False Alarms και ερωτησεις για λειτουργία antivirus

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 11:47

Θελω να ρωτήσω δυο-τρία πραγματάκια:

1) Υπάρχει περίπτωση ενα antivirus να με δωσει false alarm για ενα αρχειο ότι εχει γιο, ενω δεν εχει?

2) Γιατι γίνεται αυτο?

3) Πως ξερω ότι ειναι false alarm ή όχι?
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
dva_dev
Script Master
Δημοσιεύσεις: 3790
Εγγραφή: 16 Σεπ 2005 01:32
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από dva_dev » 01 Ιούλ 2011 12:04

Οτι έχει γιο όχι, σε καμία περίπτωση κανένα antivirus σε κανένα λειτουργικό ποτέ.

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 12:13

:(
Ελπιζω να μη με κοροϊδεύεις για το γιος και οχι ιος.

Anyway, στο av-comparatives.og που κοιταω τωρα, εχει καποια τεστ με false alarms:

Εικόνα

Εικόνα


Οποτε το 1) απαντήθηκε. Αν ξερει κανεις να με απαντήσει παρακαλω στο 2 και 3?
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
hitca
Honorary Member
Δημοσιεύσεις: 1919
Εγγραφή: 13 Ιουν 2010 19:41
Τοποθεσία: Brussels
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από hitca » 01 Ιούλ 2011 13:18

Υπάρχουν νομίζω δεκάδες λόγοι για false alarm και το εντοπίζω κυρίως στην πολυπλοκότητα των av, των λειτουργικών συστημάτων, των προγραμμάτων και των ιών (στον κώδικα που περιέχουν).

Αντίστοιχα και οι εταιρίες αγωνίζονται με του προγραμματιστές τους εναντίον όλων αυτών των απειλών.

---- Στο ερώτημά σου (2), ναί μπορεί να γίνει κυρίως λόγω τεχνικού λάθους (ή και αμέλειας) της εταιρίας. Υπενθυμίζω απλώς την σχετικά πρόσφατη περίπτωση της Mc Affee, όπου ένα αποτυχημένο update κλείδωσε και διέγραψε αρχεία συστήματος των windows, θεωρώντας τα ώς ιούς, με τρομακτικά επακόλουθα σε παγκόσμιο επίπεδο όπου ολόκληρα κράτη δυσλειτουργούσαν μέχρι να βρεθεί λύση (πχ. Ν.Αφρική ).

Επίσης και το AVG έχει δημιουργήσει παρόμοια προβλήματα στις εκδόσεις 8.5, διαγράφοντας αρχεία συστήματος σε win xp.

---- Στην πραγματικότητα ποτέ δεν ξέρεις εάν ένα αρχείο είναι ιός (και γενικά κακόβουλο πρόγραμμα) ή όχι. Υπάρχουν sites πχ. virustotal.com, όπου χρησιμοποιούν πολλαπλές ή εξειδικευμένες αναλύσεις των αρχείων για την αντιμετώπιση νέων απειλών από μολυσμένα αρχεία.
Οι τεχνικές προγραμματισμού πρακτικά είναι άπειρες ( όρα ιός stuxnet ), επομένως μόνο μέσω κάποιου αναγνωρισμένου προγράμματος μπορείς να είσαι καλυμμένος για προστασία (και αυτή ποτέ δεν είναι 100%).
«Μάθε από τα λάθη των άλλων γιατί δε θα προλάβεις να τα κάνεις όλα μόνος σου»
Οι Έλληνες είμαστε «θεατές των λόγων και ακροατές των έργων» (.... ο Θουκυδίδης το είπε !)
«Υπάρχουν τριών ειδών άνθρωποι. Αυτοί που κερδίζουν, αυτοί που χάνουν και αυτοί που καθορίζουν ποιοι κερδίζουν και ποιοι χάνουν! »

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 13:23

Οσ'αναφορα για το πως μπορω να ξερω αν ειναι false alarm, δεν υπαρχει δηλαδή καποιος τροπος να το ξερω ετσι?
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
hitca
Honorary Member
Δημοσιεύσεις: 1919
Εγγραφή: 13 Ιουν 2010 19:41
Τοποθεσία: Brussels
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από hitca » 01 Ιούλ 2011 13:36

Το ότι έχεις alarm (από κάποιο av) για κάποιο αρχείο δεν σημαίνει ότι σίγουρα είναι ιός, απλή προειδοποίηση είναι (υπάρχει και διαβάθμιση κινδύνου φυσικά).

