Антивирусы - выбор, обсуждение, особенности - Страница 30

Nikol · 11.04.2003, 17:24

Альтернативное голосование : Анти выбор Антивируса

Результаты до сброса (26.11.2007)

Код:

Касперский          235         33,6%
Norton Antivirus    152         21,7%
Dr. WEB             107         15,3%
NOD32                82         11,7%
Другой               77         11,0%
Panda Antivirus      30          4,3%
Никакого             17          2,4%
Всего - 700 человек

Просьба воздерживаться от фанатских не аргументированных заявлений (например: "Касперский - рулезз!").

Foreigner · 11.01.2006, 10:54

Werter123
Не открывал 2002

Stroom · 11.01.2006, 10:58

Цитата (Werter123) »

У меня сейчас стоит 2005

Symantec подвергает системы опасности при сканировании RAR-архивов

В антивирусном программном обеспечении Symantec обнаружена опасная уязвимость. Она позволяет посторонним лицам контролировать систему, "защищенную" антивирусом.

Подробнее: http://www.bezpeka.com/ru/news/2006/01/10/5286.html

Foreigner · 11.01.2006, 13:24

stroom
Я тоже уже говорил это, невнимательно читают...
Symantec пока не предлагает решения выявленной проблемы. Тем временем, Уиллер рекомендует пользователям «отключить сканирование RAR-архивов до тех пор, пока уязвимый код не будет исправлен».
Я предлагал просто отключиться от сети, если уж хочется архив просканить.
У себя Simantec уже снес, пробую AVG Antivirus - впечатлений никаких, писать не о чем, хотя на моей системе работает чуть быстрее чем Simantec 2006.

AlexLob · 12.01.2006, 11:28

Что я могу сказать. расскажу только о том, с чем я столкнулся. а столкнулся я недавно с различными клонами вируса feebs.
Так вот! хуже всех оказался Norton
я могу сказать, что он вообще в последнее время сдает позиции. адваре не ловит вообще как класс
для него это нормальные файлы.

версию вируса feebs.e с момента обнаружения его в моей сети увидел только касперский и доктор веб
эти орлы очень быстро отреагировали на этот вирус.

а остальные....

norton так и не ловит версию E до сих пор.
трендмикра, не знала эту вирусню до вчерашнего дня, хотя вышел он в новый год
позавчера выслал на сайт трендмикры образец вируса
до сих пор статус моео посыла файла "верифед"
т.е. якобы проверяют вирус это или нет
хотя, сегодняшнее "экспериментальное" обновление увидело и замочило этот вирус.
т.е. могу сказать, что трендмикра "лагует" на дней 10 с момента выхода вируса (а вирус, скажу я вам очень сильный, интересный)
такой лаг очень нехороший

далее
amavis - вчера проверял, видит вирус, но что за вирус - не знает
но, можно поставить зачет - убивает

MCAfee тоже не видел этой версии
пока позавчера не выслали ему сэмпл
тут же сгенерировался файлик, который подкладываешь в антивирь, и он начинает его мочить.
на следующий день, MCAfee уже внес этот вирус в свои базы
ставлю MCAfee зачОт!

и ставлю КОЛ (незачОт) Nortonу!
Обидно блин!

t0p_VD · 12.01.2006, 18:03

AlexLob

Цитата

адваре не ловит вообще как класс
для него это нормальные файлы.

Так Ad-Aware вообще-то к антивирусам и не принадлежит. С чего вдруг она должна его обнаруживать?

Stroom · 12.01.2006, 20:09

Цитата (t0p_VD) »

С чего вдруг она должна его обнаруживать?

вот, правильно человек говорит. А то все решили, что антивирусы от всего подряд лечить должны.
AlexLob Ну может нортон послушает таких как ты и понемногу образумится

Fishkin · 13.01.2006, 09:39

Цитата (AlexLob) »

версию вируса feebs.e с момента обнаружения его в моей сети увидел только касперский и доктор веб
эти орлы очень быстро отреагировали на этот вирус.

У меня 5-й Касперский со стандартными базами стоял и молчал в трубочку... это при максимальных настройках безопасности

Однако ХДД-шная и сетевая активность настораживала... пдкачал экстендед базы - ООП’с! начал складывать тела

А где-же эвристика?
Нет-Ворм... понятно, но у Касперского до сих пор в энциклопедии нет описания этого feebs. Типа - а что он делает? С кем общается? Зараженная машинка за день наматывает около 12 метров трафика (8 наружу и 4 к себе) - это именно активность этого Нет-Ворма. География естественно широчайшая - от Донецка до Денвера

(смотрел по Who Is).
Symantec серверный наш тоже сосал чупа-чупсы пока 4-го января для него не выпустили срочный апдейт баз (стопудово связанный с feebs)!
Так что, эвристика - сказки? и надо полагаться только на ежечасный апдейт баз и на своевременность команды поддержки?

Гхост-цзы · 13.01.2006, 10:27

Цитата (Fishkin) »

Так что, эвристика - сказки? и надо полагаться только на ежечасный апдейт баз и на своевременность команды поддержки?

Именно так.
Эвристика - штука конечно хорошая, но малоэффективная. В лучшем случае она позволяет найти не более нескольких процентов неизвестных вирей. К тому же шибко чувствительный эвристик страдает обилием ложных срабатываний (пример - ДрВеб в недавнем прошлом). Т.о. - эвристика не есть хороший критерий в оценке антивируса.

t0p_VD · 13.01.2006, 10:50

Fishkin

Цитата

Так что, эвристика - сказки?

Кстати говоря, на счет эвристики.. Это штука неплохая, но как ты думаешь, приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким образом. Против таких обнаружений - грех меры не принимать. Лично я-бы так и делал. Код-то ведь модифицировать до неузнаваемости можно с сохранением полной работоспособности.

Fishkin · 13.01.2006, 11:44

Цитата (t0p_VD) »

приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким

А кто тут вирьмейкер?

Оно-то понятно, что люди программирующие в большинстве своем что-то подобное писали для пробы...
Но постоянный креатифф-вирьмейкерство - это по моему или психологическая проблемма человека или творчество, чтоб приобрести популярность в определенных кругах или просто бизнес.........

ЗЫ Интересно, у вирьмейкеров на машине установлены антивирусы?

Для контроля полученного продукта - видимо, да. А как защита от "друзей" ?

Гхост-цзы · 13.01.2006, 11:47

Цитата (t0p_VD) »

Кстати говоря, на счет эвристики.. Это штука неплохая, но как ты думаешь, приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким образом. Против таких обнаружений - грех меры не принимать. Лично я-бы так и делал. Код-то ведь модифицировать до неузнаваемости можно с сохранением полной работоспособности.

Золотые слова. Именно поэтому одним из главных критериев в оценке антивируса является база известных ему пакеров и крипторов. И KAV по этому критерию - вне конкуренции (оборотная сторона этого факта - некоторое замедление работы тачки). Все шустрые антивири (типа НОД) потому и шустры, что не знают пакеров (либо знают малое их количество). И для них закриптованный файл с вирем будет чистым

. По этому параметру антивирусы выделки Симантек (NAV, SAV) - вообще полное чмо - и не шустры, и пакеров практически не знают.

Stroom · 13.01.2006, 19:34

Цитата (Гхост-цзы) »

Именно поэтому одним из главных критериев в оценке антивируса является база известных ему пакеров и крипторов

истину глаголишь!!
А насчет эвристики, шо за хрень, просто расширенная сигнатура, отсюда и ложные срабатывания. В принципе сама идея опознавать возможный вирус хорошая, но осуществить её просчитав все мелочи и нюансы сведя к минимуму соотношение ложное срабатывание/новый вирус дело будущих лет

Цитата (Fishkin) »

А кто тут вирьмейкер?

так он и отзовётся

Гхост-цзы · 14.01.2006, 00:35

Эвристика не есть расширенная сигнатура.

Сигнатуры антивирус берёт из своей базы данных; сигнатуры попадают туда только после того, как вирь уже побывал под микроскопом

у вирусных аналитиков. Эврист же ищет не сигнатуры в файлах, а анализирует события в системе, реагируя на последовательности операций, типичные для вирей (типичные с точки зрения эвриста

).

andr001 · 14.01.2006, 02:22

Цитата (Гхост-цзы) »

Эврист же ищет не сигнатуры в файлах, а анализирует события в системе,

то, что уже произошло в системе, зачастую уже не восстановить, по этому антивири перехватывают вызовы большинства известных им библиотек и выполняют функции в своей мини виртуальной машине, но зная какую функцию и в какой библиотеке перехватывает допустим каспер, его можно опередить

Stroom · 14.01.2006, 12:22

Гхост-цзы давай как-то определимся с терминами. Мы можем спорить сколько угодно. Мы говорим о разных вещах. То что ты привел в пример

Цитата

Эврист же ищет не сигнатуры в файлах, а анализирует события в системе, реагируя на последовательности операций, типичные для вирей (типичные с точки зрения эвриста ).

это проактивная защита то бишь все пытающееся определить новый неизвестный вирус заранее, целый комплекс методов. А эвристика это часть проактивной защиты, и именно она анализирует признаки вредоносного кода а как это делается ну логически похоже просто берется расширенная сигнатура. Ну никогда не слышал, что эвристика что-то там эмулирует и анализирует события в системе
в общем-то я не антивирусописатель и ты наверно тоже. так что все разговоры на уровне "что то когда то там услышал, там прочитал". вот может попытаемся привести конкретные ссылочки на высказывания экспертов в этой области (к примеру тот же Крис Касперский и пр.), тогда получится конструктивный разговор

Гхост-цзы · 14.01.2006, 19:41

Цитата (andr001) »

то, что уже произошло в системе, зачастую уже не восстановить

Что тут удивительного - эвристические механизмы срабатывают уже после того, как вирус проникнет в систему и попытается в ней закрепиться.

Цитата (andr001) »

антивири перехватывают вызовы большинства известных им библиотек и выполняют функции в своей мини виртуальной машине

Это называется эмулятором. Опирается ли эвристический анализ исключительно на использование эмулятора - для меня это не бесспорное утверждение. Возможно для каких-то антивирусов это так; но есть антивирусы, у которых вообще нет эмулятора.

Гхост-цзы добавил :

Цитата (stroom) »

давай как-то определимся с терминами. Мы можем спорить сколько угодно. Мы говорим о разных вещах.

Подозреваю, что Вселенная не рухнет из-за того, что мы продолжим говорить о разных вещах.

Спорить о терминах - занятие бессмысленное; эвристика - она и в Африке эвристика. Потому лучше определиться с сутью явления.

Цитата

А эвристика это часть проактивной защиты, и именно она анализирует признаки вредоносного кода а как это делается ну логически похоже просто берется расширенная сигнатура.

Простой пример - разные вири имеют различный код (а следовательно разные сигнатуры); однако типовые вредоносные действия у них могут быть одинаковы (например, используется одна и та же уязвимость в системе). Алгоритм эвриста собственно и отслеживает эти самые "типовые вредоносные действия"; то бишь - на основе заданных параметров оценивается действие того или иного объекта и определяет вероятность того, может ли он быть вирусом или нет. Согласись, что этот метод кардинально отличается от сигнатурного анализа.
Как он реализуется конкретно - вопрос действительно к вирусным аналитикам; наверняка в разных антивирусах по-разному.

t0p_VD · 14.01.2006, 20:42

Гхост-цзы

Цитата

Что тут удивительного - эвристические механизмы срабатывают уже после того, как вирус проникнет в систему и попытается в ней закрепиться.

Не.. Вот это неверно. Анализируется файл во время проверки, т.е. по сути при его запуске.

Spectator-X · 14.01.2006, 23:03

Можно и мне в беседу

.
Попробую объяснить.

Традиционный метод сигнатурного поиска
Предположим, что у нас вирус, состоящий из зашифрованного тела и расшифровщика. Кодоэмулятор эмулирует работу данного вируса по одной инструкции, после этого кодоанализатор подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчёта контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - значит вирус идентифицирован, можно начинать “гасить”. Этот способ практически не даёт ложных срабатываний, но главный его недостаток - невозможность обнаружения новых вирусов (конечно, как же успеешь вносить в базу изменения, если в день появляются тысячи новых вирусов) , необходимость постоянного обновления антивирусных баз.

2-способ эвристического поиска

Основной принцип работы этого метода - это поиск последовательностей исполняемых команд, которые либо характерных, либо совпадают, для того или иного типа вирусов. К примеру, одна программа пытается внедриться в другую программу, размножается - значит вирус. Кажется, что этот способ очень эффективен определение неизвестных вирусов, различных модификаций, сокращается антивирусная база, более высокая скорость проверки (как-никак, но по действиям проще определить, нежели проверять нутро). И все бы было хорошо, если бы эвристические анализаторы обладали мышлением близким к человеческом (сомневаюсь, что так когда-нибудь будет). Именно из-за этого, высок процент ложных срабатываний + пропуск (при проверке) программ троянского класса.

Я написал общий принцип, т.к. большинство эвристических анализаторов - это ноу-хау той или иной компании. Моя оценка эвристических анализаторов KAV, NOD32, Dr.Web. KAV - в младенческой стадии, у Dr.Web’a, вроде, неплохая, но часто ложно срабатывает, сейчас юзаю Nod32, пока не могу пожаловаться на его эвристику.

P.S. Простите за русский язык

celsus · 15.01.2006, 23:14

Цитата

Так вот! хуже всех оказался Norton

а как Norton Personal Firewall?

MCAfee тоже не видел этой версии
пока позавчера не выслали ему сэмпл
тут же сгенерировался файлик, который подкладываешь в антивирь, и он начинает его мочить.
на следующий день, MCAfee уже внес этот вирус в свои базы
ставлю MCAfee зачОт!

Скажи пожалуйста, а что такое сэмпл и как его вносить? У меня есть Макафи, но я не знаю.... куда этот сэмпл и откуда вставлять

Stroom · 16.01.2006, 07:51

Цитата (Гхост-цзы) »

Согласись, что этот метод кардинально отличается от сигнатурного анализа.

нет, не соглашусь, на данный момент по крайней мере

. Чем же он кардинально отличается-то? Как же он

Цитата

отслеживает эти самые "типовые вредоносные действия";

?? Так же как и в сигнатурном методе, только вместо поиска сигнатур уже известных вирусов ищутся строчки типовых "возможно-недобрых" команд , зловредных инструкций и на основе их количества и степени опасности оценивается вероятностная функция определения возможности вируса (чем ниже порог, тем чаще будут ложные срабатывания ессно). только одна проблемка, чтобы это всё подтвердить, надо теперь найти где я это читал, а давненько это было блин

Так что, имхо эвристика - метод, кардинально не отличающийся от сигнатурного (только вместо самих вирусов ищутся злые команды и оцен их степень опасности).

Spectator-X

Цитата

это поиск последовательностей исполняемых команд, которые либо характерных, либо совпадают, для того или иного типа вирусов

То есть? Ты хочешь сказать, что эвристика анализирует файлы на наличие исполняемых команд?

Цитата

как-никак, но по действиям проще определить, нежели проверять нутро

Или, что эвристика отслеживает именно сами действия?

Результаты опроса: Какой у Вас антивирус?
Norton Antivirus	26	4.16%
Касперский	212	33.92%
Dr. WEB	50	8.00%
Другой	18	2.88%
Никакого	25	4.00%
Panda Antivirus	8	1.28%
NOD32	118	18.88%
Avira Antivir	46	7.36%
Avast!	91	14.56%
AVG	13	2.08%
McAfee	4	0.64%
BitDefender	7	1.12%
F-Secure	0	0%
F-Prot	0	0%
Trend Micro	3	0.48%
Comodo	4	0.64%
Голосовавшие: 625. Вы ещё не голосовали в этом опросе

11.04.2003, 17:24	#1
Nikol Начинающий Автор темы Регистрация: 03.03.2003	anti virus Альтернативное голосование : Анти выбор Антивируса Результаты до сброса (26.11.2007) Код: Касперский 235 33,6% Norton Antivirus 152 21,7% Dr. WEB 107 15,3% NOD32 82 11,7% Другой 77 11,0% Panda Antivirus 30 4,3% Никакого 17 2,4% Всего - 700 человек Просьба воздерживаться от фанатских не аргументированных заявлений (например: "Касперский - рулезз!"). Последний раз редактировалось Ariny; 20.06.2011 в 08:36. Причина: Объявление

11.01.2006, 10:54	Вверх #581
Foreigner Продвинутый Регистрация: 14.09.2005 Адрес: St.Petersburg	Werter123 Не открывал 2002 __________________ Foreigner

11.01.2006, 13:24	Вверх #583
Foreigner Продвинутый Регистрация: 14.09.2005 Адрес: St.Petersburg	stroom Я тоже уже говорил это, невнимательно читают... Symantec пока не предлагает решения выявленной проблемы. Тем временем, Уиллер рекомендует пользователям «отключить сканирование RAR-архивов до тех пор, пока уязвимый код не будет исправлен». Я предлагал просто отключиться от сети, если уж хочется архив просканить. У себя Simantec уже снес, пробую AVG Antivirus - впечатлений никаких, писать не о чем, хотя на моей системе работает чуть быстрее чем Simantec 2006. __________________ Foreigner

13.01.2006, 09:39	Вверх #587
Fishkin Недосягаемый Регистрация: 25.08.2004 Адрес: Мандрыковка	Цитата (AlexLob) » версию вируса feebs.e с момента обнаружения его в моей сети увидел только касперский и доктор веб эти орлы очень быстро отреагировали на этот вирус. У меня 5-й Касперский со стандартными базами стоял и молчал в трубочку... это при максимальных настройках безопасности Однако ХДД-шная и сетевая активность настораживала... пдкачал экстендед базы - ООП’с! начал складывать тела А где-же эвристика? Нет-Ворм... понятно, но у Касперского до сих пор в энциклопедии нет описания этого feebs. Типа - а что он делает? С кем общается? Зараженная машинка за день наматывает около 12 метров трафика (8 наружу и 4 к себе) - это именно активность этого Нет-Ворма. География естественно широчайшая - от Донецка до Денвера (смотрел по Who Is). Symantec серверный наш тоже сосал чупа-чупсы пока 4-го января для него не выпустили срочный апдейт баз (стопудово связанный с feebs)! Так что, эвристика - сказки? и надо полагаться только на ежечасный апдейт баз и на своевременность команды поддержки? __________________ Hab ich die reine Seele Töte sie in Flammen

11.01.2006, 10:58	Вверх #582
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Цитата (Werter123) » У меня сейчас стоит 2005 Symantec подвергает системы опасности при сканировании RAR-архивов В антивирусном программном обеспечении Symantec обнаружена опасная уязвимость. Она позволяет посторонним лицам контролировать систему, "защищенную" антивирусом. Подробнее: http://www.bezpeka.com/ru/news/2006/01/10/5286.html

12.01.2006, 11:28	Вверх #584
AlexLob Новенький Регистрация: 12.01.2006	Что я могу сказать. расскажу только о том, с чем я столкнулся. а столкнулся я недавно с различными клонами вируса feebs. Так вот! хуже всех оказался Norton я могу сказать, что он вообще в последнее время сдает позиции. адваре не ловит вообще как класс для него это нормальные файлы. версию вируса feebs.e с момента обнаружения его в моей сети увидел только касперский и доктор веб эти орлы очень быстро отреагировали на этот вирус. а остальные.... norton так и не ловит версию E до сих пор. трендмикра, не знала эту вирусню до вчерашнего дня, хотя вышел он в новый год позавчера выслал на сайт трендмикры образец вируса до сих пор статус моео посыла файла "верифед" т.е. якобы проверяют вирус это или нет хотя, сегодняшнее "экспериментальное" обновление увидело и замочило этот вирус. т.е. могу сказать, что трендмикра "лагует" на дней 10 с момента выхода вируса (а вирус, скажу я вам очень сильный, интересный) такой лаг очень нехороший далее amavis - вчера проверял, видит вирус, но что за вирус - не знает но, можно поставить зачет - убивает MCAfee тоже не видел этой версии пока позавчера не выслали ему сэмпл тут же сгенерировался файлик, который подкладываешь в антивирь, и он начинает его мочить. на следующий день, MCAfee уже внес этот вирус в свои базы ставлю MCAfee зачОт! и ставлю КОЛ (незачОт) Nortonу! Обидно блин!

12.01.2006, 18:03	Вверх #585
t0p_VD Экс-модератор Регистрация: 27.11.2003 Адрес: г. Смоленск	AlexLob Цитата адваре не ловит вообще как класс для него это нормальные файлы. Так Ad-Aware вообще-то к антивирусам и не принадлежит. С чего вдруг она должна его обнаруживать?

12.01.2006, 20:09	Вверх #586
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Цитата (t0p_VD) » С чего вдруг она должна его обнаруживать? вот, правильно человек говорит. А то все решили, что антивирусы от всего подряд лечить должны. AlexLob Ну может нортон послушает таких как ты и понемногу образумится

13.01.2006, 10:27	Вверх #588
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (Fishkin) » Так что, эвристика - сказки? и надо полагаться только на ежечасный апдейт баз и на своевременность команды поддержки? Именно так. Эвристика - штука конечно хорошая, но малоэффективная. В лучшем случае она позволяет найти не более нескольких процентов неизвестных вирей. К тому же шибко чувствительный эвристик страдает обилием ложных срабатываний (пример - ДрВеб в недавнем прошлом). Т.о. - эвристика не есть хороший критерий в оценке антивируса. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

13.01.2006, 10:50	Вверх #589
t0p_VD Экс-модератор Регистрация: 27.11.2003 Адрес: г. Смоленск	Fishkin Цитата Так что, эвристика - сказки? Кстати говоря, на счет эвристики.. Это штука неплохая, но как ты думаешь, приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким образом. Против таких обнаружений - грех меры не принимать. Лично я-бы так и делал. Код-то ведь модифицировать до неузнаваемости можно с сохранением полной работоспособности.

13.01.2006, 11:44	Вверх #590
Fishkin Недосягаемый Регистрация: 25.08.2004 Адрес: Мандрыковка	Цитата (t0p_VD) » приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким А кто тут вирьмейкер? Оно-то понятно, что люди программирующие в большинстве своем что-то подобное писали для пробы... Но постоянный креатифф-вирьмейкерство - это по моему или психологическая проблемма человека или творчество, чтоб приобрести популярность в определенных кругах или просто бизнес......... ЗЫ Интересно, у вирьмейкеров на машине установлены антивирусы? Для контроля полученного продукта - видимо, да. А как защита от "друзей" ? __________________ Hab ich die reine Seele Töte sie in Flammen

13.01.2006, 11:47	Вверх #591
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (t0p_VD) » Кстати говоря, на счет эвристики.. Это штука неплохая, но как ты думаешь, приятно-ли вирьмейкеру будет видеть, что свеженаписанный вирь будет обнаруживаться таким образом. Против таких обнаружений - грех меры не принимать. Лично я-бы так и делал. Код-то ведь модифицировать до неузнаваемости можно с сохранением полной работоспособности. Золотые слова. Именно поэтому одним из главных критериев в оценке антивируса является база известных ему пакеров и крипторов. И KAV по этому критерию - вне конкуренции (оборотная сторона этого факта - некоторое замедление работы тачки). Все шустрые антивири (типа НОД) потому и шустры, что не знают пакеров (либо знают малое их количество). И для них закриптованный файл с вирем будет чистым . По этому параметру антивирусы выделки Симантек (NAV, SAV) - вообще полное чмо - и не шустры, и пакеров практически не знают. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

13.01.2006, 19:34	Вверх #592
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Цитата (Гхост-цзы) » Именно поэтому одним из главных критериев в оценке антивируса является база известных ему пакеров и крипторов истину глаголишь!! А насчет эвристики, шо за хрень, просто расширенная сигнатура, отсюда и ложные срабатывания. В принципе сама идея опознавать возможный вирус хорошая, но осуществить её просчитав все мелочи и нюансы сведя к минимуму соотношение ложное срабатывание/новый вирус дело будущих лет Цитата (Fishkin) » А кто тут вирьмейкер? так он и отзовётся

14.01.2006, 00:35	Вверх #593
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Эвристика не есть расширенная сигнатура. Сигнатуры антивирус берёт из своей базы данных; сигнатуры попадают туда только после того, как вирь уже побывал под микроскопом у вирусных аналитиков. Эврист же ищет не сигнатуры в файлах, а анализирует события в системе, реагируя на последовательности операций, типичные для вирей (типичные с точки зрения эвриста ). __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли. Последний раз редактировалось Гхост-цзы; 14.01.2006 в 00:49.

