Перейти к содержанию
x-men

Тормоза в различных антивирусах

Recommended Posts

EYE
КАВ действительно пока этот упаковщик незнает, но когда узнает, размер файла ему будет безразличен в отличие от нода.

Угу..Только нужно уточнить, что пока вы "работаете

над этой проблемой", Каспер не обеспечивает защиту

от зверей, защищенных этим протектором. В то время, как Нод,

который вы изображаете преимущественно в "темных тонах",

в некоторых случаях справляется с этим протектором.

А это только один частный случай, на примере которого, можно

увидеть то, о чем говорил grovana- о регрессивности

исключительно сигнатурного метода.

Ах да, наверняка напомните о проактивке-только что-то она

не особо эффективна в отношении, например, Pinch-a, новые

модификации которого, НОДу удается определить.Не все, конечно, но весьма не мало (Да и AntiVir, кстати, тоже демонстрирует

отменную эвристику).

При этом, хваленный Каспер, смотрит на любую новую модификацию, как "баран на новые ворота". И не надо разводить сопли по поводу

того, что, дескать, Pinch "специально затачивают под Каспера"- убогий, прямо скажем, аргумент в свете хвалебного апломба со стороны ЛК.

А че ему еще нужно - сплясать?

Наверное.. :D

Это ведь эксклюзивный подход к Нод-у. Если он что-то детектирует

эвристичеки, особенно то, что не детектирует Каспер (см. выше),

то значит что что-то тут не то.

У него есть поведенческий анализатор, эффективность которого составляет примерно 99% неизвестных ему (по сигнатурам) вредоносных объектов. Эффективность эвристического анализатора NOD 32 всего 58%. Думаю комменатрии излишни.

Если я правильно понял каким тестом Вы руководствуетесь,

то эффективность эвристического анализатора NOD 32

не "всего 58%", а целых 58%- т.е. самая лучшая,

а понятие эффективность эвристического анализатора Каспера,

отсутствует как таковое (я уже писал, что нет у него бедолаги, эвристика).

У Каспера есть "поведенческий анализатор", эффективность которого,

насколько я помню по тесту - 24%.

О каких 99% Вы говорите,я не совсем понимаю, особенно учитывая

абсурдность предположения о том, что кто-то (не только Каспер или NOD32) может обеспечить детектирование:

"99% неизвестных ему (по сигнатурам) вредоносных объектов"

Думаю комменатрии излишни

Ввиду изложенного мною выше, действительно,"комменатрии излишни".

Представим ситуацию, связанную с появлением malware, обработанного новым упаковщиком, при которой оба антивируса (NOD 32 и KAV/KIS) не могут обнаружить указанный объект. Как Вы думаете какой из вендоров более оперативно отреагирует на отсутствие детекта и решит, связанную с этим, проблему? Думаю, что в подавляющем большинстве случаев первым будет KAV/KIS...

В принципе, да, но тут еще нужно определиться с процентным

соотношением нового зверья не определяемого обоими антивирусами

и нового зверья определяемого эвристиком NOD32 и не определяемого

Каспером :wink:

Если рассуждать объективно, то это одна из основных проблем NOD 32. Детектирование упакованных вредоносных объектов - одно из слабых мест этого антивируса. Как показывают результаты тестовых исследований эмулятор NOD 32, на данный момент, не обеспечивает высокий уровень защиты от подобных угроз (это мое мнение).

"Как показывают результаты тестовых исследований эмулятор NOD 32, на данный момент" обладает радикально возросшей

эффективностью работы с упаковщиками в 57% :wink:

ESET отменно поработал над этим вопросом. Так что я не понимаю причину Вашего мнения.

жесть какая ))

А что должен был Каспер сказать на ТАКОЙ (если итераций больше fffffff и он не пустой) файл ? Троян ? Афигеть.

Граждане, вы определитесь все таки уже как-то ! Если в вашем представлении суть эвристика заключается в том, чтобы ругаться на чистые файлы, то я прям не знаю ...

Да действительно, "Афигеть". Какой еще "чистый файл" ?

Вы что, невнимательно читаете ? Вот что писал grovana:

"Совершенно случайно нашелся готовый исходник, палящийся эвристикой НОДа. Добавил в начало твой безобидный код - результат смотри сам."

Есть тест пакеров. По нему видно что нод определяет пакеры, довольно хорошо, однако можно и лучше. Если кто не в курсе, вот: http://www.anti-malware.ru/doc/packers_support_08.2006.pdf

(конечно в методике есть пробелы, но тем не менее тест дает общее представление о подходах).

