NANO Antivirus > Forum
http://www.nanoav.pro/forum/

Замеченные недочеты
http://www.nanoav.pro/forum/viewtopic.php?f=8&t=10		 Страница 1 из 2
Автор:  phantom [ 03 апр 2009 11:08 ]
Заголовок сообщения:  Замеченные недочеты
Привет всем!
Вот некоторый список замеченных недочетов.
Порядок беспорядочный - лень руппировать :)

1. Пытаемся загрузить инфицированный объект (например, https://secure.eicar.org/eicar.com) браузером. алерт выскакивает, файл удаляется, НО объект открывается. Т.к. тот объект - всего лишь в кеше :)
2. Открываю список карантина - пытаюсь открыть зараженный файл - в алерте выбираю - поместить в карантин. Объект помещается, но визуально список не обновляется.
3. Нет реакции на убийство сервиса до поры до времени!
4. Не контролируется лицензионный файл - при его модификации нет даже никаких уведомлений. Зачем он тогда нужен.
5. Нет описания исполняемых модулей, в частности, компании. Это хорошо вижно в списке загруженных модулей procexp.
6. При нахождении объектов как в памяти, так и при файловом доступе непонятно, что это за процесс или кто инициализировал доступ к файлам.
7. В настройках прокси при указании автоопределение нельзя задать пароль и логин.
8. Не работает отправка объектов из карантина на сервер компании - интейфейс подвисает конкретно. Походу, навсегда :)
9. Из раз 10 запущеных на обновление задача обновления дошла до 100% 1 раз, в остальных подвисает на N-м проценте. Не обновляются базы, если нечего обновлять из бинарников.
10. Если отправить задачу обновления в фоновый режим, то непонятно где ее потом искать :)
11. Очень долго формируется/переформируется кеш баз - визуально похоже на зависание.
12. Cправка в английской версии на русском.
13. Если я нажал несколько раз F1, то открывается столько же экземпляров справки.
14. При экспресс-сканировании не нашел eicar на рабочем столе.
15. Проблемы локализации - например, в английской версии в результате сканирования статусы на русском и т.д.
16. Предсказание оставшегося времени сканирования работает криво
17. После установки на Vista SP1 x64 не захотел включаться монитор. После нескольких "перетыков" - вкл/выкл монитор, вроде, заработал :)
18. Vista SP1 x64 в Notepad открыт вирус eicar - сканер не находит объект в памяти/

Есть еще куча нареканий, но пока на первый раз хватит :)
Автор:  Rodger [ 03 апр 2009 18:29 ]
Заголовок сообщения:  Re: Замеченные недочеты
Здравствуйте :)
Итак, отвечать буду также по пунктам.

2, 5, 6, 7, 13, 16, 18. Принято во внимание, ждите исправлений в будущих версиях

3, 4, 8, 10. Принято во внимание, ждите исправлений в следующей версии

11. Дествительно, на слабеньких машинах этот процесс может затянуться. Ускорить этот процесс не представляется возможным, в будущих версиях при компиляции базы будет выводиться соотв. уведомление

12. В данный момент англоязычная версия справки находится в разработке, ждите появления в будущих версиях

14. При экспресс-проверке проверяются: загрузочные сектора, память, реестр. Объекты рабочего стола в ходе экспресс-проверки не сканируются.

Остальные пункты рассмотрим позже и обязательно отпишемся ;)
З.Ы.: автору большое спасибо, пишите ещё!
Автор:  phantom [ 06 апр 2009 10:46 ]
Заголовок сообщения:  Re: Замеченные недочеты
Rodger писал(а):
Здрвствуйте :)
Итак, отвечать буду также по пунктам.
1. Файл удаляется. Браузер, как обычно, спрашивает чего делать с файлом (запустить, сохранить, отмена), т. к. он ничего не знает о наших темных делах. Однако при попытке сохранить файл, браузер выдаст ошибку (запустить тоже не выйдет - запускать нечего)


