Бывший разработчик Firefox: удалите сторонние антивирусы

    Разработчик Firefox и хакер Роберт О'Каллахан временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок. Он призвал пользователей к немедленному удалению сторонних антивирусов со своих компьютеров (Windows Defender лучше оставить).

    «Теперь [после ухода из Mozilla] я могу безопасно сказать: разработчики антивирусных программ ужасны; не покупайте антивирусные программы, и удалите уже установленные (кроме Microsoft, если вы под Windows [10]», — заявил Роберт.

    Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности. Специалист добавил, что если человеку приходится использовать устаревшие системы Windows 7 или, не дай бог, Windows XP, то сторонние антивирусы всё-таки помогут ему быть не в полной дыре — чувствовать, что есть хоть какая-то защита.

    Призыв удалить вредные сторонние антивирусы относится, конечно же, в первую очередь к Windows 10. И главным образом он касается платных программ, потому что если вы установили бесполезную вещь бесплатно — это одно, а если вы установили бесполезную вещь за деньги и продолжаете платить — это совсем другое. Тем более что сторонние антивирусы не всегда можно назвать нейтрально бесполезными, ведь они потребляют ресурсы CPU и заряд аккумулятора на мобильных устройствах, так что пользователям приходится ещё отдавать вычислительные ресурсы этим «дойным коровам» рынка информационной безопасности. И самое главное — сторонние антивирусы могут значительно ухудшить безопасность ПК.

    «В лучшем случае есть призрачный шанс, что основной немайкрософтовский антивирус хотя бы немного повысит безопасность. Более вероятно, что они значительно ухудшат безопасность. Например, посмотрите на список уязвимостей в антивирусных продуктах, перечисленный на страницах каталога уязвимостей Google Project Zero».


    Пример исправления 0-day уязвимостей в популярном антивирусном продукте, 2015-2016 гг.

    В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.

    Наличие серьёзных багов в антивирусах даёт понять две вещи:

    1. Антивирусы открывают злоумышленникам разнообразные векторы для атаки.
    2. Антивирусы пишут не соблюдая стандартные правила безопасности.

    Роберт О'Каллахан — не единственный, кто упрекает антивирусы во вредительской деятельности. С таким же мнением недавно выступил Джастин Шух (Justin Schuh), один из программистов проекта Google Chrome. В длинном треде обсуждения темы антивирусов и безопасности он сказал такую фразу, чтобы наиболее понятно объяснить оппоненту свою точку зрения: «Антивирус — это единственное самое большое препятствие, которое мешает выпуску безопасного браузера».


    Шух пояснил, что антивирусы «отравляют программную экосистему», потому что их инвазивный и плохо написанный код осложняет браузерам и другим программам возможность обеспечить собственную безопасность. О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.

    Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов. А ведь это время можно было уделить другим вопросам безопасности.

    «Самое большое коварство заключается в том, что разработчикам программ трудно говорить вслух об этих проблемах, потому что они нуждаются в содействии со стороны антивирусных вендоров, — говорит О'Каллахан. — Может быть, за исключением Google, в последнее время. Пользователей ввели в заблуждение, что антивирус обеспечивает безопасность, и никто не хочет, чтобы производители антивирусов плохо высказывались о вашем браузере. Антивирусы стоят повсеместно, и если он ломает ваш браузер, то вам нужно их содействие для исправления ситуации». Разработчики браузеров не могут прямо и официально сказать пользователям отключить антивирус, потому что если вдруг случится что-нибудь плохое, что антивирус потенциально мог бы предотвратить, то все шишки достанутся им.

    «Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус. Ещё хуже, если они делают вашу программу невероятно медленной и раздутой, пользователи думают, что именно такой медленный и раздутый ваш браузер», — удручающе заключает О'Каллахан, напоминая ситуацию с браузером Firefox, который потреблял огромное количество оперативной памяти после установки антивирусных модулей McAfee.

    Антивирус — очевидная брешь в безопасности компьютера не только из-за новых опасных уязвимостей, которая она добавляет в систему. Это уязвимость изначально по своей природе, ведь многие антивирусы устанавливают собственные корневые сертификаты по умолчанию без предупреждений, внедряясь в HTTPS-трафик по принципу MitM. Большинство антивирусов — это в любом случае деградация защиты HTTPS, о чём неоднократно предупреждали специалисты по ИБ.

    Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера (сильнее Windows Defender тормозит систему только антивирус от Trend Micro).
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 211
    • –14
      Удалите антивирусы! Нам трудно стало за вами следить?
      • +12
        А если следят через антивирусы?
      • 0
        какой-то сомнительный эксперт, видел я десятку, где вполне себе родной atimalware сервис жрал 90% cpu… да и слежка от MS вполне доказана, чего про dr.web например не слышал.

        p.s. ни разу не адепт антивирусов, считаю их все мусором, только права, песочница и файервол реально могут чем-то помочь… ну и, разумеется, делать бэкапы хотя бы иногда и самого важного)
        • 0
          Можно пожалуйста примеры доказательств.
          • +2
            Слышали про телеметрию в Windows и хост vortex.data.microsoft.com? Это не шутки.
            Вот прямо сейчас запускаю сетевой сниффер, а затем Visual Studio и начинаю дебажить программу.
            На каждое безобидное действие, типа Step в отладчике, в интернет уходит 500-килобайтный json-пакет, исчерпывающе описывающий что я делаю, над каким проектом работаю:

            А чуть выше, в том же пакете — все идентификационные данные аккаунта, оси, домена, тип проца, памяти, экрана, mac-адрес, даже свободное место на диске

            Если NSA спросит у Microsoft, кто работал над какой-то неприятной утилитой, а автор не закрывал свою винду от инета, Microsoft всё расскажет.
            • 0
              Visual Studio не является компонентом по умолчанию в Windows.
              • +1
                Я думаю, все актуальные продукты Microsoft участвуют в Customer Experience Improvement Program. Это универсальный фреймворк, с которым MS будет дружить всё больше и больше своих продуктов.
            • 0
              доказательств чего? что десятка может жрать, или что песочницы и права надежнее антивирусов с базой?
              • +1
                Я понял, это относилось к цитате
                да и слежка от MS вполне доказана
                • 0
                  то есть сервисы телеметрии (да не важно, что именно они собирают и как это объясняют) еще и доказывать надо?
                  • +2
                    Всё надо доказывать. На слово никому верить нельзя.
        • +15
          По сути он прав, AdBlock (и аналоги) защищают от вирусов из инета весьма не плохо, если вы сами своими руками не ставите всякую гадость и регулярно обновляете ОС, то антивирус даже от MS, на практике, ни к чему.
          • +2
            А как вы без песочницы справитесь со сценарием «при заходе на ваш любимый сайт, который взломан злоумышленником, отдаётся эксплоит-пак с 0-day»?