Мое мнение о Ноде и Кав:

- Каждый из подходов детекта упакованных вирусов имеет право на жизнь;

- Подход Нода дает возможность детектить даже вирусы запакованные неизвестным ему пакерам, но естественно его результат не 100% (см. ссылку выше);

- Подход Кав дает возможность детекта вирусов запакованных известными ему пакерами с вероятность 100%, пакеров он знает много. Но все же есть неизвестные ...

По результатам теста пока впереди Кав, это факт который проверен. Что будет дальше - будем тестировать, узнаем.

Объективно сказано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Если я правильно понял каким тестом Вы руководствуетесь' date='

то эффективность эвристического анализатора NOD 32

не "всего 58%", а целых 58%- т.е. самая лучшая,

а понятие эффективность эвристического анализатора Каспера,

отсутствует как таковое (я уже писал, что нет у него бедолаги, эвристика).

У Каспера есть "поведенческий анализатор", эффективность которого,

насколько я помню по тесту - 24%.

О каких 99% Вы говорите,я не совсем понимаю, особенно учитывая

абсурдность предположения о том, что кто-то (не только Каспер или NOD32) может обеспечить детектирование:

"99% неизвестных ему (по сигнатурам) вредоносных объектов"

Тест от известного Клементи.

В тесте !!ЭВРИСТИКОВ!! у кава(котогоро нету) 24%, у нода 58%.

Тест проактивки проводился Клементи отдельно, можно прочитать пдфку внизу (на сайте Клементи) где указано детектирование проактивной защитой 99.4% малвари из 6329 экземпляров.

http://www.anti-malware.ru/phpbb/viewtopic.php?t=846

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Если я правильно понял каким тестом Вы руководствуетесь' date='

то эффективность эвристического анализатора NOD 32

не "всего 58%", а целых 58%- т.е. самая лучшая,[/quote']

К сожалению Вы не совсем правильно меня поняли. Речь шла вот об этом

http://www.av-comparatives.org/seiten/erge...V6_PDM_test.PDF

Обратите внимание эффективность проактивной защиты KAV/KIS составляет 99%.

Согласен, что эвристик NODа лучше эвристика KAV/KIS (как Вы правильно заметили 58% у NOD 32 против 24% у KAV/KIS), но если рассматривать проактивную защиту в целом (то есть защиту от неизвестных угроз), то KAV/KIS по этому показателю существенно опережает NOD 32.

а понятие эффективность эвристического анализатора Каспера' date='

отсутствует как таковое (я уже писал, что нет у него бедолаги, эвристика).[/quote']

Вы не совсем правы. У KAV/KIS эвристик есть, но он пока существенно уступает эвристическому анализатору NOD32.

P.S. Кстати, ЛК работает над улучшением эвристика. Его улучшенный вариант появится в MP1, релиз которого, судя по слухам, должен выйти этой осенью.

В принципе' date=' да, но тут еще нужно определиться с процентным

соотношением нового зверья не определяемого обоими антивирусами

и нового зверья определяемого эвристиком NOD32 и не определяемого

Каспером :wink:[/quote']

Проактивная защита NOD32 - 58%

Проактивная защита KAV/KIS - 99%

Эффективность борьбы с вредносными объектами, обработанными упаковщиками:

NOD 32 - 57%

KAV/KIS - 81%

Если говорить о сигнатурном поиске и скорости реакции на появление новых угроз, то тут, на мой взгляд, сравнение вообще неуместно.

ESET отменно поработал над этим вопросом. Так что я не понимаю причину Вашего мнения.
жесть какая ))

Согласен, прогресс ESET на лицо, но ему еще далеко до ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Тест проактивки проводился Клементи отдельно, можно прочитать пдфку внизу (на сайте Клементи) где указано детектирование проактивной защитой 99.4% малвари из 6329 экземпляров.
Обратите внимание эффективность проактивной защиты KAV/KIS составляет 99%

99% по данным PRESS-RELEASE Kaspersky Lab. ?

Не смешно - наивно !

Еще раз напомню о Pinch-e. Весьма часто, Каспер не ловит его

новые модификации. Ни своим чудо-горе-неуловимым эвристиком,

ни "проактивкой", ловящей 99% (в "розовых" мечтах и "сладких" снах, наверное ?)

Кстати, интересно было бы посмотреть на E.K., выдающего перл "про 99%" на какой-нибудь международной конференции, с участием

представителей Symantec, McAfee, Trend Micro и т.д.

Вот только вряд ли представится такая возможность - там то он свое

место ой как хорошо знает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
99% по данным PRESS-RELEASE Kaspersky Lab. ?

Не смешно - наивно !

Нет уважаемы EYE, это результаты теста Андреаса Клименти, на исследования которого так любят ссылаться в ESET.

Еще раз напомню о Pinch-e. Весьма часто, Каспер не ловит его

новые модификации. Ни своим чудо-горе-неуловимым эвристиком,

ни "проактивкой", ловящей 99% (в "розовых" мечтах и "сладких" снах, наверное ?)

Pinch специально "затачивается" под KAV/KIS. С подобными "целевыми атаками" не справиться ни один из существующих антивирусов по определению, ибо совершенной защиты "на все случаи жизни" попросту нет. Неужели нужно объясгять такие азбучные истины? Напомню, что эффективность проактивной защиты KAV/KIS, согласно тесту Клименти составляет не 100%, то есть не исключена ситуация в которой поведенческий анализатор не сработает.

P.S. Все это уже обсуждалось на форуме. :( Тем более у нас с Вами получается явный оффтопик. Может лучше прекратить дискуссию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Нет уважаемы EYE, это результаты теста Андреаса Клименти, на исследования которого так любят ссылаться в ESET

Ну мы же с Вами не мыслим маркетинговыми категориями,

не так ли ?

Pinch специально "затачивается" под KAV/KIS. С подобными "целевыми атаками" не справиться ни один из существующих антивирусов по определению, ибо совершенной защиты "на все случаи жизни" попросту нет. Неужели нужно объясгять такие азбучные истины?

А что, авторы Pinch уникальны, и являются эксклюзивными

обладателями технологии обхода KAVKIS 6 ? Нет! Просто это наиболее

"наболевший" пример. О каких тогда 99% может идти речь?

то есть не исключена ситуация в которой поведенческий анализатор не сработает

Как Вы мягко это называете.

Я бы сказал точнее- 50/50, и это еще с учетом форы для ЛК.

Основываюсь на собственном опыте.

P.S. Все это уже обсуждалось на форуме. Тем более у нас с Вами получается явный оффтопик. Может лучше прекратить дискуссию?

Что ж, если Вы считаете, что так будет лучше...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ну мы же с Вами не мыслим маркетинговыми категориями,

не так ли ?

Оставим маркетинг в стороне. Я привел Вам результаты иссследований одной из известных (в глобальном масштабе) и наиболее уважаемых тестовых лабораторий. Объективные исследования А. Клименти - одни из самых репрезентативных в мире. На их результаты любят ссылатся в ESET (см., например здесь http://eset.com/company/article.php?contentID=1667)

Возможно это делается из маркетинговых соображений, но это не отменяет ценность тестов Клименти.

А что, авторы Pinch уникальны, и являются эксклюзивными

обладателями технологии обхода KAVKIS 6 ? Нет!

Причем тут это? Если вирус (в широком смысле слова) специально дрессируется под конкретный антивирус, то он не устоит в любом случае. Это касается не только антивируса Касперского.

Просто это наиболее

"наболевший" пример.

Согласен. У ЛК есть некоторые проблемы с Pinchем. Их наличие объясняется указанными выше обстоятельствами.

Как Вы мягко это называете.

Я бы сказал точнее- 50/50, и это еще с учетом форы для ЛК.

Приведите доказательства. В противном случае Ваше мнение нельзя признать обоснованным.

Основываюсь на собственном опыте.

То есть Вы предлагаете руководствоваться Вашим опытом, а не результатми тестовых исследований известных лабораторий? :). Знаете EYE я тоже имею некоторый опыт работы с NOD 32 и скажу Вам откровенно, что я не могу похвастаться положительными впечатлениями работы с этим антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Прошу прощения за оффтоп, просто интересно

EYE вы случайно не один из тех людей которы считает что ЛК не только антивирус производит, но и вирусы?

Это так просто интересно стало!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

У пинча в описании возможностей естьт даже спец пункт Ж)

2.97 "Обновлена функция обхода Kaspersky Internet Security 6.0 (намного четче работает, юзеру не заметно)"

Дабы EYE не расслоблялтся

2.96 "4)Пинч скрыт от NOD32"

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ну что я могу сказать - русский офис есета весьма грамотно применяет вирусный маркетинг. рекомендую еще чуть-чуть поработать с технической подкованностью и психологической устройчивостью исполнителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

да и пассаж про отсутствие у Касперского эвристиков меня повеселил

есть и эвристик и согласно тестам получше чем у симантека с трендом например

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
У пинча в описании возможностей естьт даже спец пункт Ж)

2.97 "Обновлена функция обхода Kaspersky Internet Security 6.0 (намного четче работает, юзеру не заметно)"

Дабы EYE не расслоблялтся

2.96 "4)Пинч скрыт от NOD32"

Угу, только тем не менее NOD32 определенный процент новых Pinch

ловит-при помощи эвристики, естественно, а вот каспер,

в большинстве случаев, новый Pinch ничем не ловит -

ни эвристикой которая у него есть ( :lol: ), ни "проактивкой",

обеспечивающей 99% ( :lol: ) детекта.

да и пассаж про отсутствие у Касперского эвристиков меня повеселил

есть и эвристик и согласно тестам получше чем у симантека с трендом например

Само собой, главное в это верить, и постоянно повторять - это ведь

единственный способ ощутить наличие эвристика в каспере.

На "ментальном" уровне его ощущаете, наверное ?

А что бы не слишком "веселил пассаж", можете заглянуть, например,

сюда: http://virusinfo.info/showthread.php?t=5802

Здесь можно посмотреть на результаты проверки антивирусов,

на новых зверях, "пойманных исключительно руками".

Можете "повеселится", попытавшись отыскать "эвристику" Каспера.

Для удобства, прикладываю скриншот:

V.png

post-1073-1159226044.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Угу, только тем не менее NOD32 определенный процент новых Pinch

ловит-при помощи эвристики, естественно, а вот каспер,

в большинстве случаев, новый Pinch ничем не ловит -

ни эвристикой которая у него есть ( ), ни "проактивкой",

обеспечивающей 99% ( ) детекта.

ага при том если учесть что 80-90% времени создатели пинча тратят на обход касперского, и 10-20 на всё остальное :lol:

Само собой, главное в это верить, и постоянно повторять - это ведь

единственный способ ощутить наличие эвристика в каспере.

На "ментальном" уровне его ощущаете, наверное ?

А что бы не слишком "веселил пассаж", можете заглянуть, например,

сюда: http://virusinfo.info/showthread.php?t=5802

Здесь можно посмотреть на результаты проверки антивирусов,

на новых зверях, "пойманных исключительно руками".

Можете "повеселится", попытавшись отыскать "эвристику" Каспера.

Для удобства, прикладываю скриншот:

Ага особенно весело, то что в версии 4.5 который находиться на virustotal нету эвристики вообще, вот это ещё веселее=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
У пинча в описании возможностей естьт даже спец пункт Ж)

2.97 "Обновлена функция обхода Kaspersky Internet Security 6.0 (намного четче работает' date=' юзеру не заметно)"

Дабы EYE не расслоблялтся

2.96 "4)Пинч скрыт от NOD32" [/quote']

Угу, только тем не менее NOD32 определенный процент новых Pinch

ловит-при помощи эвристики, естественно, а вот каспер,

в большинстве случаев, новый Pinch ничем не ловит -

ни эвристикой которая у него есть ( :lol: ), ни "проактивкой",

обеспечивающей 99% ( :lol: ) детекта.

да и пассаж про отсутствие у Касперского эвристиков меня повеселил

есть и эвристик и согласно тестам получше чем у симантека с трендом например

Само собой' date=' главное в это верить, и постоянно повторять - это ведь

единственный способ ощутить наличие эвристика в каспере.

На "ментальном" уровне его ощущаете, наверное ?

А что бы не слишком "веселил пассаж", можете заглянуть, например,

сюда: http://virusinfo.info/showthread.php?t=5802

Здесь можно посмотреть на результаты проверки антивирусов,

на новых зверях, "пойманных исключительно руками".

Можете "повеселится", попытавшись отыскать "эвристику" Каспера.

Для удобства, прикладываю скриншот:[/quote']

Я тебя умоляю.. честно.. вчера только экземпляр запускал навиртуалке.. никто не ловил а проактивка моргала окошками (попровят)

Нод ловит как Probably variant of и еше ниразу не давал точного вердикта. Тоесть это пробабли - сигнатура на базе эвристика

И еше - если результата эвристика нету в графике это не значит что его нет Ж) Отлично орен на файловые вири как Type_32 другое дело что их сейчасмало..

