A.

Как работают вирлабы и кто это делает лучше?

В этой теме 73 сообщений

A. писал(а):

Секта, имени святого ID

Что-то в этом роде.

Ничего подобного я в коллективе не наблюдаю. Глупости. Все заняты работой, ибо у каждого она своя, и её хватает.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы что телепат? Сидя в Ставрополе видеть что творица в Питере?! Ж)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы что телепат? Сидя в Ставрополе видеть что творица в Питере?! Ж)

Для того, чтобы увидеть настроение коллектива, необязательно быть телепатом или сидеть в Питере. Достаточно просто долго использовать средства, которые есть в наличии. У меня их хватает для того, чтобы делать подобные выводы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
о что вы не захотели учесть данные по 330-и и 660-и битным GpCode - тоже не важно. Было бы 4:1 в пользу KAV.

DrWeb:

Encoder.7 - drwtoday.vdb (2006-06-07 01:08:45, MD5: b115b03a7272664f1a94862a4f17b4dd)

KAV: (не понятно который из них)

6 June 2006 Virus.Win32.Gpcode.af 15:09 17:42

7 June 2006 Virus.Win32.Gpcode.ag 15:10 17:35

DrWeb:

Encoder.8 - drwtoday.vdb (2006-06-13 10:37:21, MD5: d54896547e96bfa9e1b6d730468e306e)

KAV: (не понятно который из них)

27 June 2006 Virus.Win32.Gpcode.ah 13:29 15:11

26 June 2006 Virus.Win32.Gpcode.av 11:08 12:47

7 June 2006 Virus.Win32.Gpcode.ag 15:10 17:35

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A. писал(а):

Секта, имени святого ID

Что-то в этом роде.

Ничего подобного я в коллективе не наблюдаю. Глупости. Все заняты работой, ибо у каждого она своя, и её хватает.

Наверное А. и имел в виду, что Dr. Web - слишком закрытая компания, в которой все беспрекословно подчиняются И. Данилову.

Добавлено спустя 12 минут 4 секунды:

Но возможно. Не все специалисты Доктора - специалисты сразу в нескольких областях.

Не буду спорить, такое возможно. правда как исключение, а не как общее правило. Вы согласны?

Тот есть в Dr. Web осознали свою ошибку?
Интерфейс до недавнего времени не был приоритетной задачей. Теперь интерфейс меняется под новую внутреннюю архитектуру продукта. Со старым интерфейсом это было бы реализовать сложнее. Т.е. меняется и внешний (графический) интерефейс, и взаимодействие между компонентами, и основная функциональность.

Вы рассуждаете правильно. Но я имел в виду очевидные недостатки интерфейса, которые давно необходимо было устранить. Работать нужно было не только над ними но их необходимо было устранить в первую очередь.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему вы считаете что знаете всех экспертов reverse-engineer-инга? Я так понимаю (по уровню самооценки) за А. скрывается как минимум Александр Гостев или Е.К.?

Коллега, не только ЕК или АГ знает АВ экспертов. Я тоже почти всех знаю, хоть и не имею отношения к анализу уже очень долгое время. Кое-кого в лицо, с кем-то лично знаком. АВ индустрия очень маленькая и практически со всеми все встречались. Могу фотку показать, на которой мирно сидят и пьют пиво люди из ЛК, TrendMicro, BitDefender, Microsoft, VirusBuster, Avira.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наверное А. и имел в виду, что Dr. Web - слишком закрытая компания, в которой все беспрекословно подчиняются И. Данилову.

Может быть, это тоже имелось в виду. Да, Игорь Данилов сильно влияет на многие программные решения, применяющиеся в продуктах, но и коллектив на него сильно влияет.

В качестве свежего примера - под давлением коллектива из всех компонентов была убрана проверка "по формату" как изжившая себя. ИД до последнего этот режим проверки хотел оставить.

Не буду спорить, такое возможно. правда как исключение, а не как общее правило. Вы согласны?

Да, согласен. Но так же согласен и в том, что многие творческие люди могут работать в нескольких областях одновременно. Например, давно замечено, что технические специалисты очень часто являются одновременно хорошими музыкантами.