            Код браузер может выполнить и без вашей команды. Вспомнить хотя бы недавнюю уязвимость, срабатывавшую от специально сформированного изображения.
            • +6
              И как по вашему антивирусы помогают от 0-day?
              От хорошего 0-day в первую очередь помогают правильно настроенные права (чтобы пользователь не работал под локальным администратором), и песочника в которой проверяются все скачиваемые файлы, но
              пока они не очень распространены (и тоже не дают 100% выявления вредоносов).
              • +1
                Помогают не антивирусы, а песочница. На неё я и намекал, отвечая на комментарий, смысл которого сводился к «достаточно не ставить всякую гадость руками и обновлять софт». Этого недостаточно, нужна песочница.
              • 0
                В песочнице нужна не столько проверка, сколько запрет запуска всего, что не относится к браузеру (браузер, флеш и т.д.) + умение песочницы обрабатывать запуск браузера пользователем и помещать его автоматически в песочницу. Если браузер будет «пробит», то вредоносная «нагрузка» осядет в песочнице, не получив даже возможности запуститься.
              • +1
                Браузер по-хорошему тоже нужно из песочницы запускать.
                • 0
                  Это было первое, что я посадил в песочницу. К сожалению, совместимость с песочницей иногда ломается, потому приходится ждать фиксов и сидеть на устаревшей версии браузера.
                  • 0
                    А какую песочницу Вы используете? Я вот для себя недавно открыл firejail (это, правда, только для Linux) — замечательная песочница с готовыми конфигами для большого количества популярного ПО.
                    • 0
                      Под linux как-то не было стимула юзать песочницу, а под винды у меня куплена лицензия на sandboxie. У меня несколько десятков песочниц, все могут читать общую ФС, каждый пишет только в свою виртуальную ФС, запись в реальную ФС только для директории downloads и диску E:, где лежит всякий хлам. Доступ к сетевым функциям, службам и др только тем, кому это нужно.
                      • 0
                        Я тоже из-под винды Sandboxie использую, пока проблем не было. В Debian использую MBox, он притом бесплатный.
              • 0
                то антивирус даже от MS, на практике, ни к чему.

                Очень даже к чему.
                Если у вас не будет антивируса, то Окошки вас замучают воплями об опасности.

                • +2
                  Это отключается в настройках
                  • 0

                    Не подскажете где? А то на компе жены Win7 и для успокоения души поставил ClamWin+Clam Sentinel, но они не регистрируют себя как антивирус, и постоянно весит предупреждение в трее. Не часто за этот комп сажусь, но раздражает. А основа: внимательно смотреть на расширение файла. Программы самой не ставить, поэтому в расширениях не должно быть, как минимум, .exe. Для проверки: выделить файл и нажать F2 (это для случая забивания пробелами).


                    В общем, пока блокировок не хватал, вирусов тоже. У родителей Linux Mint, обновляю удалённо. Там проблем с самого появления компов [у них] не было.

                    • 0

                      Мой компьютер правой кнопкой- управление — службы. Там нахожу две: брандмауэр и центр обеспечения безопасности. Сначала останавливаю их потом выбираю параметр отключено, чтобы не загружались после перезагрузки больше.
                      Если ЯЧДНТ, поправьте..

                      • 0
                        В десятке такое не работает, уведомление будет и с остановленной службой. Поэтому остаётся отключить всё что можно в самом центре безопасности.
                      • 0
                        Панель управления — Центр поддержки
                  • +1
                    Это все, конечно, прекрасно, но пользователей, которые отдают отчет своим действиям меньше 1/5.
                    Статья оригинала больше похожа на вброс, ибо, во-первых, даже на скрине видно, что уязвимости пофикшены, и во-вторых, с тем же успехом на том сайте можно найти огромные уязвимости как всеми нелюбимой ОС, так и браузера топик ориджина.
                    • 0
                      Ну и, для большей защиты, лазать в браузере с любой не-Windows операционной системы (хотя бы под виртуалкой, в VirtualBox в режиме интеграции), и вирусы физически не смогут навредить основной системе (остаётся лишь костыль, чтобы URL-запросы из основной оси передать в гостевую)
                    • +4
                      > сильнее Windows Defender тормозит систему только антивирус от Trend Micro.

                      Интересно было бы увидеть подобные тесты проведенные уже на Win10. По ссылке в статье исследование проводилось на Win7.
                      • 0