Добавлено спустя 7 минут 25 секунд:

Ага особенно весело' date=' то что в версии 4.5 который находиться на virustotal нету эвристики вообще, вот это ещё веселее=))[/quote']

ээ тоже сказанул Ж) Эвристик есть во всех продуктах который использует 1 базы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winsent

EYE уже как месяца нод не видит новые версии Пинча своей эврестикой в упор.

Вирусописатели взялись всерьез за нод ;)

На том же virusinfo смотри последние результаты)

PS: Что бы вы себя не утруждали:

http://virusinfo.info/showpost.php?p=78748&postcount=106

http://virusinfo.info/showpost.php?p=78749&postcount=107

http://virusinfo.info/showpost.php?p=78761&postcount=109

http://virusinfo.info/showpost.php?p=79281&postcount=122

http://virusinfo.info/showpost.php?p=79369&postcount=123

http://virusinfo.info/showpost.php?p=79390&postcount=124

http://virusinfo.info/showpost.php?p=79739&postcount=133

http://virusinfo.info/showpost.php?p=80075&postcount=140

Хватит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ээ тоже сказанул Ж) Эвристик есть во всех продуктах который использует 1 базы

Да странно думал там нету, простите моё незнание тогда!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я тебя умоляю.. честно.. вчера только экземпляр запускал навиртуалке.. никто не ловил а проактивка моргала окошками (попровят)

а еще мы их ловим тем о чем говорить пока нельзя. но хорошо как ловим :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Ага особенно весело, то что в версии 4.5 который находиться на virustotal нету эвристики вообще, вот это ещё веселее=))

Ego1st, в версии 4.5, насколько я знаю, тот же

"эвристик 1-го поколения" ( "о котором так много говорили большевики" ),

что и в пооследующих версиях. Так что в этом случае, данные

с virustotal, можно считать корректными.

Я тебя умоляю.. честно.. вчера только экземпляр запускал навиртуалке.. никто не ловил а проактивка моргала окошками (попровят)

Нод ловит как Probably variant of и еше ниразу не давал точного вердикта. Тоесть это пробабли - сигнатура на базе эвристика

Да-уж, договорились, называется...

Теперь уж NOD32 виноват и тем, что отлавливая новый,неизвестный зловред, выдает сообщение о "Probably variant of ".

А этого недостаточно ? :lol:

Что еще нужно, что бы НОД, как уже один раз спрашивали, "сплясал" ?

EYE уже как месяца нод не видит новые версии Пинча своей эврестикой в упор.

Вирусописатели взялись всерьез за нод Wink

На том же virusinfo смотри последние результаты)

PS: Что бы вы себя не утруждали:

http://virusinfo.info/showpost.php?p=78748&postcount=106

http://virusinfo.info/showpost.php?p=78749&postcount=107

http://virusinfo.info/showpost.php?p=78761&postcount=109

http://virusinfo.info/showpost.php?p=79281&postcount=122

http://virusinfo.info/showpost.php?p=79369&postcount=123

http://virusinfo.info/showpost.php?p=79390&postcount=124

http://virusinfo.info/showpost.php?p=79739&postcount=133

http://virusinfo.info/showpost.php?p=80075&postcount=140

23 дня, если быть точным, прошло с вот этого момента:

http://virusinfo.info/showpost.php?p=78633&postcount=104

Так что может быть продолжим следить за этой темой, а не будем

делять однобоких, преждевременных выводов ? :wink:

а еще мы их ловим тем о чем говорить пока нельзя. но хорошо как ловим

Языком, угадал ? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я тебя умоляю.. честно.. вчера только экземпляр запускал навиртуалке.. никто не ловил а проактивка моргала окошками (попровят)

а еще мы их ловим тем о чем говорить пока нельзя. но хорошо как ловим :)

Мне в ПМ можно, я в курсе про процесс создания "этого" ;)

Только там у вас сейчас своих заморочек полно сам в курсе наверное Ж)

И еще могу сказать что "это" будут обходить также просто как и сейчас 3 продукта которые уже имеют "это" ;)

Добавлено спустя 2 минуты 9 секунд:

>Теперь уж NOD32 виноват и тем, что отлавливая новый,неизвестный зловред, выдает сообщение о "Probably variant of ".

В том то и дело что не отлавливает.

Покажи мне срабатыванеи нода как "trojan.Pinch.A / B / C" Везде видно маркетинг - приписка к названию вируса Probably variant Pinch.A / B / C тоесть вместо писанины сигнатур пишется запись эвристика которая всеравно ловит только 1 экземпляр но не по сигнатуре а по поведению. Ранзинцы 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Теперь уж NOD32 виноват и тем, что отлавливая новый,неизвестный зловред, выдает сообщение о "Probably variant of ".