Вы рассуждаете правильно. Но я имел в виду очевидные недостатки интерфейса, которые давно необходимо было устранить.

Над устранением недостатков интерфейса работа идёт и сейчас, не дожидаясь новой концепции интерфейса.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Раз мы тут обсуждаем работу вирлабов, то я хотел бы скоростью реакции затронуть. Лаборатория Касперского очень гордится выходом обновлений каждый час, а также скорость реакции на появление новых угроз. Туда же кинулся Доктор Веб, по количеству апдейтов они уже приближаются к ЛК.

Но вопрос не в этом, а в качестве апдейтов. До этого мы обсуждали этот вопрос здесь и Михаил Кондрашин в частности высказывался, что за 15-30 минут, которые уходят на анализ вируса и выпуск сигнатуры, нереально ее нормально протестировать. Поэтому Trend Micro, Symantec, McAfee не могут выдавать такую скорость реакции, так как, работая по ISO, заботятся о качестве выполнения работы.

Так что, действительно сигнатуры часто в наших вирлабах тестируются "на коленке" или проблема в том, что большая тройка не в состоянии выстроить подобный технологический процесс?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но вопрос не в этом, а в качестве апдейтов. До этого мы обсуждали этот вопрос здесь и Михаил Кондрашин в частности высказывался, что за 15-30 минут, которые уходят на анализ вируса и выпуск сигнатуры, нереально ее нормально протестировать. Поэтому Trend Micro, Symantec, McAfee не могут выдавать такую скорость реакции, так как, работая по ISO, заботятся о качестве выполнения работы.

это просто оправдание тормознутости вышеупомянутых <g>

Так что, действительно сигнатуры часто в наших вирлабах тестируются "на коленке" или проблема в том, что большая тройка не в состоянии выстроить подобный технологический процесс?

все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>это просто оправдание тормознутости вышеупомянутых <g>

Скорее нехватка мощьностей.. Увы даже супер крутые РАЙДЫ на SCII не позволяют прочитать 10-20 ТБ файлов за 1 минуту :(

Тоесть если количество процессоров можно еще нарастить то увеличить скороcть считивания увы :(

>все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

У всех но не все Ж) Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

Давно такой маленькой разницы не видел. А если такое и бывает иногда, то, видимо, что-то критичное должно произойти. Т.е. это - не нормальная ситуация.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На updates.drweb.com ходите чаще Ж)

5 viruses in base

через 5 минут уже

6 viruses in base

через час - 70 viruses in base ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Т.е. эту одну запись нельзя было тестировать независимо от других? И одну запись (не модифицируя её) нельзя захотеть разделить за эти 5 минут на несколько для удобства? В общем, весьма косвенный показатель ты используешь.

Добавлено спустя 5 минут 18 секунд:

Про разделением одной записи на несколько - я имею в виду более сложный процесс, чем написал. Суть та, что можно одну модификацию вируса (оказавшейся слишком общей для аналитиков) захотеть разделить на несколько модификаций без изменения алгоритма детекта. Вернее, этот алгоритм разделится на 2 похожих алгоритма, но раздельных. Как-то так.

А что ты скажешь про "сжатие" базы? Т.е. иногда вирусные записи не добавляют, а "удаляют" :)

В общем, скорость добавления записей в базу - не показатель. Но время, которое проходит от обнаружения существования нового вируса до его устойчивого детекта - это, действительно, показатель.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>это просто оправдание тормознутости вышеупомянутых <g>

Скорее нехватка мощьностей.. Увы даже супер крутые РАЙДЫ на SCII не позволяют прочитать 10-20 ТБ файлов за 1 минуту :(

Тоесть если количество процессоров можно еще нарастить то увеличить скороcть считивания увы :(

Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

>все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

У всех но не все Ж) Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АВ индустрия очень маленькая и практически со всеми все встречались. Могу фотку показать' date=' на которой мирно сидят и пьют пиво люди из ЛК, TrendMicro, BitDefender, Microsoft, VirusBuster, Avira.[/quote']

По-моему этот "круг знакомств" доступен далеко не всем сотрудникам, а лишь топ-менеджменту и ведущим разработчикам. Не думаю что ЛК отправляет на конференции VB рядовых сотрудников.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По-моему этот "круг знакомств" доступен далеко не всем сотрудникам, а лишь топ-менеджменту и ведущим разработчикам. Не думаю что ЛК отправляет на конференции VB рядовых сотрудников.

Доступен всем кому это надо. Например, некоторым очень ведущим разработчикам этот круг тоже доступен ибо это надо. Да и говорил я уже, круг экспертов мирового уровня действительно мал и знать всех (реально всех) довольно просто.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

Один хрен иметь 1 железку с 5тью ХДД и процессорами и вешать 5 сканнеров по 1 на процессов для сканирования 1 хдд.

Или 5 отдельных в кластере.

Разница только в скорости доступа к памяти но как не крути а за 1 минуту невыйдет.

>языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

Либо докажы обратное либо я буду считать что ты чешеш языком...

Как ты сам сказал - "Не тебе мне указывать куда идти". С таким же успехом можешь топать на forum.drweb.com :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

Один хрен иметь 1 железку с 5тью ХДД и процессорами и вешать 5 сканнеров по 1 на процессов для сканирования 1 хдд.

Или 5 отдельных в кластере.

Разница только в скорости доступа к памяти но как не крути а за 1 минуту невыйдет.

Саня, детский дальше по коридору, я повторюсь.

100 машин с 8Г дают примерно 0.5T RAM FS. понятно, что пришибленым поделиями биллгейтса это осознать трудно. 500G сегодня достаточно для проверки в первом приближении.

>языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

Либо докажы обратное либо я буду считать что ты чешеш языком...

Как ты сам сказал - "Не тебе мне указывать куда идти". С таким же успехом можешь топать на forum.drweb.com :)

да, спасибо, я знаю что Вы и там чушь несете точно такую же. это не новость для меня. только там не начинайте рассказывать устройство сигнатурного анализатора Dr.Web, ok? там это будет уже не смешно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

Добавлено спустя 5 минут 14 секунд:

>Саня, детский дальше по коридору, я повторюсь.

100 машин с 8Г дают примерно 0.5T RAM FS. понятно, что пришибленым поделиями биллгейтса это осознать трудно. 500G сегодня достаточно для проверки в первом приближении.

8 GB Ram естесно надо понимать.

И зачем так сложно?!

Зачем все было расписывать про кластеры и.т.д когда можно просто сказать о неиспользовании дисков в качестве носителя инфы.

Можно поставить 1 сервер с 64 процессорами и 0.5 тб РАМ и получить теже 500 гб (0.5тб) рам ФС.

Добавлено спустя 2 минуты 22 секунды:

И напоследок -

>500G сегодня достаточно для проверки в первом приближении.

Речь шла о теребайтных массивах а не обрезках на 500 гб Ж)

Тоесть это можно понимать так что у доктора нету даже тера байта чистых файлов.... ясьненько так бы и сказали защет чего скорость повышается ж) Пока одни мучаются с 10 тб доктор успевает 20 раз промучатся с 0.5 тб Ж)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

угу. тем кто может, Вам не удалось, увы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> 100 машин с 8Г дают примерно 0.5T RAM FS

Тестовый стенд за 200 килобаксов? Загните, пожалуйста, пальцы на место - нет у вас такого, и не будет в ближайшее время, ровно как и у всех компаний третьего эшелона (второго кастати тоже - иллюзий никто не строит).

Добавлено спустя 43 минуты 46 секунд:

>> Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

> угу. тем кто может, Вам не удалось, увы.

Вы действительно хотите, чтобы это посмотрели "те кто могут"?

[лишние пальцы вырезаны :)]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как раз в тему Клименти выложил тест реакции вируслабов на полиморф W32.Bakaver.A. Обсуждение материала тут

http://www.anti-malware.ru/phpbb/viewtopic.php?p=8420

Там по переписке сразу видно, как некоторые лажаются.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее