Вот на этом их и ловят.
Полез в чужую память - значит что-то подозрительное делает, надо заблокировать.

У шифровальщика таких примет нет.

[Макс]

АртемЪ: хорошо, предположим, что определение компьютерного вируса именно такое, какое Вы описываете (Хотя Wiki с Вами несогласна). Почему, по Вашему мнению, антивирус не может обнаружить шифровальщик? Лично видел, как Каспер с Доктором лихо прибивали Onion. Самый классический способ детектирования у антивирусов - сигнатурный. Есть сигнатура файла - все, зловред.
Если же мы говорит о детектировании на основании эвристики (поведения) - то тут, конечно же, сложнее. Хотя и здесь есть варианты.

[АртемЪ]

Макс: Антивирус не может обнаружить шифровальщик если он не содержит вирусов.
Зачастую вирусы используют как транспорт для шифровальщика, либо включают вирус в состав шифровальщика для повышения привилегий.
В таких случаях шифровальщик содержит вирусные сигнатуры и прекрасно детектируется и блокируется антивирусами.
Но такое бывает редко, большинство шифровальщиков с которыми я сталкивался были простые и эффективные - никаких вирусов.
Пользователь их запускает, они шифруют все, после чего самоуничтожаются.

[Макс]

АртемЪ: Вы не поверите - антивирус МОЖЕТ обнаружить что угодно, если сигнатура файла совпадает с сигнатурой, имеющейся в базе. Тот-же симантек лихо находит всякие кейлогеры - которые ни разу не вирусы. https://www.symantec.com/security_response/writeup...

[АртемЪ]

По сигнатурам определить его нереально. Бывают два типа сигнатур
1)банальная контрольная сумма файла, но это малоэффективно, добавил один байт к файлу и уже сигнатура другая.
2) сигнатуры не всего файла, а определенного куска, который выполняет некоторые действия.

Контрольная сумма файлов обходится элементарно - добавляешь в тело файла ненужную для работы информацию, что то типа порядкового номера, и штампуешь тысячи файлов с разными контрольными суммами.
С вирусом такое сделать намного сложнее - вирус должен сам распостранятся по системе, т.е вбросили его в десятке мест, а дальше он бегает от машины к машине через сеть, или через флешки.
Т.е его можно отследить по контрольной сумме в принципе.
Шифровальщик же как правило доставляется персонально клиенту, например через письма - делаешь рассылку, и для каждого адреса файлы с разными контрольными суммами. Делается элементарно.

Второй тип - сигнатура кода подразумевает наличие характерных кусков кода, выполняющих определенные действия.
Вот с этим тут проблема - характерный кусок кода только один, собственно код который выполняет шифрование, но поскольку они используют стандартные механизмы шифрования, такой код содержат тысячи полезных программ. Например тот же винрар. Включишь такую сигнатуру в вирусную базу - и антивирус заблокирует у миллионов пользователей миллионы полезных программ. Пользователи за это спасибо не скажут.
А других каких то особых сигнатур у него нет - он больше ничего особенного не делает, исключительно стандартные действия - обход файлов, запись в файл, удаление файлов.
Это что касается сигнатур.

А по эвристике тоже ничего полезного - он прописывает себя в автозагрузку, не пытается проникнуть по сети на другие компьютеры, не пытается повысить привилегии, не пытается записать себя как службу. Т.е его эффективность основана на простоте.

Ему не нужны какие то хитрые механизмы проникновения в систему, по которым отслеживается большинство вирусов - пользователь его запускает сам, своими руками.
Ему не нужно прописывать себя в автозагрузку - у него нет задачи оставаться в системе, наоборот после окончания работы он сам себя любезно удаляет.
Ему не нужны админские права - он шифрует те файлы к которым имеет доступ запустивший его пользователь, этого достаточно.

[АртемЪ]

Что касается упомянутой вами википедии, то вот классификация вируса из википедии -
"Компью́терный ви́рус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи."

Шифровальщик не создает своих копий.
Не внедряется в код других программ.
Не лезет в системные области памяти, и загрузочные секторы.
Не распространяет свои копии по каналам связи.

Так почему же вы считаете его вирусом?

[АртемЪ]

Макс: Ну так не может его сигнатура совпасть с сигнатурой в базе.
В этом то весь и фокус.

[АртемЪ]

Вот по приведенной вами ссылке описаны найденные подозрительные участки кода-
Keystroke loggers
Password stealers
Password crackers
Spam tools
Port scanners
Vulnerability scanners
Flooders
Patchers
Это типичные для вирусов фишки, и они прекрасно ловятся по ним.
А шифровальщику не надо ни пароли искать, ни патчить чего-то там, ни лог клавиатурный писать.
Нет у него подозрительных сигнатур.

[Макс]

АртемЪ: Onion (шифровальщик) - вирус? вроде как нет.
однако каспер, симантек и т.д. его ловят. https://www.symantec.com/security_response/writeup...

[АртемЪ]

Макс: Ловят, потому что на него навешан дополнительный функционал, там и функции трояна, и функции локера.
Эти сигнатуры есть в базе антивирусов, и по ним его отследить элементарно.

Современные шифровальщики в большей своей массе, не несут на себе никакого дополнительного функционала кроме собственно шифрования.

Они даже не утруждают себя блокированием экрана, и сообщением пользователю что все его файлы зашифрованы.
Зачем? По таким действиям их легко заблокировать антивирусы.
Поэтому современный шифровальщик отработал, все зашифровали и удалился.
А пользователь узнает что файлы зашифрованы только увидев странные имена файлов.
Как правило в имени файлов записан и почтовый адрес вымогателей, куда надо обращаться за расшифровкой.
Просто и эффективно.

