On Sunday, May 7, 2023 at 1:22:41 p.m. UTC-5, Ravenik wrote:
> W dniu 07.05.2023 o 16:41, heby pisze:
> > Istota antywirustów tkwi w tym, że chronią przez *znanymi* zagrożeniami.
> > Jak trafisz na nieznane, a to znaczna część zagrożeń internetowych w
> > momencie wykrycia 0-day,
> U mnie Norton informuje ile osób (np. dziesiątki / setki... dziesiątki
> tysięcy osób) korzystało z danego pliki (głównie krzyczy przy plikach
> wykonywalnych) i informuje KIEDY plik się pojawił po raz pierwszy w
> sieci. To już są informacje które mogą mnie powstrzymać przed
> uruchomieniem pliku który np. jest nowy i używany tylko przez
> kilkanaście osób a więc jest to rodzaj ochrony przed zagrożeniem 0-day.

To dosyc slaba strategia. W ten sposob mozesz nie byc w stanie uzyc czegos niszowego.
No i jak malware jest subtelne i zarazi najpierw duzo ludzi aby sie obudzic po 3
miesiacach to tez ucierpisz.

> Takie informacje Norton prezentuje przy próbie uruchomienia aplikacji po
> raz pierwszy, zwłaszcza po ściągnięciu z Internetu.
>
> Pliki nie są (chyb) skanowane na moim komputerze tylko badane w bazie
> Nortona na podstawie pewnie jakiegoś identyfikatora wyliczanego dla pliku.
>

Jesli nie skanuje kodu heurystycznie to nie za dobrze. Obstawiam ze jednak skanuje
ale sposob w jaki o tym wszystkim piszesz
sprawia ze twoja strategia wyglada na niezbyt sensowna.

> Poza tym otrzymuję od Nortona informację jak Norton ocenił zaufanie do
> pliku ( np. dobry albo zaufany, niebezpieczny itp).
>
> W zasadzie jeśli plik jest podpisany przez np. nVidię to powinien
> dostawać status zaufany z automatu i nie jest potrzebne skanowanie.
> Natomiast ja bez Nortona nie jestem w stanie sprawdzać każdego pliku pod
> kątem zaufania do podpisu albo ilu użytkowników go używało czy kiedy
> pojawił się w sieci.