Μπορείς να υποβάλλεις το ύποπτο αρχείο για ανάλυση και έλεγχο, είτε στην εταιρία av που είσαι πελάτης ( μέσω της διαδικασίας file submission που ενσωματώνουν συνήθως όλα τα σύγχρονα av), είτε σε άλλα sites πχ στο www.virustotal.com ή σε άλλα Community driven sites για επιπλέον ερωτήματα.

Αυτό που γίνεται συνήθως δεν είναι ακριβώς αυτό. Πολλοί χρήστες λόγω άγνοιας, αδιαφορίας, ημιμάθειας, απάθειας, μανίας, και πολλών άλλων ωραίων, χρησιμοποιούν μολυσμένα αρχεία και sites και συνήθως με μεταφορές αρχείων χωρίς στοιχειώδεις προφυλάξεις προξενούν τεράστια ζημιά σε ανύποπτους άλλους χρήστες.

Σαν το aids δηλαδή..... (προσέχουμε πάντα και παίρνουμε μέτρα προφύλαξης, αλλιώς... βράσε ρύζι)
«Μάθε από τα λάθη των άλλων γιατί δε θα προλάβεις να τα κάνεις όλα μόνος σου»
Οι Έλληνες είμαστε «θεατές των λόγων και ακροατές των έργων» (.... ο Θουκυδίδης το είπε !)
«Υπάρχουν τριών ειδών άνθρωποι. Αυτοί που κερδίζουν, αυτοί που χάνουν και αυτοί που καθορίζουν ποιοι κερδίζουν και ποιοι χάνουν! »

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 14:00

Μπορείς να υποβάλλεις το ύποπτο αρχείο για ανάλυση και έλεγχο, είτε στην εταιρία av που είσαι πελάτης, είτε σε άλλα sites πχ στο www.virustotal.com ή σε άλλα Community driven sites για επιπλέον ερωτήματα.
Ναι. το θεμα μου ειναι ότι δεν μπορω να το κανω αυτο καθε λιγο. Οταν ενας πελατης μου δίνει το laptop του γιατι ειναι γεματο ιους, και εγω το σκαναρω, αν περιμένω το support ο πελατης θα με π!δ!ξ3!..

Γιαυτο το λογο ρωταω αν υπαρχει καποιος τροπος εγω να ξερω αν ειναι false alarm ή οχι.
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
hitca
Honorary Member
Δημοσιεύσεις: 1919
Εγγραφή: 13 Ιουν 2010 19:41
Τοποθεσία: Brussels
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από hitca » 01 Ιούλ 2011 14:48

Αυτό που αναφέρεις είναι τελείως διαφορετική περίπτωση..... (για τον ίδιο λόγο πάντως) και πιο επαγγελματική.

Σου υπενθυμίζω ότι αρκετές (ή όλες) οι αλυσίδες service ΔΕΝ κάνουν εύκολα τέτοιες εργασίες, απλώς format (....και πάρτο - φύγε).

Η εκκαθάριση υπολογιστών από ιούς απαιτεί τρομακτικά επίπονη προσπάθεια και τεράστια εμπειρία. Είναι επιπλέον εξαιρετικά πολύπλοκο θέμα με δεκάδες υποπεριπτώσεις, αναλύσεις και εμπλεκόμενα προγράμματα, αρχεία, εγγραφές κλπ.

Εγώ προσωπικά έχω πάθει πλάκα με το τί γίνεται και απαιτείται για αξιόπιστες λύσεις προβλημάτων με μολύνσεις (και έχω και >10ετή πείρα και ίσως και «ντοκτορά» (....τρόπος του λέγειν) σε ιούς (...και κόρες !)

Θα πρέπει να γνωρίζεις όλες (ή τουλάχιστον όλες) τις φυσιολογικές εγγραφές των κανονικών προγραμμάτων, τα αρχεία εκκίνησής τους, τις διαφορές των λειτουργικών συστημάτων και γενικά απαιτείται μεγάλη εμπειρία.

