Kilka pytań o AV

Witam wszystkich :slight_smile:

Właśnie zainstalowałem sobie pakiet Comodo i muszę przyznać, że mi się podoba. Wielu kwestii jednak nie rozumiem do końca. Co do AV:

  1. Kiedy właściwie uaktywnia się skaner rezydentny przy opcji “przy zmianach”? Czy jak pobrałem jakiś plik z internetu, to będzie on automatycznie przeskanowany?

  2. Dlaczego poziom skanowania heurystycznego jest ustawiony na “niski” (i w żadnym tutorialu nie pisze się o jego podniesieniu)?

  3. Czy parametr “poziom skanowania” w zakładce “Skanowanie ręczne” to to samo co “Poziom skanowania heurystycznego”?

  4. Czy “skanowanie w chmurze” wyraźnie przyśpiesza proces szukania wirusów i mniej obciąża komputer? Czy jest równie skuteczne co standardowe?

  5. Gdzie można sprawdzić jakie pliki wysłało się do Comodo i jakie są tego wyniki?

Ad 1 Tak. Przy zmianach czyli plik zostanie przeskanowany tylko raz, chyba, że się zmieni lub Comodo się zaktualizuje do nowszej bazy. Zapis pliku na dysk (czyli pobranie go z internetu) spowoduje wzniesienie alarmu w przypadku infekcji.

Ad 2 Wysoka heurystyka powoduje wiele fałszywych alarmów. Domyślna jest w sam raz.

Ad 3 Tak.

Ad 4 Działa to w taki sposób, że pliki nieznane dodawane są do nierozpoznanych i po pewnym czasie są one przeskanowane w chmurze, ale nie działa to ronolegle z przeprowadzonym skanem. Nie ma potrzeby zaznaczania.

Ad 5 Nierozpoznane pliki> wysłane pliki.
Werdyktu nie ujrzymy, chyba, że chodzi o praktykę - pojawienie się alertu dot. wirusa w pliku, który przesłaliśmy świadczy o wykryciu w nim złośliwego kodu.

To jeszcze takie pytania:

  1. To co właściwie robi opcja skanera rezydentnego “przy dostępie”. Skanuje pliki jeszcze przed pobraniem na dysk? Czy coś innego/coś jeszcze?

  2. Zakładka “Stan/Zapora”: co oznaczają te kolorowe paski? Ile jaki proces korzysta z połączenia internetowego?

  3. Zakładka “Stan/Zapora/Aktywne połączenia”: czy to bezpieczne, że niektóre programy nasłuchują mi porty? Czy to znaczy, że są one widoczne dla programów skanujących porty?

  1. Pliku nie da się przeskanować przed pobraniem. Przy dostępie skaner zwalnia. Skanuje “wszystko co się rusza” - przy zapisie i dostępie np przy przeglądaniu folderu z zarażonym plikiem. Nie zwraca uwagi na to, czy coś się zmieniło, czy nie.

  2. Owszem, w jakim stopniu dany program używa połączenia, który najwięcej w danym momencie itd.

  3. Nasłuchiwanie portu to praktyka wielu bezpiecznych aplikacji, zazwyczaj nie oznacza nic groźnego. Jeśli ukryłeś swoje porty za pomocą kreatora w odpowiedzi sposób Twój komputer i jego porty powinny być niewidoczne.

Dziękuję ślicznie. O zaporę i defense+ zapytam w innych tematach.
Pozdrawiam :slight_smile:

Na stronie pomocy Comodo możemy zaś przeczytać:

Stateful - Not only is Comodo Internet Security one of the most thorough and effective AV solutions available, it is also very fast. CIS employs a feature called Stateful File Inspection (tm) for real time virus scanning to minimize the effects of on-access scanning on the system performance. [b]Selecting the ‘Stateful’ option means CIS scans only files that have not been scanned since the last virus update - greatly improving the speed, relevancy and effectiveness of the scanning.[/b]

Zastanawiam się, kto ma rację Ty, czy oficjalna pomoc Comodo? Gdyż w\g pomocy Comodo jedynym kryterium skanowania pliku przez skaner rezydentny przy wybranej opcji ‘Stateful’ (w tłumaczeniu ‘Przy zmianach’) jest to czy plik był już skanowany od ostatniej aktualizacji sygnatur bazy danych wirusów. W pomocy Comodo nie ma nic powiedziane, czy program analizuje, że plik uległ zmianie.

No a jak Comodo determinuje czy dany plik był już skanowany od ostatniej aktualizacji?
Przypuścmy, że ma hash 123 i zostal zainfekowany i od teraz ma 1234. Jest to nowy plik czyli stary uległ zmianie. Comodo go przeskanuje. Tak to rozumiem.

Że tak się jeszcze zapytam…

Dobry jest ten antywirus? Nie chodzi mi nawet o to żeby był na pierwszym miejscu, ale jednak chciałbym go widzieć w czołówce. Tak się pytam bo na Gizmo’s freeware piszą odnośnie min. AV od Comodo:
“I’ll also mention several popular free antivirus programs which I considered but did not include in the review because of low detection rates”.

To nie byle jaki antywir, Comodo przestalo go traktować po macoszemu już dawno, jednak detekcja to nie główna linia obrony tego programu.
Ma fajną funkcję,której nie posiada konkurencja: tworzenie sygnatur na podstawie zachowań plików ( szybkie ostrzeganie przed najnowszymi zagrożeniami).

Przedstawiłem to tutaj:

[attachment deleted by admin]

Ok, dzięki.

Tak tylko napiszę, że tuż przed instalacją pakietu Comodo przeskanowałem wszystkie dyski Avirą i nic nie wykryło. Tymczasem AV Comodo doszukał się kilku dziwnych rzeczy. Czy były to false positive nie wiem, w każdym razie usunąłem to co wskazał mi program i póki co nie widzę żadnych komplikacji :wink:

Widzę, że uległeś silnie magii polskiego tłumaczenia, które sugeruje, co prawda niebezpośrednio, ale jest to pierwsze skojarzenie, że chodzi o skanowanie zmienionych plików.
Oczywiście można się zgodzić z Twoją teorią, ale pomoc Comodo na jej potwierdzenie milczy (brak jakiejkolwiek wzmianki o sprawdzaniu hashy plików i pojęcia zmienionego pliku).

Bardziej prawdopodobnym rozwiązaniem wydaje mi się, że skaner rezydentny skanuje plik podczas dostępu tylko jeden raz (później ten plik nie będzie skanowany podczas dostępu niezależnie od tego czy uległ zmianie, czy też nie), o ile sygnatury bazy danych wirusów nie uległy zmianie.
Takie rozwiązanie, jak pisze Comodo, znacznie wpływa na wydajność systemu.

No cóż, tłumaczenie “Stateful” jako “Przy zmianach”, chyba nie jest najbardziej fortunne.