Как бы не так :)
Если попробовать пройти по ссылке http://www.eicar.org/download/eicar.com.txt, а потом запретить доступ к обнареженному eicar, то все равно в браузере мы увидим... Ну конечно же - текст вируса.
Выводы, я думаю, сможете сделать.
Автор:  Rodger [ 06 апр 2009 14:18 ]
Заголовок сообщения:  Re: Замеченные недочеты
Вы правы, есть такое дело. Видимо, браузер обрабатывет этот файл в памяти (в кэш либо не сбрасывает, либо сбрасывает позже). Мы перехватываем файл только при обращении к файловой системе, поэтому в текущей реализации такое поведение является нормальным.
P.S.: запустить вирус таким способ не получится, так как перед запуском мы его обязательно проверим.
Автор:  phantom [ 06 апр 2009 14:53 ]
Заголовок сообщения:  Re: Замеченные недочеты
Rodger писал(а):
P.S.: запустить вирус таким способ не получится, так как перед запуском мы его обязательно проверим.


Глубокое заблуждение!
Ну например, javascript+exploit. Эксплоит на тот же движок IE или Firefox.
Сможете предотвратить?
Автор:  Rodger [ 07 апр 2009 15:42 ]
Заголовок сообщения:  Re: Замеченные недочеты
Действительно, не предотвратим. Это будет исправлено в будущих версиях.
Автор:  Rodger [ 08 апр 2009 14:18 ]
Заголовок сообщения:  Re: Замеченные недочеты
9. А в какой версии антивируса наблюдались эти проблемы с обновлением? Если в 0.5.212.395, приложите, пожалуйста, лог обновления (скопировать из окна обновления). Если в более ранней - это возможно, в последнюю версию вошли значительные улучшения механизма обновления. А по поводу:
phantom писал(а):
Не обновляются базы, если нечего обновлять из бинарников.
базы обновляются, но в скине Default на вкладке "Информация" не меняется инфа о количестве сигнатур в базе - это будет исправлено в следующей версии.
Автор:  phantom [ 08 апр 2009 15:11 ]
Заголовок сообщения:  Re: Замеченные недочеты
Rodger писал(а):
9. А в какой версии антивируса наблюдались эти проблемы с обновлением? Если в 0.5.212.395, приложите, пожалуйста, лог обновления (скопировать из окна обновления). Если в более ранней - это возможно, в последнюю версию вошли значительные улучшения механизма обновления. А по поводу:
phantom писал(а):
Не обновляются базы, если нечего обновлять из бинарников.
базы обновляются, но в скине Default на вкладке "Информация" не меняется инфа о количестве сигнатур в базе - это будет исправлено в следующей версии.


Версия: nanosvc (version: 0.5.212.395 (release, buildpipe), build time: Apr 1 2009 19:24:26)

Лог обновления:
Код:
Parse file 'update.0.5.212.395.list'.
Nothing to update.
Update successfully finished.


Результат - базы не обновились! Файлы баз вообще не закачивались.
+Несколько раз наюлюдалось зависание процесса обновления на 50 и 90 %.
Автор:  Rodger [ 10 апр 2009 21:07 ]
Заголовок сообщения:  Re: Замеченные недочеты
phantom писал(а):
Результат - базы не обновились! Файлы баз вообще не закачивались.

Очень странное поведение. Воспроизвести так и не удалось. Попробуйте заглянуть в кэш обновлений (%allusersprofile%\Application Data\nanoav\cache) перед запуском обновления, и сравнить содержимое с содержимым сервера обновления ("ftp://updates.nanoav.ru", можно открыть в любом ftp-клиенте). Если в кэше действительно не хватает каких-то vbase.* файлов, а при обновлении антивирус выдает, что обновлять нечего - будем разбираться: на какой ОС наблюдается такое поведение?

phantom писал(а):
+Несколько раз наюлюдалось зависание процесса обновления на 50 и 90 %.

Рискну предположить, что в первом случае шел процесс загрузки файлов (запись типа "Get 'ftp://updates.nanoav.ru/vbase.0.5.7.218.base'" выводится когда файл уже закончил скачиваться на пк), а во втором идет построение (компиляция) новой базы.
Автор:  Sill [ 14 апр 2009 20:37 ]
Заголовок сообщения:  Re: Замеченные недочеты
С обновлениями согласен, зачастую на 41% проценте зависают и всё....
И надо бы сканер на W32 Sality Y наблотыкать, а то, что не инфицированный комп то он.
На своём искал этот вирус (знал что он есть по приметам), результаты слабые...
Страница 1 из 2 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/