Sign in to follow this  
ЭйАй

Настройка вкладки "Исключения" EAM.

Recommended Posts

При добавлении файла в исключения с пометкой "проверка", файл продолжается определяться и детектироваться (при последующей проверке) как вредоносный.

97191973.png

84703287.png

Каким образом добавить файл в исключения проверки?

(Что-то не могу разобраться как изображения корректно вставлять в сообщения на форуме.

Что бы раскрывались какая кнопка?)

Share this post


Link to post
Share on other sites

Здравствуйте,

Сейчас только попробовал добавить зараженный файл в исключения проверки, все ок.

Можете выслать мне этот файл через какой-либо файловый хостинг или на почту [email protected] в zip архиве с парлем virus?

Share this post


Link to post
Share on other sites

Здравствуйте.

Можете выслать мне этот файл через какой-либо файловый хостинг или на почту [email protected] в zip архиве с парлем virus?

Ситуация интересна тем, что если я удаляю файл собственноручно-созданного правила из исключений и при проведении следующей проверке заношу его в исключения (пункт 1) с помощью свойств (из нисподающего списка), то при повторной проверке он прекращает детектится.

81817570.png

Но весь вопрос, что в исключения попадает уже не сам файл, а категория угрозы целиком:

49234763.png

Так вот и вопрос. Что же получается?

Что, теперь EAM будет исключать из проверки целый ряд файлов, если они будут иметь данную вирусную сигнатуру?

Ещё вопрос. В справке по этой опции "исключения" нашёл информацию только в одном месте, да и то одна скудная строчка.

Ссылка "Исключения" открывает окно, в котором вы можете указать файлы или папки, которые следует исключить из проверки модулем файловой защиты в реальном времени.

Это не есть очень хорошо.

Что например произойдёт при выборе Пункта 2 из списка. И можно ли прямо из оболочки EAM, отослать файл на исследование в компанию, как файл с подозрением на ложный детект?

Кстати, относительно этого файла, ситуация, по всей видимости, именно так и складывается. По крайней мере, весь VirusTotal скромно молчит.

Результаты проверки. И EMSI молчит вместе со всеми. Непонятка.

Думается, что дело не в каком-то особенном файле, а в построении свойств интерфейса EAM или особенностей этой опции "Исключения".

Кстати говоря, исследование одного этого файла ничего не даст. Это вполне легимный файл из папки C:\WINDOWS\Prefetch\... ОС Windows_XP_Pro_SP3. Он может иметь разный размер и хеш-сумму. Надо выявлять подозрительную сигнатуру.

Файл постараюсь выслать в ближайшее время.

Share this post


Link to post
Share on other sites

Так вот и вопрос. Что же получается?

Что, теперь EAM будет исключать из проверки целый ряд файлов, если они будут иметь данную вирусную сигнатуру?

Если таким способом, то да. Так задумано, или это некорректное добавление — я пока не могу сказать.

Что например произойдёт при выборе Пункта 2 из списка. И можно ли прямо из оболочки EAM, отослать файл на исследование в компанию, как файл с подозрением на ложный детект?

Начнется отправка файла в лабораторию на исследование на наличие ложного срабатывания. Также, Вы можете отправить файл из карантина. Если файл чист, но кажется, что заражен, в карантине нажимаете Добавить и выбираете файл. Жмете отправить, появится окно для ввода данных (если необходимо) с отметкой Возможная опасность.

Если файл заражен, но кажется, что ложное срабатывание, то помещаете файл в карантин, жмете отправить и автоматически в окне будет выбрано Ложное срабатывание.

Касаемо файла, он уже не детектируется. Ложное срабатывание.

  • Upvote 1

Share this post


Link to post
Share on other sites

Так вот и вопрос. Что же получается?

Что, теперь EAM будет исключать из проверки целый ряд файлов, если они будут иметь данную вирусную сигнатуру?

Если таким способом, то да. Так задумано, или это некорректное добавление — я пока не могу сказать.

В случае, если это некорректное добавление, то что тогда некорректно? Мои неправильные действия, или это некорректное поведение EAM? Если второе, то это конечно надо донести до разработчиков. А то так и до греха недалеко...