                        В Win10 встроенный дефендер тормозит ещё как

                        • 0
                          Забавно то, что из собственного опыта (семь с лишним лет сисадминства) именно продукты ТрендМикро БЫСТРЕЕ втроенных решений МС (во всяком случае, в период Windows 8/8.1 точно было) и что именно они, в отличие от других антивирусных решений, на большом парке машин отлавливали что-то новое и пару раз критическое.
                          • 0
                            Есть с чем сравнить корпоративные решения TrendMicro? Счас юзаем Kaspersky Enpoint Security.
                          • +1
                            А в чем тормоза выражаются? Windows Defender включен постоянно. Проверку делаю вручную когда захочу. Тормозов системы из-за него не видел ни разу.
                            • +1
                              Выражаются в том, что при нагрузных файловых операциях (копирование каталога с 10000+ мелких файлов) Anti Malware Service Executable в списке процессов грузит процессор очень сильно). Причем это продолжается еще некоторое время после завершения файловой операции.
                              Погуглите по ключевым словам «anti malware service executable грузит систему» и поймете, что проблема затрагивает очень многих пользователей.
                              • +1
                                Или внезапна запустится задача проверки или обновления, что на слабом процессоре выльется в такие дикие томроза, что можно повеситься.
                                • 0
                                  А если сторонний антивирус тоже не настраивать, то он так делать не будет, да?
                          • +3
                            А другого софта кроме браузеров не существует, как и других способов распространения заразы…
                            • 0
                              Антивирусы как правило внедряют своих агентов в работу браузеров и другого ПО, для эффективной работы самих себя, отсюда резкая критика именно этого вида софта. Остальное программное обеспечение, мешающее работе приложений, не так распространено как антивирусное.
                              • +1
                                Я про то, что высказывания именно про браузер, будто бы это пуп земли (системы) и единственный источник потенциальной заразы. Это как если бы производитель противогазов жаловался на общий защитный костюм, и призывал отказаться от него, чтобы они могли сделать более безопасный/функциональный противогаз.
                                • 0
                                  Есть подозрение, что более 99% заражений происходит через браузер или скачанное через него.
                                  • 0
                                    Есть подозрение, что с появлением IOT, это уже не так
                                    Ну и не забываем почту.
                                    • +7
                                      Ну и не забываем почту.

                                      Которую сейчас тоже все смотрят через браузер.

                                      • +4
                                        Очень и очень «не все».
                                        • +4
                                          Отчего минусуете? В вашем окрушении все пользуются веб-интерфейсом gmail, mail, yandex? Никто не использует standalone клиенты? Среди моего окружения процентов 30 используют что-то стороннее.
                                          • +1
                                            Не стоило бы айтишнику судить о происходящем у простых пользователей по своему окружению :)
                                            • 0
                                              Речь шла не о простых пользователях, а кванторе общности «все»
                                        • +5
                                          Теперь осталось только отучиться говорить за всех.
                                    • +1

                                      У большей части населения это чуть ли не единственное используемое в ОС приложение, если в браузер встроить смотрелку личных фотографий и видео в остальных вообще потребность отрасть может.

                                      • 0
                                        Остается только встроить в него ОС :) хромос не видел, не этим ли путем они пошли? :)
                                • –2
                                  но многие пользователи не обновляют антивирус и не устанавливают патчи
                                  Проблема здесь.
                                  антивирус — очень соблазнительная мишень для хакеров
                                  А для этого есть firewall. Внешние подключения к антивирусу вообще не нужны, только запрос свежих баз. Если же есть уязвимость локальная, это всё равно оказывается безопаснее, чем без антивируса вовсе.
                                  Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус.
                                  Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.
                                  • +6
                                    А для этого есть firewall. Внешние подключения к антивирусу вообще не нужны, только запрос свежих баз.

                                    Почитайте список выложенных ошибок. Так далеко не сетевые ошибки. Там ошибки парсинга файлов с порчей памяти и переполнениями. Как от них спасёт фаярвол?
                                    • –4
                                      Ответ на этот вопрос тоже есть в моём предыдущем комментарии.
                                      • +5
                                        Как фаярвол спасает от ошибок парсинга файлов? Я его не вижу может покажите?
                                        • –2
                                          Если же есть уязвимость локальная, это всё равно оказывается безопаснее, чем без антивируса вовсе.
                                          То есть, если вирус уже локально исполняется, то больше вероятность поиметь проблем без каких-либо антивирусов вовсе, нежели при использовании уязвимостей внутри антивируса, что требует куда большего профессионализма от вирусописателя, нацелено на конкретную версию конкретного антивируса, а поэтому весьма и весьма реже случается.
                                          • +1
                                            Если он уже исполняется, то вы уже поимели проблемы независимо от того есть у вас антивирус или нет. Да может с очередным обновлением этот чудо защитник прозреет, но шанс что ваши пароли уплыли а данные зашифрованы гораздо выше.
                                            • –2
                                              Именно так я и сказал. Просто Вы рассматриваете единичный случай вместо вероятности, хотя заражение и последующие его эффекты — вероятностный процесс. Идеально защищённый компьютер выключен и заперт в экранированном сейфе на секретном охраняемом объекте.
                                            • +7

                                              Проблема в том, что через антивирус проходит весь трафик по сети. И поскольку антувирус корраптит память просто при парсинге архивов, то сам антивирус является источником этого локального вредоносного кода.

                                              • –2
                                                Вот только при нормальной работе через антивирус трафик по сети не проходит, за исключением кэша браузера и загрузок. Загрузки — это уже вина пользователя, а в кэше не должно быть ничего такого, что требует сложного парсинга. Да, и фоновое сканирование архивов вообще малополезная практика, т.к. ресурсов пожирает много, а в результате файлы будут всё равно пересканированы при извлечении и запуске.
                                                • +4
                                                  Простите а разве не должен антивирус защитить пользователей от скачивания вредоносных файлов?
                                                  И да при нормальной то работе антивируса не должен трафик через него идти, но сейчас очень много комплексных решений.
                                                  • –3
                                                    Антивирус должен защищать от запуска вредоносного кода. Все остальные свистелки опциональны.
                                                    • +2
                                                      Так зачем тогда он пытается распаковывать архивы да ещё и сам себе в ногу стреляет?
                                                      • –2
                                                        Производителям выгодно нагрузить в антивирус побольше модулей, которые дадут маркетинговое преимущество, и за которые пользователь в результате будет доплачивать. Можно будет нарисовать красивую табличку с графой «защита веб», где около своего продукта влепить галку, а у других — крест.
                                                        • +4
                                                          То есть по вашим словам получается большая часть антивируса это «маркетинговое преимущество» и лишь малая оставшаяся часть попытки выполнять то что он должен.
                                                          • –2
                                                            Всё зависит от антивируса, их весьма много разных.
                                                            • +1
                                                              Вы так говорите, как будто это не так.
                                                              И не только для антивирусов.
                                                        • 0
                                                          Тогда странно:
                                                          То есть, если вирус уже локально исполняется, то больше вероятность поиметь проблем без каких-либо антивирусов вовсе

                                                          Он уже не защитил, всё остальное опционально, но всё же с ним как то лучше?
                                                          • –1
                                                            И на этот вопрос я уже ответил. Вы рассматриваете одно единственное заражение, а я — парк в 1000 компьютеров, которые мне приходится обслуживать. От единичных заражений никто вас не защитит, но избежать эпидемии с антивирусом куда проще, нежели без него.
                                                  • +4
                                                    Вообще говоря, это неверно.

                                                    Вирус, запущенный под учётной записью пользователя имеет ограниченные возможности влиять на систему. Если же этот вирус может действовать от лица антивируса, то и возможности его становятся практически неограниченными.
                                                    • –2
                                                      Локальное повышение привилегий под виндами — очень типичная практика для вирусов, поэтому я бы не стал хоть сколько-нибудь рассчитывать на ограниченную учётку.
                                            • +4
                                              >> Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус.
                                              > Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.

                                              А причем тут проблема пользователя? Это проблема репутации браузера.
                                              Закрашился браузер — значит плохой браузер. Далеко не каждый пользователь будет задумываться с чем конфликтует браузер. Он просто скачает за 5 минут другой браузер и все, клиент потерян.
                                              Разработчик так и говорит, что уйма времени уходит на доработку браузера, чтобы он работал со всеми антивирусами, причем требования почти всегда односторонние.
                                              • –4
                                                Почему нам как пользователям это должно быть интересно?
                                                • +5
                                                  Например после того, как вы это прочитали, то после краша браузера, вы можете поменять не браузер, а именно антивирус.
                                                  А это полезно знать.
                                                  • 0
                                                    Браузеров обычно уже несколько стоит. А вот менять антивирус это головняк.
                                                    • +4
                                                      Менять основной браузер — это переносить, как минимум, все закладки. А у меня ещё пара десятков вкладок открыта (и оставлена на потом)…
                                                      А менять антивирус — это всего лишь приобрести новую лицензию.
                                                      • 0
                                                        >Менять основной браузер — это переносить, как минимум, все закладки
                                                        тоже мне проблема, нормальные браузеры поддерживают импорт-экспорт.

                                                        >А менять антивирус — это всего лишь приобрести новую лицензию.
                                                        А если лицензия уже куплена на 2 года вперед на парк машин?
                                                    • +2
                                                      Почему бы не отказаться от антивируса совсем. Это будет куда полезнее.
                                                      Три года не нуждался в антивирусе, сидя под ограниченной учёткой и зажатыми политиками, а если есть какой-нибудь sandboxie — то тут даже сложно представить риск. От 0day антивирус не спасёт в любом случае, как уже написали выше.
                                                      • +1
                                                        У меня дома вместо антивируса работают brains.dll и hands.sys

                                                        Но есть родственники, знакомые, родственники знакомых, которые не понимают что такое «сайт производителя», которые не способны сперва подумать, а потом открывать.
                                                        И на рабочем месте, например, антивирус может быть просто обязательным согласно инструкций сверху, и против регулятора не попрешь никак.
                                                  • 0

                                                    Поменять браузер? Да ладно? Сдается мне, большинство систему поменяет, но не браузер

                                                    • 0
                                                      Солидарен )) Но за всё время у меня никогда FF не конфликтовал с моим антивирусом, а тот не блокировал обновления. Да и в статье не написано за какие «деньги» можно ставить файрвол. Так что статья — очередной вброс для тех, кто отказался от «устаревшей» ОСи.
                                                      Рынок потребления не может стоять на месте.
                                                      • 0
                                                        никогда FF не конфликтовал с моим антивирусом

                                                        Или это было выяснено и пофикшено на альфа/бета релизе и до вас не дошло.
                                                        • 0
                                                          Или это был другой антивирус и другой браузер :) FF у меня приемлемо работает даже на старых машинах с 1Gb RAM.
                                                          Кто-то подключён 24/7 к сети и не видит атак, плюёт на фантивирусйрволы и пользуется virustotal (который подписанные приложения не проверяет). Если не видно разницы — то и делать нечего не нужно ;)

                                                          Кто вспомнит браузер, который бы блокировал популярные торренты-клиенты со встроенным malware?
                                                  • +2
                                                    А для этого есть firewall
                                                    А в них уязвимости перестали уже находить что ли?
                                                    • –2
                                                      Уязвимости есть во всём. Хотите полной безопасности — выключите компьютер и спрячьте в сейф.
                                                    • +1
                                                      Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.


                                                      Нет. Есть эмпирическое опровержение. В 90-х были системы Windows 9x и Window NT 4.0. Первая считалась отстоем и имела народное прозвище must die, а вторая — супер стабильной. Просто первая не могла себе позволить защиту памяти, а вторая могла. И одни и те же программы в NT падали сами и пользователи ругались на программу, а в Win 9x падала сама система и пользователи ругали её. Если браузер упадёт — виноват в глазах пользователя будет он.
                                                      • 0
                                                        Фаервол не спасает, к тому же он имеет свои уязвимости. Как сейчас помню… уязвимость службы RPC… фаервол говорит что соединение заблокировано, а компьютер всеравно идет в перезагрузку — служба покрешилась от вируса.
                                                        Аппаратный в принципе помог бы, но решение так себе — мало того что дорогое так ещё и топорное(аппаратный фаервол не знает о сетевой активности приложений, видит только суммарный трафик) и помогает только от узкого спектра угроз.
                                                        • 0
                                                          Под Win7 — вполне спасает. Достаточно прикрыть всё виндовое и разрешать коннекты на уровне приложений. У меня так система годами стоит и никаких антивирусов не надо (а что-то странное из инета можно и на virustotal проверить).
                                                          • 0
                                                            Тут фишка в чём… фаервол тогда должен быть внешней оболочкой для всех служб, т.е. прописаться он должен на самом низком уровне, в святая-святых ядра виндовс. Кто его туда пустит? Иначе получается что обработка входящего сетевого трафика осуществляется ещё до того как она попадёт в фаервол, и уязвимость на этом этапе фаерволом прикрыта быть не может чисто физически. Конкретно с том случае, пакет с данными попадал в службу RPC раньше чем в фаервол! и толку от того что фаервол зарегистрировал атаку, когда служба уже уязвлена. Поэтому у программных фаерволов всегда будут подобные проблемы, ибо они не могут полностью заменить сетевое ядро для полного контроля. А аппаратный менее функционален, т.к. трафик для него выглядит безликим — что там передаётся на 80-й порт в интернет трафик от браузера, торрента или трояна ему неведомо, поэтому блокировать им конкретные приложения или шейпить трафик на уровне приложения не выйдет.
                                                            • 0
                                                              Кто его туда пустит?

                                                              В ХР х32 вполне можно ввинтится в ядро.
                                                              • 0
                                                                в том случае, пакет с данными попадал в службу RPC раньше чем в фаервол
                                                                Есть пруфы? Я как-то себе слабо представляю, что прикладная служба (особенно от MS) сама организует протокол TCP/IP, а не пользуется системным. Фаер висит на пакетном или кадровом уровне — ниже, чем TCP.
                                                                • 0
                                                                  Так RPC как раз и сесть самая системная служба. Всегда будет что-то что обрабатывает пакеты до программного фаервола, и там возможны уязвимости.
                                                                  Во времена трояна, Outpost как и все виндовые фаерволы, был обычной службой и получал доступ к сетевому стеку штатными средствами, и в этом случае его «обработчик» был не самым первым после сетевого драйвера, первой пакеты обрабатывала служба RPC… потом они опомнились конечно и сделали свой драйвер, достаточно нестандартный который встраивался в систему нештатным путём чтобы быть поближе к сетевому стеку поэтому были проблемы с новыми операционками, да и в старых проблем хватало.
                                                                  • 0
                                                                    Так RPC как раз и сесть самая системная служба
                                                                    «Прикладная» для сетевого стека. В том смысле, что живёт не в ядре, а в процессе svchost.exe, работает поверх TCP, как любая прикладная программа.

                                                                    в этом случае его «обработчик» был не самым первым после сетевого драйвера, первой пакеты обрабатывала служба RPC
                                                                    Служба слушает сокет, она конечный потребитель пакетов. Если пакет до неё дошёл, на этом его путь закончен, дальше он никуда не может пойти.

                                                                    Я думаю, это дыра/бага файрвола, имея возможность зафильтровать пакеты, он их пропускал.
                                                                    • 0
                                                                      В этом и состоит загадка. Очень маловероятно чтобы это была уязвимость фаерволов, т.к. ни один из них не мог справится с этой задачей — пакет видят, блокируют, а служба всё равно уязвлена. Если не ошибаюсь, это был Blaster. Год это был 2004, все локальные сети штормило… Фаервол регистрирует пакет, блокирует его но всё тщетно — даётся минутный отсчет до перезагрузки… разные фаерволы пробовал, один фиг.
                                                        • +9
                                                          Это конечно все интересно, но мне как-то непонятно:
                                                          • какое отношение разработчик Firefox имеет к антивирусам
                                                          • каким образом «корпоративные обязательства» Mozilla запрещали ему раньше «резать правду матку» по поводу антивирусов разрабатываемых 3-ми компаниями?


                                                          Не имея ответов на эти два вопроса, все написанное воспринимается не более, чем очередная теория заговора
                                                          • +4
                                                            По второму пункту в статье написано: «Самое большое коварство заключается в том, что разработчикам программ трудно говорить вслух об этих проблемах, потому что они нуждаются в содействии со стороны антивирусных вендоров, — говорит О'Каллахан.»
                                                            • 0
                                                              Если так, значит они сами себе злобные Буратины. Если бы они на антивирусы не оглядывались бы, то компаниям, занимающимся разработкой антивирусного ПО пришлось бы под них подстраиваться.

                                                              Более того, AFAIK, Firefox — это браузер с открытым исходным кодом по крайней мере раньше так было. Как-то странно говорить, о том, что компании занимающиеся разработкой антивирусов требуют от разработчиков скрывать подобную информацию, если она приводит к «хакам» в исходном коде программы, для совместимости с антивирусом, при условии что исходный код программы доступен третьим лицам.
                                                              • 0
                                                                Мало того, что это странно, это вообще подрывает всю концепцию открытого исходного кода… Может и в ядро лиукса также для совместиимости со спецслужбами что-то добавляют, а мы и не знаем?
                                                                • 0
                                                                  Видел интересное решение у опенсорсного ApexDC++
                                                                  При креше он сканирует внедрённые DLL-ки и если находит одну из своего списка, пишет сообщение

                                                                  LIB_CRASH, // "Application ""%s"" caused an unhandled exception in ApexDC++. Please uninstall it, upgrade it or use an alternate product."

                                                                  Юзер уже знает, что программа падает из-за чего-то внешнего.
                                                              • +2
                                                                По первому пункту, тоже есть в статье:
                                                                Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов.

                                                                Я сам уже 5 лет не использую антивирусы. хватает разных плагинов к браузеру типа NoScript, HTTPS Everywhere и другие. Иногда проверяю бесплатными утилитами от того же Касперского или доктор веба.
                                                                • 0
                                                                  В огороде Бузина, а в Киеве дядька.

                                                                  Это только объясняет проблемы браузера с антивирусами, но абсолютно индифферентно к теме дыр в антивирусах.

                                                                  Языком аналогий, это все равно, что поднимать тему коррупции в правоохранительных органах, а в качестве обоснования приводить пример, что у тебя патрульные вечером остановили и попросили паспорт показать, потому, что ты им показался подозрительным.
                                                                  • +1
                                                                    Вы никогда не встречали сообщения что разработчики какого-либо ПО «сотрудничали» с антивирусными компаниями чтобы антивирусы перестали на них ложно реагировать? Если сотрудники FF будут на лево и на право говорить что антивирусы — уг, то сотрудники антивирусных компаний будут обижаться и отвечать на письма «Ваш антивирус удалил explorer.exe browser.exe» в последнюю очередь.

                                                                    Это политика, а не логика.

