Comments 29
Может это и не относится к теме, но самого создателя Джона Макафи на днях арестовали по подозрению в убийстве и продаже накротиков
Ему вменяют всего лишь незаконное пересечение границы, afaik.
Новостные агенства кто во что горазд
www.interfax.ru/society/news.asp?id=278765
www.interfax.ru/society/news.asp?id=278765
UFO just landed and posted this here
А когда DeepSafe можно будет увидеть в действии? И вообще куда он прописывается, в BIOS зашивается? Или если поставить DeepDefender и с ним установится сам DeepSafe? Тогда как оно будет работать «за пределами» ОС?
DeepSafe можно увидеть прямо сейчас, если скачать Deep Defender с сайта McAfee. Правда, надо учесть, что это все-таки корпоративный продукт и комфортно с ним работать можно только в среде ePO.
«За пределами» ОС DD окажется за счет средств виртуализации VT — его инструкции будут исполняться в изолированной от ОС среде.
«За пределами» ОС DD окажется за счет средств виртуализации VT — его инструкции будут исполняться в изолированной от ОС среде.
Если антивирус использует VT-x, значит ли это, что после него нельзя запускать современные виртуальные машины?
Что будет, если в эту «защищенную зону» пролезет руткит? Что ему помешает это сделать?
Я думаю, Deep Safe будет ему активно мешать :)
Помешать должен антируткит. Он должен сам находиться в стелс-режиме. Другими словами, руткит не будет о нем знать. Справедливо также и обратное утверждение. Если руткит с гипервизором успел первым загрузиться, то утилиты типа McAfee Deep Safe будут бесполезны. Другое дело, что очень сложно разработать сам механизм гипервизора, документации по этому очень мало, только здоровый справочник по командам Intel. И высокая сложность отладки. Когда мы делали свой гипервизор, то нашли даже ошибку в справочнике по командам Intel.
легальный руткит
В голове пронеслась картинка «Ваша машина ифицирована неизвестным руткитом. Поскольку антивирус не в состоянии с ним справиться — Ваша машина будет утилизирована».
На словах всё очень замечательно.
Почему же тогда mcAfee из года в год плетется «в хвосте» во всех независимых тестированиях — вот, например, октябрьский www.av-comparatives.org/images/docs/avc_prot_201210_en.pdf
Или последний Virus Bulletin
Почему же тогда mcAfee из года в год плетется «в хвосте» во всех независимых тестированиях — вот, например, октябрьский www.av-comparatives.org/images/docs/avc_prot_201210_en.pdf
Или последний Virus Bulletin
Навряд ли кто вам ответит на этот вопрос. Хочу только заметить, что McAfee — не одна программа, а большая компания, выпускающая много разных продуктов. И в данном случае речь идет о действительно передовом решении.
Ответ тут довольно простой: описанный в статье подход — это, вполне возможно, блестящее инженерное решение, которого однако недостаточно для того, чтобы обеспечить тот же уровень защиты, который обеспечивают решения ваших конкурентов.
Очевидно, антируткит — это лишь один из множества элементов современной антивирусной системы, который, к слову, в том или ином виде есть и у других производителей антивирусов. И наличие добротного анти-руткита это еще отнюдь не гарант того, что все остальные модули антивируса сработают эффективно и защитят пользователя.
Очевидно, антируткит — это лишь один из множества элементов современной антивирусной системы, который, к слову, в том или ином виде есть и у других производителей антивирусов. И наличие добротного анти-руткита это еще отнюдь не гарант того, что все остальные модули антивируса сработают эффективно и защитят пользователя.
А мы давно уже сделали это на northsecuritylabs.com/
Наш антируткит запускает операционную систему в гипервизоре и выводит сообщения о подозрительных инструкциях. Также можно сделать дамп и посмотреть что происходит. Это работает уже давно, правда не удалось найти финансы на дальнейшую разработку. Нет денег даже на подпись к драйверам х64 для windows, поэтому антируткит доступен только для win32.
Но архитектура такова, что это прекрасно может работать и под linux, и под другими операционками. Пытались найти финансы, но как-то не очень это получилось. Теперь думаем выложить в opensource — но это автоматически инициирует процесс создания новых недетектируемых malware. И сведет на нет такие утилиты как McAfee Deep Defender. И получится игра, которую мы уже проходили: «кто первый загрузился, того и тапки».
Наш антируткит запускает операционную систему в гипервизоре и выводит сообщения о подозрительных инструкциях. Также можно сделать дамп и посмотреть что происходит. Это работает уже давно, правда не удалось найти финансы на дальнейшую разработку. Нет денег даже на подпись к драйверам х64 для windows, поэтому антируткит доступен только для win32.
Но архитектура такова, что это прекрасно может работать и под linux, и под другими операционками. Пытались найти финансы, но как-то не очень это получилось. Теперь думаем выложить в opensource — но это автоматически инициирует процесс создания новых недетектируемых malware. И сведет на нет такие утилиты как McAfee Deep Defender. И получится игра, которую мы уже проходили: «кто первый загрузился, того и тапки».
Судя по всему (посмотрел на алексе насчет трафика), даже начальной раскрутки не было… Или не видели смысла, пока продукт не доделан (смотрю, есть ссылка на триал)?
Статья на хабре была? Другие варианты? Контакты с ритейлерами софта?
Была. Другие варианты были-) Сейчас переписываемся с инвесторами из США, может что-то получится. О каких ритейлерах идет речь?
Ритейлеры типа www.softkey.ru/
х64 можно предлагать для тестов тем, кто готов использовать Windows в тестовом режиме, тогда подписи не проверяются.
«Новые подходы не отвергают старых проверенных методов, таких как самоконтроль антивирусного ПО, помещение подозрительных объектов в защищенную среду исполнения (sandbox)»- а в продуках McAfee есть sandbox? Кроме продуктов от Kaspersky, Avast и Comodo я больше песочниц в антивирусах не видел.
ваш плеер воспроизводит неDRMный контент и будет выключен
Sign up to leave a comment.
McAfee Deep Defender: от затыкания дыр к защите «изнутри»