Что например произойдёт при выборе Пункта 2 из списка. И можно ли прямо из оболочки EAM, отослать файл на исследование в компанию, как файл с подозрением на ложный детект?

Начнется отправка файла в лабораторию на исследование на наличие ложного срабатывания. Также, Вы можете отправить файл из карантина. Если файл чист, но кажется, что заражен, в карантине нажимаете Добавить и выбираете файл. Жмете отправить, появится окно для ввода данных (если необходимо) с отметкой Возможная опасность.

Если файл заражен, но кажется, что ложное срабатывание, то помещаете файл в карантин, жмете отправить и автоматически в окне будет выбрано Ложное срабатывание.

Касаемо файла, он уже не детектируется. Ложное срабатывание.

Извините за профессиональный вопрос. :)

Я несколько раз до опубликования темы проводил данную операцию из опции "Исключения" (Определить как ложное срабатывание). Но эффекта ("Касаемо файла, он уже не детектируется. Ложное срабатывание.") до сегоднейшего дня, это особого не производило. Я понимаю, что на исследование необходимо достаточно много времени. Так, что же повлияло на результат: Ваши старания или то что я несколько раз отправлял файл в лабораторию?

Касательно отправки файла из карантина. Решил поэкспериментировать. Занес первый попавшийся добротный файл в карантин. Наблюдаю следующую картину.

44863894.png

Пункт "Отправить" не кликабелен и активировать невозможно. Что делаю не так?

При выборе "Сохранить копию" файл сохраняется с добавлением расширения .dat. Как это понимать?

Хотя справка даёт по этому поводу несколько иное толкование.

Цитата: "Кнопка "Сохранить копию" позволяет сделать копию файла один в один и поместить ее в указанное вами место, чтобы, например, проверить файл вручную."

И напоследок несколько пожеланий для разработчиков. Если я, конечно по адресу.

1. Сделать возможной функцию ротации файлов между "карантином" и "исключениями".

(Тут еще конечно продумать надо, а вообще было бы удобно).

2. Дать сразу возможность не только пермещать файл в карантин, но и копировать. Дабы избежать дальнейших вопросов с функцией "Сохранить копию".

Надеюсь на ваше понимание. Спасибо за помощь.

Чуть позже.

Недолго я радовался. После обновы файл начал детектится.

Share this post


Link to post
Share on other sites

Некорректное добавление файла в исключения антивирусом, это имелось ввиду.

Скорей, Ваша отправка :)

Какой файл Вы пытались поместить в карантин и отправить? Сохранить копию, сохраняется именно с расширением .dat, чтобы не навредить системе. Достаточно просто сменить расширение потом на нужное.

Скачал сейчас Ваш файл, он не детектируется базами.

Информацию до разработчиков донесу.

Share this post


Link to post
Share on other sites

Некорректное добавление файла в исключения антивирусом, это имелось ввиду.

Скорей, Ваша отправка :)

Какой файл Вы пытались поместить в карантин и отправить? Сохранить копию, сохраняется именно с расширением .dat, чтобы не навредить системе. Достаточно просто сменить расширение потом на нужное.

Скачал сейчас Ваш файл, он не детектируется базами.

Информацию до разработчиков донесу.

Так самое, что интересное, если этот файл проверять с помощью EAM из контекстного меню, то действительно детекта нет. А при быстрой проверке (например), из Окна управления EAM он детектится!!! Хитрый пионер.

Может поэтому, в исключения попадает не сам файл, а вся категория угрозы. Надо разбираться.

В карантин запихал первый попавшийся под руку файл. Оказался установочный DR.WebCeruit (t6t2h936.exe.dat).

Спасибо.

Share this post


Link to post
Share on other sites

Не активна кнопка отправить так как превышен максимальный размер отправляемого файла по почте.

Share this post


Link to post
Share on other sites

Не активна кнопка отправить так как превышен максимальный размер отправляемого файла по почте.

Точно. Надо было догадаться. :)

DR.WebCeruit на данный момент занимает порядка 86 Mgb. Добавил маленький файл и возможность отправки активировалась. Кстати а какой максимальный объём отправляемого файла в лабороторию из карантина? В справке что-то не нашел. Или плохо искал? :blush: Наверное в документации где-то есть. И тогда ещё вопрос по этой части. Какой максимальный размер допустим при отправке в лабороторию компании из вкладки "Исключения" и по указанному выше ([email protected]) E-mail адресу. Или в последнем случае в письме также достаточно указась ссылку на веб-хостинг с залитым заранее там файлом? Проясните пожалуйста ситуацию!