[Макс]

АртемЪ: Хорошо, не буду Вас переубеждать, лень. Хотите верить, что детекритование происходит исключительно по "функциям" - верьте. Соберетесь узнать что-то новое - почитаете в интернете сами.

[АртемЪ]

Макс: Я не знаю кто вам сказал что детектирование происходит по функциям.
Я вам описал как происходит детектирование. - по поведению и по сигнатурам.
Или вы читать не умеете, или придумываете что-то свое про какие то функции.

[Макс]

АртемЪ: "Ловят, потому что на него навешан дополнительный функционал, там и функции трояна, и функции локера. Эти сигнатуры есть в базе антивирусов, и по ним его отследить элементарно." - ну уж как смог прочесть, так и прочел =). Против 2-х методов детектирования не имею ничего. То, что по сигнатуре в базе не может быть заблокирован безвредный(но "неправильный" с точки зрения АВПО ) файл - никогда не соглашусь. Ибо имею реальный обратный опыт.

[АртемЪ]

Макс: А разве я утверждал что, цитирую -"по сигнатуре в базе не может быть заблокирован безвредный(но "неправильный" с точки зрения АВПО ) файл" ?
Я как раз утверждал обратное.
Сигнатура это просто запись, - есть запись блокируем, нет не блокируем, а правильный он вредный, или безвредный никак не определишь. Это делается при создании сигнатуры.

[Макс]

АртемЪ: Вы писали "Антивирусы против него бесполезны, т.к он не является вирусом." - а это не так. Если сигнатура шифровальщика есть в базе - он отлично прибьется антивирусом (является при этом шифровальщик вирусом или нет.) как минимум у Каспера и Доктора есть алгоритм для защиты от шифровальщиков и в случае отсутсвия сигнатуры - по поведению.

[АртемЪ]

Вы невнимательно читали.
Если сигнатура есть - разумеется антивирус его обнаружит.
Проблема в том что практически нет шансов что сигнатура будет в базе - почему так, я подробно описал выше.

Тоже самое по поведению - в его поведении нет ничего такого по чему его можно отследить, он не делает ничего предосудительного, или необычного.

[Razor98]

Спасибо большое вам, ребята) Целое сочинение получилось. Совет отличный. Спасибо ещё раз - так и поступлю: построим систему из кирпичей (IPS/IDS, firewall, threat scan, antivirus, daily update software ect.), как написали вы и Dero2084 (внизу темы).

Answer 3

[Андрей]

SRP (Software Restriction Policy) - состоит из 2 простых правил :
а) пользователь не должен иметь права запускать программы из тех папок, куда имеет право на запись
б) пользователь не должен иметь право записи туда, где лежат бинарные файлы исполняемых программ

А если по сути вопроса, то Касперский, либо что-то из топ-5 вот отсюда.

На практике вирусы первые 2 дня не обнаруживаются сигнатурно ни одним из антивирусов - это прописная истина. Поэтому на первые дни его жизненного цикла - либо настроенная до параноидальности эвристика либо ничего.

Comments

[Razor98]

Спасибо)
Интересна статья)

Answer 4

[Макс]

самый радикальный - запрет исполнения всех файлов, кроме заранее определенных. Делается через политики, пользоваться системой становится неудобно, зато супер надежно.

Comments

[Razor98]

Спасибо)
Это мысль, но уж очень жёстко...)

[Макс]

Razor98: все остальное - полумеры.

[Razor98]

Оно и понятно) Спасибо)

Answer 5

[s0ci0pat]

Платный - Касперский.
Бесплатный - Comodo.

Comments

[Razor98]

Спасибо)
Посмотрим)

[Сергей Золотарёв]

У Comodo антивирус слабоват и вэб-защита, а файервол отличный.

[Razor98]

А каспер сволочь систему грузит)
Но, они стоят того)
Спсибо)

Answer 6

[Александр Таратин]

www.z-oleg.com/secur/avz/index.php

Comments

[Razor98]

Спасибо, один кирпич есть)

Answer 7

[mace-ftl]

Просто запускайте софт в виртуальных контейнерах, ну и политиками порежьте запуск ПО полностью

Comments

[Razor98]

Спасибо, хороший совет)
Но разве это не влияет на нагрузку системы и не снижает скорость обработки процедур?

[mace-ftl]

Razor98: ну зависит от ПО и железа - не думаю что критично может тупить если проц нормальный

[Razor98]

Нормальный - это значит дорогой) Когда виртуалку загружаешь сверх меры, то тормоза похоже планету начинают тормозить)
Спасибо)

Answer 8

[dero2084]

Как уже написал АртемЪ , одним онтивирусом тут не обойтись.
Нужен комплексный подход (IPS/IDS, firewall, threat scan, antivirus, daily update software ect.) Нормальная защита потребует финансовый вложений.
Кроме того нужно разработать политики безопасности.

Comments

[Razor98]

Спасибо)
Будем собирать её по кирпичам)
У меня одна система. Ведь можно просто использовать ломаное ПО)

Answer 9

[FreeManOfPeace]

Ограниченная учётная запись пользователя пароль не меньше 8 символов.
Запрет в групповых политиках на исполнение программ из папок для записи в которых не нужны привилегии админа.
Отключение всех неиспользуемых сетевых служб.
Установка всех последних обновлений виндоуз по мере их выхода (+1 неделя на случай если выйдет обновление которое крашит систему).
Желательно что бы компьютер был за NAT.
И только после этого можно думать о антивирусе (пойдёт тот же Касперский).

Comments

[FreeManOfPeace]

Ещё не мешало бы уточнить, предполагается ли возможность физического доступа к атакуемой системе.

[Razor98]

Спасибо, всё учту, ибо очень важные вещи)
Физический доступ маловероятен, но всё же надо учесть) А вот NAT - это точно...
Спасибо ещё раз и с Рождеством!)