                                                                    И у каждых компаний свои соглашения о неразглашении, мои вот продукты сейчас уходят пограничникам и военным, и никакого запрета на неразглашение я даже устно не получал. Хотя ничего секретного и нету, но я бы не стал подробности делать публичными. А вот на моей первой работе нельзя было сказать ни слова, даже выговор получил как раз за мнение о смежном продукте, но не поняв такой политики партии просто уволился.
                                                                • +1
                                                                  Сложно публично сказать, что антивирус X плохой, если ты официально являешься разработчиком (и представителем) браузера Y.
                                                                  Потому что антивирус может выпустить очередное обновление, в котором браузер Y будет крашится, и пока успеет выйти обновление, потеряет своих клиентов. Браузер Y, такого давления на антивирус X оказать не может.
                                                                  • +1
                                                                    > Браузер Y, такого давления на антивирус X оказать не может.

                                                                    Почему не может? «Вы пытаетесь получить доступ к заблокированому ресурсу»
                                                                    • 0
                                                                      И в итоге пользовать открывает другой браузер и качает нужный ему антивирус.
                                                                      Будет мне ещё браузер указывать, куда ходить.
                                                                      • +1
                                                                        Вдобавок, антивирус, в глазах среднестатистической домохозяйки, гораздо более доверительная вещь, чем браузер. «Антивирус же делают для защиты — значит он лучше знает, чем браузер.»
                                                                    • +1
                                                                      О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.

                                                                      Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности.

                                                                      Соответственно, им приходилось договариваться с производителями антивирусов, чтобы не блокировали апдейты файрфокса и не мешали реализовывать свои собственные механизмы защиты.
                                                                      • 0
                                                                        По второму пункту было на Арстехнике:
                                                                        He then links to a mailing list thread in 2012, where he suggests keeping a list of the AV software that interferes with Firefox. Later in the thread, Mozilla PR swoops in and tells him to knock it off.
                                                                      • –1
                                                                        Я не понимаю, эпоха шароваров давно миновала, почему МС не сделает возможным запуск только подписанных модулей? С бесплатной выдачей сертификатов при предоставлении персоданных и налаженным механизмом отзыва? Пусть даже как отключаемую опцию.
                                                                        • 0
                                                                          Ну, хотя бы по тому, что существует огромное количество старого ПО.
                                                                          • 0
                                                                            Тогда полушутливый эпитет «прошивка для игор» окончательно утратит шутливую составляющую.
                                                                            • 0

                                                                              В Windows 10 все так и есть.
                                                                              Только сертификаты для подписи не дают бесплатно.
                                                                              Хотя недорого все же можно: купить аккаунт разработчика за $25 и распространять через Windows Store.

                                                                              • 0
                                                                                И будет Apple, получить подпись какой-нибудь Portable утилите — тот ещё гемор будет. Программ под винду миллионы, непосредственно исполняемые файлы и библиотеки исчисляются миллиардами, если не триллионами, и на каждую подпись?
                                                                                Если вам надо — есть политики безопасности, можно реализовать чёрные и белые списки.
                                                                                • 0
                                                                                  У macOS есть галочка — запускать только подписанное, либо всё что душе угодно.
                                                                                  • 0
                                                                                    Когда её ввели? Помню несколько лет назад с Riot Games был конфликт, из-за задержки патчей под мак, т.к. не было долго подписей.
                                                                                    • 0
                                                                                      Причем сертификат подписи стоит 99US$ в год и если вы заняты разработкой под мак — у вас он вероятнее всего есть.
                                                                                      В macOS кстати не галочка а radio button: AppStore/AppStore+DeveloperID/все
                                                                                      Опцию 'все' — недавно убрали из GUI, есть консольная команда + есть ОЧЕНЬ легко гуглящейся (но не совсем очевидный) способ как запустить неподписанное приложение, да — будет предупреждение.

                                                                                      вот если драйвера(Kext'ы) нужны — то либо отключать подпись для них (есть режим) либо писать запрос в Apple с описанием зачем оно нужно.

                                                                                      для Windows сертификат для подписи раньше не проблемы была через тот же StartSSL (не бесплатно но дешево) а сейчас — 200-300 и надо organization validation (привет индивидуальным разработчикам)

                                                                                      • 0
                                                                                        >> Причем сертификат подписи стоит 99US$ в год и если вы заняты разработкой под мак — у вас он вероятнее всего есть.
                                                                                        Что касается меня, то никаких денег я не платил но это не мешает кодить ни под мак ни под айфон (для себя).

                                                                                        >> В macOS кстати не галочка а radio button
                                                                                        Ну это кардинально меняет дело!
                                                                                        • 0
                                                                                          А вы не понимаете разницы между галочкой и radio button? Галочку можно поставить, а можно и снять, а radio button можно только переключить на другую, то есть переключатель режимов, а галочка просто выключатель, то есть включить-выключить. Понятно?
                                                                                          • 0
                                                                                            В ситуации «или или», одна галочка заменяет две radio button.
                                                                                            • 0
                                                                                              Не заменяет. По своей природе, изначально обе radio button могут быть НЕ ОТМЕЧЕНЫ.
                                                                                • +7
                                                                                  «Я работал в Мозилла, но они меня уволили из-за кризиса. Поэтому я хочу, чтобы как можно больше человек знали секрет, о котором знают лишь только работники этой компании...»
                                                                                  • +4
                                                                                    … и приняли очевидно в microsoft ;)
                                                                                    удалите уже установленные (кроме Microsoft, если вы под Windows [10]

                                                                                    если человеку приходится использовать устаревшие системы Windows 7

                                                                                    реклама вин10. подлиз засчитан :)
                                                                                  • +7

                                                                                    Что-то в статье заметный акцент на касперском...

                                                                                    • +5
                                                                                      … и на самодостаточности антивирусного решения Windows. Сразу вспоминается жалоба Касперского на Microsoft в ФАС.
                                                                                      • 0

                                                                                        … про его (defender) достаточность два важных слова сказано в последнем абзаце.
                                                                                        Хотя и желтовато, TOTAL у победителей всего на 10% выше проигравших.
                                                                                        Кстати, и ни слова про dr.web? Он не катируется за бугром?