Спасибо.

Share this post


Link to post
Share on other sites

Не помню какие были ограничения. Но сейчас в новой бетке ограничения в 15 мб. Кстати тем кто занимается переводом русской версии просьба русифицировать :)

Share this post


Link to post
Share on other sites

Несколько пояснений в работе сканера: все дело в том, что это не зловредный файл, а его так называемый след. Это и является причиной того, что сам файл не определяется (т.к. именно его сигнатуры в базе данных нет) на VirusTotal. Для определения его, как следа, EAM использует его местоположение и имя. Таков дизайн программы. Если пользователю это не удобно, он может смело отключить сканирование следов или добавить его в исключения.

Про исключения. Из списка результатов сканирования добавляется в исключения именно имя вредоносного ПО. В EAM упор сделан именно на вид зловредного ПО, а не на его количество и размещение - поэтому группировка сделана по наименованию и в исключения добавляется именно наименование. Что касается первоначальной проблемы, то она существует: как удалось выяснить, исключения некорректно работают только для следов. Такова реализация движка. Но разработчики поработают над этим.

Таков ответ от разработчиков.

Share this post


Link to post
Share on other sites

Несколько пояснений в работе сканера: все дело в том, что это не зловредный файл, а его так называемый след. Это и является причиной того, что сам файл не определяется (т.к. именно его сигнатуры в базе данных нет) на VirusTotal. Для определения его, как следа, EAM использует его местоположение и имя. Таков дизайн программы. Если пользователю это не удобно, он может смело отключить сканирование следов или добавить его в исключения.

Не нашёл, где возможно отключить "Сканирование следов"!

И неплохо было бы сделать возможность самостоятельного добавления файлов и\или папок в исключения, по примеру, как это реализовано в карантине. А не только по результатам сканирования. А то детский сад какой-то! :lol:

А то ведь получается так, что при проверке нет возможности обходить файлы с предположительно-ложным срабатывание. Карантин - карантином. В него можно только перенести файл, удаляя его из первоночального места.

Огромная просьба донести до разрабов, пожалуйста!

Про исключения. Из списка результатов сканирования добавляется в исключения именно имя вредоносного ПО. В EAM упор сделан именно на вид зловредного ПО, а не на его количество и размещение - поэтому группировка сделана по наименованию и в исключения добавляется именно наименование. Что касается первоначальной проблемы, то она существует: как удалось выяснить, исключения некорректно работают только для следов. Такова реализация движка. Но разработчики поработают над этим.

Таков ответ от разработчиков.

Честно говоря слабо понял.

Получается, что из результата проверки всегда добавляется в исключения только имя угрозы (категория вируса), а не конкретный файл с его местоположением?

И тогда я не понял что за первоночальная проблема?!?!?!

Цитата: "Что касается первоначальной проблемы, то она существует: как удалось выяснить, исключения некорректно работают только для следов. Такова реализация движка."

Сначала вы говорите, что так и должно быть. Потом, что это не корректная работа EAM!

Поясните пожалуйста, а то я уже запутался.

Share this post


Link to post
Share on other sites
Не нашёл, где возможно отключить "Сканирование следов"!

В выборочной проверке.

И неплохо было бы сделать возможность самостоятельного добавления файлов и\или папок в исключения, по примеру, как это реализовано в карантине. А не только по результатам сканирования.

ЗАЩИТА- Файловая защита - Исключения

ПРОВЕРКА - Исключения

"Что касается первоначальной проблемы

При добавлении следа в Исключения, он все равно детектируется при проверке.

Share this post


Link to post
Share on other sites

Так. По моему до меня дошло. Проводить операции с заданными нами необходимыми условиями по выборочной сортировке папок релизовано в окошке "Выборочная проверка". Здесь же можно реализовывать и отбор угроз.

69732095.png

А какая опция в данном окошке позволяет отключить проверку "следов"?

И неплохо было бы сделать возможность самостоятельного добавления файлов и\или папок в исключения, по примеру, как это реализовано в карантине. А не только по результатам сканирования.
ЗАЩИТА- Файловая защита - Исключения

ПРОВЕРКА - Исключения

Да. Спасибо. Что-то у меня уже шарики за ролики. Хотя делал это ещё в первом посте. :D

Просто когда обнаруживаешь эту уникальную возможность в программе, поначалу даже дивишься, как она завуалирована. Нет что-бы большую красную кнопку "STOP" повесить. До сих пор не пропадает это ощущение. Ну да ладно. Над собой посмеяться не грех.

И ещё. Насколько я понял, после проведения проверки, по её результатам, определённые как заражённые файлы можно занести в исключения, или перенести из системы в карантин для более тщательного исследования.

Так вот, если использовать первое (заносить в исключения), то туда всегда попадает не сам файл, а вся категория угрозы, предположительно (судя по умозаключениям EAM) заражённых файлов в том числе.

И это относится абсолютно ко всем типам файлов, а не только к следам.

Мы уже это как-то обсуждали, но хочется прояснить ситуацию.

Эта категория заразы (как напрмер в моём случае Trace.File.quanq.zb1818.cn!E1) полность отождествляет и идентифицирует угрозу только этого одного файла SFC.EXE-35015568.pf или может относится и проводить исключение из проверки и других файлов с подобной угрозой, что несомненно будет приводить к ослаблению методов защиты файлового сканера?

Share this post


Link to post
Share on other sites

Ау-у. Люди! Есть кто-нибудь? Вы меня извините, конечно. Новичок я тут. Может поэтому понять не могу. Это официал. форум EMSISoft, или варез какой? Хочу отвечаю, хочу нет. Если случилось чего - так вы так и объясните, или объяву какую повесьте, так мол и так, в отпусках люди, рук не хватает. А то ведь вопросы висят, и непонятно что делать. И тишина, а вдоль дороги ...

Спасибо за понимание.

Share this post


Link to post
Share on other sites

Добрый день,

Когда добавляете в исключения в окне сканирования, добавляется имя угрозы. Если будет подобный файл с таким же названием угрозы, то он не будет определяться. И такова специфика программы именно в работе с добавлением в исключения во время сканирования!

Чтобы добавить сам файл, нужно сменить в строке с имя на файл и указать к нему путь для исключения.

Эта категория заразы (как напрмер в моём случае Trace.File.quanq.zb1818.cn!E1) полность отождествляет и идентифицирует угрозу только этого одного файла SFC.EXE-35015568.pf или может относится и проводить исключение из проверки и других файлов с подобной угрозой, что несомненно будет приводить к ослаблению методов защиты файлового сканера?

И других файлов тоже.

А какая опция в данном окошке позволяет отключить проверку "следов"?

Проверка следов шпионского ПО.

Share this post


Link to post
Share on other sites
Добрый день,

Когда добавляете в исключения в окне сканирования, добавляется имя угрозы. Если будет подобный файл с таким же названием угрозы, то он не будет определяться. И такова специфика программы именно в работе с добавлением в исключения во время сканирования!

Здравствуйте!

Согласитесь, это не очень резонно. Я не понимаю, почему так реализовано. Может в этом есть какой-то смысл? Не пойму!

Чтобы добавить сам файл, нужно сменить в строке с имя на файл и указать к нему путь для исключения.

Эту операцию уже придётся проводит позднее и отдельно. Я говорю о добавлении файла в исключения. Это затратно. Но эти вопросы абсолютно взаимосвязаны с предыдущим. Получается это не отдельный вопрос.

Ничего не слышно о решении проблемы, когда добавленные в исключения сами файлы "следов" продолжают детектится при сканировании?

А так, в общем-то всё. Спасибо. Мой файл sfc, как я уже говорил, не детектится.

Share this post


Link to post
Share on other sites

Добрый день,

Нет, пока ничего не слышно.

Увы, такова специфика программы. Почему так, ранее ответил в сообщении 13.

Если будут новости, сообщу в этой теме.

Share this post


Link to post
Share on other sites

Проблема с исключением следов исправлена. Исправление будет доступно в следующих бета-обновлениях, приблизительно, к выходным.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.