14.01.2006, 02:22	Вверх #594
andr001 Умудрённый Регистрация: 10.10.2003 Адрес: Россия, Москва	Цитата (Гхост-цзы) » Эврист же ищет не сигнатуры в файлах, а анализирует события в системе, то, что уже произошло в системе, зачастую уже не восстановить, по этому антивири перехватывают вызовы большинства известных им библиотек и выполняют функции в своей мини виртуальной машине, но зная какую функцию и в какой библиотеке перехватывает допустим каспер, его можно опередить __________________ Кто умеет - делает, а не умеет - учит. (С) Бернард Шоу. Знающий не говорит, говорящий не знает (С) Лао Цзы

14.01.2006, 12:22	Вверх #595
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Гхост-цзы давай как-то определимся с терминами. Мы можем спорить сколько угодно. Мы говорим о разных вещах. То что ты привел в пример Цитата Эврист же ищет не сигнатуры в файлах, а анализирует события в системе, реагируя на последовательности операций, типичные для вирей (типичные с точки зрения эвриста ). это проактивная защита то бишь все пытающееся определить новый неизвестный вирус заранее, целый комплекс методов. А эвристика это часть проактивной защиты, и именно она анализирует признаки вредоносного кода а как это делается ну логически похоже просто берется расширенная сигнатура. Ну никогда не слышал, что эвристика что-то там эмулирует и анализирует события в системе в общем-то я не антивирусописатель и ты наверно тоже. так что все разговоры на уровне "что то когда то там услышал, там прочитал". вот может попытаемся привести конкретные ссылочки на высказывания экспертов в этой области (к примеру тот же Крис Касперский и пр.), тогда получится конструктивный разговор

14.01.2006, 19:41	Вверх #596
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (andr001) » то, что уже произошло в системе, зачастую уже не восстановить Что тут удивительного - эвристические механизмы срабатывают уже после того, как вирус проникнет в систему и попытается в ней закрепиться. Цитата (andr001) » антивири перехватывают вызовы большинства известных им библиотек и выполняют функции в своей мини виртуальной машине Это называется эмулятором. Опирается ли эвристический анализ исключительно на использование эмулятора - для меня это не бесспорное утверждение. Возможно для каких-то антивирусов это так; но есть антивирусы, у которых вообще нет эмулятора. Гхост-цзы добавил : Цитата (stroom) » давай как-то определимся с терминами. Мы можем спорить сколько угодно. Мы говорим о разных вещах. Подозреваю, что Вселенная не рухнет из-за того, что мы продолжим говорить о разных вещах. Спорить о терминах - занятие бессмысленное; эвристика - она и в Африке эвристика. Потому лучше определиться с сутью явления. Цитата А эвристика это часть проактивной защиты, и именно она анализирует признаки вредоносного кода а как это делается ну логически похоже просто берется расширенная сигнатура. Простой пример - разные вири имеют различный код (а следовательно разные сигнатуры); однако типовые вредоносные действия у них могут быть одинаковы (например, используется одна и та же уязвимость в системе). Алгоритм эвриста собственно и отслеживает эти самые "типовые вредоносные действия"; то бишь - на основе заданных параметров оценивается действие того или иного объекта и определяет вероятность того, может ли он быть вирусом или нет. Согласись, что этот метод кардинально отличается от сигнатурного анализа. Как он реализуется конкретно - вопрос действительно к вирусным аналитикам; наверняка в разных антивирусах по-разному. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

14.01.2006, 20:42	Вверх #597
t0p_VD Экс-модератор Регистрация: 27.11.2003 Адрес: г. Смоленск	Гхост-цзы Цитата Что тут удивительного - эвристические механизмы срабатывают уже после того, как вирус проникнет в систему и попытается в ней закрепиться. Не.. Вот это неверно. Анализируется файл во время проверки, т.е. по сути при его запуске.