А этого недостаточно ? :lol:

Что еще нужно, что бы НОД, как уже один раз спрашивали, "сплясал" ?

как показано в приведенных ссылках - больше он уже ничего не выдает. пора начинать плясать. вот только я думаю что авторы нода ничего уже не сделают с этим

Добавлено спустя 4 минуты 6 секунд:

И еще могу сказать что "это" будут обходить также просто как и сейчас 3 продукта которые уже имеют "это" ;)

видишь ли, Саня ...

как известно, на каждую хитрую ж всегда найдется известно что.

а в этой войне не две стороны, а три. и про третью как-то обычно забывают, хотя она совсем не спит и работает даже очень хорошо когда надо.

подождем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Теперь уж NOD32 виноват и тем, что отлавливая новый,неизвестный зловред, выдает сообщение о "Probably variant of ".

А этого недостаточно ? :lol:

Что еще нужно, что бы НОД, как уже один раз спрашивали, "сплясал" ?

как показано в приведенных ссылках - больше он уже ничего не выдает. пора начинать плясать. вот только я думаю что авторы нода ничего уже не сделают с этим

Добавлено спустя 4 минуты 6 секунд:

И еще могу сказать что "это" будут обходить также просто как и сейчас 3 продукта которые уже имеют "это" ;)

видишь ли, Саня ...

как известно, на каждую хитрую ж всегда найдется известно что.

а в этой войне не две стороны, а три. и про третью как-то обычно забывают, хотя она совсем не спит и работает даже очень хорошо когда надо.

подождем.

Естесно подождем т.к деватся некуда и я только рад буду.. (активно помогаю советами тем кто это пишет)

Но 100% всеравно небудет :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Угу, только тем не менее NOD32 определенный процент новых Pinch

ловит-при помощи эвристики,

Уже не ловит. Я писал выше, что против целевых атак не поможет никакая эвристика и проактивка (в данном случае - поведенческий анализ).

естественно, а вот каспер,

в большинстве случаев, новый Pinch ничем не ловит -

ни эвристикой которая у него есть ( :lol: ), ни "проактивкой",

обеспечивающей 99% ( :lol: ) детекта.

KAV/KIS намного быстрее реагирует на появление новых сэмплов этого троянца. Поэтому у пользователей KAV/KIS вероятность "заразиться" pinchem существенно ниже, чем у пользователей NOD32.

Само собой, главное в это верить, и постоянно повторять - это ведь

единственный способ ощутить наличие эвристика в каспере.На "ментальном" уровне его ощущаете, наверное ?

А что бы не слишком "веселил пассаж", можете заглянуть, например,

сюда: http://virusinfo.info/showthread.php?t=5802

Здесь можно посмотреть на результаты проверки антивирусов,

на новых зверях, "пойманных исключительно руками".

Можете "повеселится", попытавшись отыскать "эвристику" Каспера.

Для удобства, прикладываю скриншот:

Вот Вам пример работы эристика (результаты с virusinfo.info) http://virusinfo.info/attachment.php?attac...mp;d=1149972438

......

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Все сижу и думаю - надо бы напрячься немного, да выдать безопасную прогу-шутку... на которую бы НОД орал с утра и до пока в базы не добавят.... а шестерка ЛК дабы поймала PDM'ом с пол-пинка... и все споры кончатся...

Потому как ВСЕГДА можно написать нечто, что не ловится ни проактивкой, ни эвристиком, ни обоими сразу какого-то КОНКРЕТНОГО продукта. Но всегда ловится чем-то другим.

Да вот проблема одна - боюсь, что не кончатся эти споры, а только начнутся с новой силой :(

P.S.

Ребята, тема вообще-то называется - "тормоза в различных антивирусах" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Все сижу и думаю - надо бы напрячься немного, да выдать

> безопасную прогу-шутку... на которую бы НОД орал с утра и до

> пока в базы не добавят....

Нужно всего лишь подогнать три строчки в теле программы под известные контрольные суммы. Алгоритмы подгона известны и очень быстрые. Ну и замусорить само тело чтобы False Alarm рекорду нельзя было быстро сделать. Будет как миленький орать "Probable variant of ..."

P.S. Ребята, тема вообще-то называется - "тормоза в различных антивирусах" $-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×