Κάτι άλλο είναι η χρονοτριβή που είναι πολύ μεγάλη, δηλαδή για μία περίπτωση μόνο μπορεί να απαιτείται 2 ημέρες, άρα ανάλογη θα είναι και η αμοιβή.
Εναλλακτικά ζητάς μια υψηλή αμοιβή ( για το σύνολο των εργασιών) και εάν συμφωνήσει ο πελάτης σου καλώς, αλλιώς θα δουλεύεις 1 μέρα τουλάχιστον σαν τρελλός με το άγχος της επίλυσης και στο τέλος μπορεί να πληρωθείς με ...φιλοδώρημα.
Καλύτερα να μήν αναλάβεις τίποτα, του λές αγόρασε ένα av μόνος σου, βάλτο, ψάχτο και ότι γίνει έγινε, άς πρόσεχε σε τελευταία ανάλυση ή άς πληρώσει για να ασχοληθεί κάποιος (...σοβαρά και υπεύθυνα).
«Μάθε από τα λάθη των άλλων γιατί δε θα προλάβεις να τα κάνεις όλα μόνος σου»
Οι Έλληνες είμαστε «θεατές των λόγων και ακροατές των έργων» (.... ο Θουκυδίδης το είπε !)
«Υπάρχουν τριών ειδών άνθρωποι. Αυτοί που κερδίζουν, αυτοί που χάνουν και αυτοί που καθορίζουν ποιοι κερδίζουν και ποιοι χάνουν! »

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 14:54

Κοιτα, το format-ακι εννοείτε οτι το κανω. αλλα οταν ο άλλος εχει μεσα εργασιες απο το παν/μιο και προσωπικές photos, και τα θελει, δεν μπορω να μην τα παρω. Και οταν αυτα μου τα βγαζει ιους...

Δεν καθομαι να scan-αρω file system και προγραμματα. κατευθειαν για format παει, αλλα τα personal data, ειναι personal data
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
Jimaek
Δημοσιεύσεις: 608
Εγγραφή: 18 Ιαν 2010 22:54
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Jimaek » 01 Ιούλ 2011 15:25

Κανε backup τα Personal data μετά format και μετά του αντιγράφεις πίσω τα αρχεία. Εμείς έτσι κάναμε στο Service όταν δούλευα παλιά.

Άβαταρ μέλους
hitca
Honorary Member
Δημοσιεύσεις: 1919
Εγγραφή: 13 Ιουν 2010 19:41
Τοποθεσία: Brussels
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από hitca » 01 Ιούλ 2011 15:26

Δηλαδή δεν μπορεί να έχει σε ένα flash usb τα αρχεία του; .... εάν είναι μολυσμένα ή όχι, ΑΔΙΑΦΟΡΕΊΣ. Άς αγοράσει av.

-- να προσέξεις μη «μπλέξεις» και να απομονώσεις δικό σου υπολογιστή από τη διαδικασία για σιγουριά με τα ύποπτα αρχεία. Με έναν εξωτερικό δίσκο θα κάνεις άριστα και γρήγορα τη δουλειά σου. Άς αποφασίσει αυτός τι θα κάνει με τα αρχεία του είτε είναι μολυσμένα είτε όχι.
«Μάθε από τα λάθη των άλλων γιατί δε θα προλάβεις να τα κάνεις όλα μόνος σου»
Οι Έλληνες είμαστε «θεατές των λόγων και ακροατές των έργων» (.... ο Θουκυδίδης το είπε !)
«Υπάρχουν τριών ειδών άνθρωποι. Αυτοί που κερδίζουν, αυτοί που χάνουν και αυτοί που καθορίζουν ποιοι κερδίζουν και ποιοι χάνουν! »

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 16:26

να προσέξεις μη «μπλέξεις» και να απομονώσεις δικό σου υπολογιστή από τη διαδικασία για σιγουριά με τα ύποπτα αρχεία
Δεν εχω ανάγκη εγω. Mac εχω, και επανω scan-άρω τους δισκους τω πελατων με το avast for mac (το οποιο βλεπει και γιους για windows).
εάν είναι μολυσμένα ή όχι, ΑΔΙΑΦΟΡΕΊΣ
Δεν το θεωρώ σωστο αυτο
:P