14.01.2006, 23:03	Вверх #598
Spectator-X Интересующийся Регистрация: 05.01.2006 Адрес: [UA] Donetsk, [RU] Moscow	Можно и мне в беседу . Попробую объяснить. Традиционный метод сигнатурного поиска Предположим, что у нас вирус, состоящий из зашифрованного тела и расшифровщика. Кодоэмулятор эмулирует работу данного вируса по одной инструкции, после этого кодоанализатор подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчёта контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - значит вирус идентифицирован, можно начинать “гасить”. Этот способ практически не даёт ложных срабатываний, но главный его недостаток - невозможность обнаружения новых вирусов (конечно, как же успеешь вносить в базу изменения, если в день появляются тысячи новых вирусов) , необходимость постоянного обновления антивирусных баз. 2-способ эвристического поиска Основной принцип работы этого метода - это поиск последовательностей исполняемых команд, которые либо характерных, либо совпадают, для того или иного типа вирусов. К примеру, одна программа пытается внедриться в другую программу, размножается - значит вирус. Кажется, что этот способ очень эффективен определение неизвестных вирусов, различных модификаций, сокращается антивирусная база, более высокая скорость проверки (как-никак, но по действиям проще определить, нежели проверять нутро). И все бы было хорошо, если бы эвристические анализаторы обладали мышлением близким к человеческом (сомневаюсь, что так когда-нибудь будет). Именно из-за этого, высок процент ложных срабатываний + пропуск (при проверке) программ троянского класса. Я написал общий принцип, т.к. большинство эвристических анализаторов - это ноу-хау той или иной компании. Моя оценка эвристических анализаторов KAV, NOD32, Dr.Web. KAV - в младенческой стадии, у Dr.Web’a, вроде, неплохая, но часто ложно срабатывает, сейчас юзаю Nod32, пока не могу пожаловаться на его эвристику. P.S. Простите за русский язык __________________ "Don't criticize what you can understand what you can't understand" (c) Bob Dylan Последний раз редактировалось Spectator-X; 14.01.2006 в 23:06.

15.01.2006, 23:14	Вверх #599
celsus Общительный Регистрация: 15.12.2005 Адрес: Россия, Уфа	Цитата Так вот! хуже всех оказался Norton а как Norton Personal Firewall? MCAfee тоже не видел этой версии пока позавчера не выслали ему сэмпл тут же сгенерировался файлик, который подкладываешь в антивирь, и он начинает его мочить. на следующий день, MCAfee уже внес этот вирус в свои базы ставлю MCAfee зачОт! Скажи пожалуйста, а что такое сэмпл и как его вносить? У меня есть Макафи, но я не знаю.... куда этот сэмпл и откуда вставлять __________________ :-( Я - плотник!

16.01.2006, 07:51	Вверх #600
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Цитата (Гхост-цзы) » Согласись, что этот метод кардинально отличается от сигнатурного анализа. нет, не соглашусь, на данный момент по крайней мере . Чем же он кардинально отличается-то? Как же он Цитата отслеживает эти самые "типовые вредоносные действия"; ?? Так же как и в сигнатурном методе, только вместо поиска сигнатур уже известных вирусов ищутся строчки типовых "возможно-недобрых" команд , зловредных инструкций и на основе их количества и степени опасности оценивается вероятностная функция определения возможности вируса (чем ниже порог, тем чаще будут ложные срабатывания ессно). только одна проблемка, чтобы это всё подтвердить, надо теперь найти где я это читал, а давненько это было блин Так что, имхо эвристика - метод, кардинально не отличающийся от сигнатурного (только вместо самих вирусов ищутся злые команды и оцен их степень опасности). Spectator-X Цитата это поиск последовательностей исполняемых команд, которые либо характерных, либо совпадают, для того или иного типа вирусов То есть? Ты хочешь сказать, что эвристика анализирует файлы на наличие исполняемых команд? Цитата как-никак, но по действиям проще определить, нежели проверять нутро Или, что эвристика отслеживает именно сами действия?