                                                                                    • 0
                                                                                      когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR


                                                                                      Это вообще законно? Вроде как антивирус должен по максимуму использовать встроенные механизмы безопасности ОС, дополняя и усиливая их при необходимости. Описанное же поведение, ИМХО, для такого класса программ недопустимо.
                                                                                      • +1
                                                                                        Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности.

                                                                                        Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи.

                                                                                        Ну полагаю, кто не обновляет антивирус, тот и об ОС не особо заботится.

                                                                                        К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ.
                                                                                        А в браузерах и ОС нет уязвимостей неизвестных получается.

                                                                                        Унылый «хакер» какой то.
                                                                                        • +1
                                                                                          Недавно так же столкнулся с этим. У человека обратившегося в поддержку постоянно крэшилась наша программа, дампы указывали только на место крэша но причину понять не удавалось. Гугление помогло понять, что проблема была в антивирусе AVG, который приводил к крэшам сторонних приложений в модуле comctl32.dll
                                                                                          • 0
                                                                                            Например, посмотрите на список уязвимостей в антивирусных продуктах, перечисленный на страницах каталога уязвимостей Google Poject Zero

                                                                                            Посмотрел. Одна открытая уязвимость по Android. По остальным продуктам всё в состоянии Fixed.
                                                                                            Android на большинстве устройств не обновляется, антивирус, если стоит, обновляется. Вопрос «нужен ли антивирус?» в данном случае риторический, как мне кажется.
                                                                                            • +3
                                                                                              Антивирус под Андроид я вообще не могу понять. Мне кажется, он даёт не больше безопасности, чем наклейка на корпус с заклинаниями. Не имея рута, пусть даже имея права администратора устройства, всё, что он может — это проверить хеши установленных программ на наличие их в базе. Антивирусы под DOS когда-то так работали. Лезть в APK ему всё равно не позволят, а слушать все подряд Intentы мне не видится полезным.
                                                                                              • 0
                                                                                                Если есть утилиты, получающие права рута на телефонах (а это вплоть до 7.0 так), то любой условный фонарик из маркета может получить рута и протроянить устройство. Антивири на Андроиде умеют находить модули, получающие рута и бить тревогу сразу после установки «фонариков», но до их запуска.
                                                                                                Обычному юзеру со старым Андроидом это может понадобиться. А старые Андроиды это почти все.
                                                                                                • +1
                                                                                                  Не понял ни слова. Утилиту рута на устройство обычно ставит сам пользователь. Допускаю, что можно написать приложение, которое на некоторых прошивках некоторых телефонов через некоторые эксплойты сделает это в тайне от пользователя. Но!
                                                                                                  Чтобы проверить, вызывается ли su, не нужен огромный антивирус, достаточно простого скрипта. Если умная версия su игнорит антивирус, то вообще толком не проверишь, разве что через хаки, плохо портируемые между устройствами. Получается, имеем неуклюжую ненадёжную защиту от очень редкого типа атаки?
                                                                                                  • 0
                                                                                                    Дело в том, что утилита su нужна пользователю для того, чтобы использовать полученные права. А приложению, которое, например, запросто повышает свои привилегии с помощью DirtyCow, она не нужна. Нужен маленький модуль, написанный на C/C++, который поднимет себе привилегии, сделает из вашего девайса марионетку, и никакого su для вашего удобства не положит в системный раздел.
                                                                                                    Поэтому, антивирусы пытаются ловить скомпилированные эксплоиты под все возможные атаки.
                                                                                                    • 0
                                                                                                      Как антивирус без рут-прав может определить, какой .so-файл запускает/загружает другой процесс?
                                                                                                      • 0
                                                                                                        Если библиотеки были в комплекте с программой — их вполне может получить и другая программа. Они не защищаются системой, в отличие от данных.
                                                                                                        • 0
                                                                                                          Так поймается небольшой процент зловредов, которые не скрываются.

                                                                                                          К примеру, Paragon NTFS&HFS+ самостоятельно распаковывает из ассетов в /data/data утилиты типа probe, mkntfs, mount_ufsd_fuse и запускает их оттуда. Добавить шифрование, или скачивание модулей из интернета, и антивирус не увидит.
                                                                                                        • 0
                                                                                                          А как в досмартфоновую эпоху и до сих пор антивирусы проверяют исполняемые файлы? Так же они проверяют и содержимое всех APK-файлов.
                                                                                                          • 0
                                                                                                            Антивирусы на ПК ставят драйвер ядра, который перехватывает обращения к диску.
                                                                                                            При попытке прочитать или скопировать зараженный файл операция блокируется.
                                                                                                            • 0
                                                                                                              not-sure-if-trolling.jpg

                                                                                                              Вы сами пишете «заражённый файл», но ведь в какой-то момент надо установить факт того, что файл заражен, то есть проверить его. Не так ли? Распаковать архив, просмотреть все составляющие и так далее. ТАК?

                                                                                                              Вот и у антивирусов на Андроиде есть такой момент — сразу после установки всем интересующимся, в том числе и антивирусам, приходит броадкаст о том, что такой-то пакет был установлен. Антивирус спрашивает у PackageManager'а полный путь к новому файлу APK и сканирует его.

                                                                                                              Большая часть «троянов» и других зловредов под Андроид пишутся дилетантами, ибо порог вхождения низок. Поэтому, простые «фонарики» с эксплоитами можно отследить по сигнатурам выложенных на форумах утилит для рутования.
                                                                                                              Поэтому, для тех, кто ставит даже из официального маркета всё, что попадается, лучше иметь хотя бы такую защиту.

                                                                                                              По-моему, я доступно объяснил. Глубже вдаваться в дебри не буду.

                                                                                                              П.С.: Я не пытаюсь защищать антивирусные компании и не работаю на таковую, но просто платформа очень уж дырявая, а юзеры уж слишком… наивные.

                                                                                                              П.П.С.: Платформа от Apple еще более дырявая, но там хоть какая-никакая премодерация есть.
                                                                                                              • +1
                                                                                                                Вот и у антивирусов на Андроиде есть такой момент — сразу после установки всем интересующимся, в том числе и антивирусам, приходит броадкаст о том, что такой-то пакет был установлен. Антивирус спрашивает у PackageManager'а полный путь к новому файлу APK и сканирует его.

                                                                                                                Пока антивирус проснётся, вирус с рут правами прибьёт его.
                                                                                                                • +1
                                                                                                                  Программы не запускаются сами сразу после установки.
                                                                                                    • 0
                                                                                                      А что мешает антивирусу работать не в смартфоне, а на сервере, в Play Store / Samsung Store и т.п., проверяя все вновь добавленные «фонарики».

                                                                                                      На 90% смартфонов ставит ПО только из официального магазина, поэтому нет никакого смысла грузить слабые процессоры миллиарда смартфонов, проверяя одни и те же файлы, когда можно проверить исходник еще ДО загрузки.

                                                                                                      Жалко, конечно, пользователей, которые ставят непойми что, скачанное непойми откуда, но есть большие сомнения, что их может спасти хоть что-то.
                                                                                                      • 0
                                                                                                        Ну, Гуголь сделал некую проверку и у себя на сервере и на телефонах. Но фиг его знает как она работает.
                                                                                                        • 0
                                                                                                          А что мешает антивирусу работать не в смартфоне, а на сервере

                                                                                                          По настоящему хорошая защита должна быть проактивной.

                                                                                                          Антивирус на сервере не справится со сценарием, что вредоносный модуль скачается вместе с рекламой только на определённые страны и только в определённый день недели.

                                                                                                          Или со сценарием, что зловред зашифрован и расшифровывается только когда пользователь пройдёт 2 уровня игры, а сама игра установлена на смартфоне более 24 часов назад.
                                                                                                  • 0
                                                                                                    «Теперь [после ухода из Mozilla] я могу безопасно сказать: разработчики антивирусных программ ужасны; не покупайте антивирусные программы, и удалите уже установленные (кроме Microsoft, если вы под Windows [10]», — заявил Роберт.
                                                                                                    Давайте поможем Даше угадать, где теперь работает Роберт.
                                                                                                    • 0
                                                                                                      Давайте.
                                                                                                      Он теперь работает над отладчиком rr.
                                                                                                      • 0
                                                                                                        А если под отладчиком?
                                                                                                    • +1
                                                                                                      А в чём собственно разница между вирусом и не-вирусом, принципиально, с технической точки зрения.
                                                                                                      Вот есть у нас например RDP — встроенная в Windows технология, но пишем мы небольшой батник, который включит RDP, пробросит порты и создаст скрытого пользователя, и вот уже RDP даёт нам полный удалённый доступ к системе. Или пишем батник который будет удалять случайные файлы с диска (я такой писал как то, антивирусами он совсем не детектился), добавляем его в планировщик, чем не «вирус»?

                                                                                                      Собственно вся разница между программой и вирусом, в том что последний добавили в сигнатуры антивирусов.
                                                                                                      А вредоносные действия можно выполнить с помощью встроенных в систему средств, таки как Batch, PowerShell, Bash (на линукс) и так далее, при том антивирусы и внимания не обратят зачастую. Конечно есть ещё эвристика, но она тоже не на всё реагирует.

                                                                                                      Лично я соглашусь что антивирус не нужен.
                                                                                                      В браузере ставим блокировщик рекламы и отключаем лишние плагины, в обычном вебе сейчас Java и Flash уже становятся редкостью, а на сайта где они действительно нужны и можно включить, при том только для эти сайтов.
                                                                                                      В системе настраиваем запрет запуска всего бинарного с внешних носителей.
                                                                                                      Естественно обновление всего что часто используется.
                                                                                                      В случае если если комп имеет Белый IP, имеет смысл ставить Firewall, но сейчас большинство компьютеров за NAT, т.к. подключены через роутеры, а то и за двумя NAT за счёт провайдера.
                                                                                                      Раз в месяц проверять сканерами типа KVRT и Dr.Web CureIt.
                                                                                                      При скачивании с сомнительны сайтов ясность запускать или нет вносит VirusTotal.

                                                                                                      Перечисленные меры вам помогут если Ваш комп никому не нужен.
                                                                                                      Если же Вас собрались атаковать профессионалы, то и антивирус особо не поможет, и даже переход на линукс, только несколько усложнит задачу, помогут только знания особенностей используемой системы и грамотна её настройка. Но к счастью ваш домашний комп, скорее всего никому не нужен.

                                                                                                      Я же практически всё время пользуюсь компьютером без антивируса, за всё время словил только один серьёзный вирус и тот ещё на Windows XP с флешки, в последние лет 5 я вообще вирусов в живую не видел на личных компах, неоткуда им взяться при соблюдении перечисленных правил.
                                                                                                      • +1
                                                                                                        Но к счастью ваш домашний комп, скорее всего никому не нужен.


                                                                                                        Вы забыли про ботнеты — сейчас это бизнес, соперничающий по прибыли с традиционным взломом и, значит, почти любой компьютер, роутер, модем — даже живая древность из 1990-х будет интересен как составляющая ботнета.
                                                                                                        • 0
                                                                                                          Ну методы заражения общие то, ботнеты сканерами детектируются, за 5 лет ничего не ловил пользуясь вышеуказанными методами, а дырявость роутеров это вообще отдельный и очень интересный вопрос, сам сейчас его на практике изучаю.
                                                                                                        • +2
                                                                                                          А в чём собственно разница между вирусом и не-вирусом

                                                                                                          А это произрастает из принципиальной нерешаемости проблемы останова (the halting problem). Поэтому я совершенно не верю в эвристические механизмы детектирования и с подозрением (но и надеждой) отношусь к методам, основанным на симуляции в песочнице. Последние в конце концов упираются в то, что они настолько хороши, насколько хороши списки контроля доступа того, что каждому приложению можно и нельзя делать (SElinux, manifest etc.)

                                                                                                          • 0
                                                                                                            К вопросу об эвристике и продуктов ТрендМикро:<