Τα windows τα εχω ξαναπεράσει ουτος η αλλος απο την αρχη απο το πρωτο 10λεπτο που μου τον εδωσε - αφου πηρα τα αρχεια του - , και το θεμα ειναι ότι βγαζει γιους σε .xls και jpeg αρχεια και με παραξενει γιατι ειναι αρκετα σπανιο αυτο. Επισης μου εβγαλε και σε ενα δικο του (οχι κατεβασμένο) rar αρχειο σαν decompression bomb, και μεσα στο avast που κοιταξα, λεει ότι μαλλον δινει false alarm.. Μαλλον, οχι σίγουρα..
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Άβαταρ μέλους
hitca
Honorary Member
Δημοσιεύσεις: 1919
Εγγραφή: 13 Ιουν 2010 19:41
Τοποθεσία: Brussels
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από hitca » 01 Ιούλ 2011 17:25

Δικαίωμά σου να θεωρείς σωστό ότι θέλεις....
Εγώ τόνισα αυτό το σημείο, μόνο και μόνο για να σε προφυλάξω από τις παρενέργειες (που ήδη αντιμετωπίζεις). Το ότι βασίζεσαι αποκλειστικά ( ; ) σε ένα av δεν λέει τίποτα για την αποτελεσματικότητα της αντιμετώπισης ύποπτων αρχείων.

Για να στο θέσω αλλιώς και να γίνω πιο σαφής, ίσως θα ήταν προτιμότερο να του δώσεις τα αρχεία του σε κάποιο εξωτερικό μέσον (cd, dvd, flash usb κλπ.) με την σαφή προειδοποίηση ότι ΙΣΩΣ είναι μολυσμένα.

Δοκιμαστικά αφού ο «νέος» υπολογιστής είναι απολύτως έτοιμος (με την ανάλογη χρονοτριβή πάντα) και εξοπλισμένος με ένα καλό επώνυμο av (απολύτως ενημερωμένο εννοείται), να δοκιμάσεις από το εξωτερικό μέσον να αντιγράψεις ΛΙΓΑ ΜΟΝΟΝ αρχεία και μάλιστα από τα συγκεκριμένα που θεωρούνται μη ασφαλή. Τότε θα φανεί και η συμπεριφορά του av απέναντι στο ύποπτα αρχεία και θα έχεις κάνει διπλό έλεγχο πλέον (συν το ότι θα επιβεβαιώσεις και την αποτελεσματικότητα του av που χρησιμοποιείς.

----Όσον αφορά τα ύποπτα αρχεία τα ενδεχόμενα είναι φυσικά δύο ή να είναι μολυσμένα ή όχι. Αυτό θα το επιβεβαιώσεις στέλνοντας μερικά επιλεκτικά για ανάλυση και από την συμπεριφορά κατά την αντιγραφή/μεταφορά στον υπολογιστή.
«Μάθε από τα λάθη των άλλων γιατί δε θα προλάβεις να τα κάνεις όλα μόνος σου»
Οι Έλληνες είμαστε «θεατές των λόγων και ακροατές των έργων» (.... ο Θουκυδίδης το είπε !)
«Υπάρχουν τριών ειδών άνθρωποι. Αυτοί που κερδίζουν, αυτοί που χάνουν και αυτοί που καθορίζουν ποιοι κερδίζουν και ποιοι χάνουν! »

Άβαταρ μέλους
Connor MacLeod
Honorary Member
Δημοσιεύσεις: 13372
Εγγραφή: 07 Φεβ 2005 13:36
Τοποθεσία: Κοζάνη
Επικοινωνία:

False Alarms και ερωτησεις για λειτουργία antivirus

Δημοσίευση από Connor MacLeod » 01 Ιούλ 2011 17:35

...με την σαφή προειδοποίηση ότι ΙΣΩΣ είναι μολυσμένα.
Αυτο σκεφτόμουν κι εγω να κανω
Meizu MX5(5.5"/8Core/3GB/32GB/Sony IMX220 20.7MP)
PC 27'' (3770@3.4/16GB/560SE/500GB SATA3/650W S12G)
Mac mini (2.5GHz/8GB/6630/90GB GorsairGT)

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες