Николай Терещенко

Смерть классического антивируса

В этой теме 107 сообщений

А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Это не утверждение, это просто предположение...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Нет, удаление не происходит, я думаю. Часто на целык классы вирусов выпускаются общие сигнатуры детектировани, у Касперского это записи с окорчанием .gen (generic). Этим достигается определенная оптимизация базы.

Но все равно проблема экпоненциального роста размера БД есть, от нее некуда не деться. Более того, я давно считаю, что скоро записей вбазе будет так много, в любом случае большая часть ресурсов компа бужет уходить на нативирусную проверку или таковая вообще потеряет смысл, очень большие будут затраты по времени и ресурсам.

Добавлено спустя 4 минуты 58 секунд:

Т.е. в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже :)

прийдут Машины.. Что интересно в терминаторе :) ни у кого не возникла идея перепрограммировать робота (кроме как у робота)

Мне кажется с позиций современных технологий в будущее смотреть некорректно.. мало ли чё там в будущем будет...

М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

вот это действительно очень интересно.. обнаружит ли современный антивирус ВИРУС 95 года под DOS (win95)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже

Не надо путать, это не фантазии. Темпы роста вредоносных программ составляют стабильно 100% в год, не смотря на то, что их количество давно перевалило за 100 тыс. Простая геометрическая прогрессия с коэффициентом 2. Не сложно прикинуть, что уже через 2 года вредоносов будет больше миллиона.

Как думаете, многие компы потянут работу с такими базами?

Можно конечно, говорить, что производительность процессоров растет, новые там технологии и все такое, но все равно мы имеет дело с экпоненциальной зависимостью.

Добавлено спустя 1 минуту 7 секунд:

вот это действительно очень интересно.. обнаружит ли современный антивирус ВИРУС 95 года под DOS (win95)

Нормальный антивирус возьмет, никто ничего из баз не выбрасывает, возьмите тесты virus.gr или av-comparatives.org

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

Вы смотрите с позиции "если ничего нового не придумают" или взять компьютер и переселиться в будущее на 2 года.. В этом случае действительно...будет ужас.

Но, вы посмотрите что происходит:

Мир движется к миниатюризации, сколько вирусов для смартфонов выходит в неделю?

Можно конечно, говорить, что производительность процессоров растет, новые там технологии и все такое, но все равно мы имеет дело с экпоненциальной зависимостью.

конечно.. но факт остаётся фактом всё развивается..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

Конечно я допуска оптимизацию и т.п., но все же стоит проверить возможность детектирования старых вирусов различными производителями... М.б. действительно вырезают. ;-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Николай Терещенко

согласен.

Добавлено спустя 2 минуты 59 секунд:

Николай Терещенко

с другой стороны зачем держать в базе вирусы под win3.11 или под оff 7.x

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
с другой стороны зачем держать в базе вирусы под win3.11 или под оff 7.x

Это уже другая тема, если вирус для конктеной системы не опасен, это не значит, что его не надо удалять. Для МАКа вон всего два вируса сейчас, но антвирис для него детектит все вирусы и для Windows, и для Linux. Это правильно. Компьютер не должен быть рассадником заразы для других.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это уже другая тема, если вирус для конктеной системы не опасен, это не значит, что его не надо удалять. Для МАКа вон всего два вируса сейчас, но антвирис для него детектит все вирусы и для Windows, и для Linux. Это правильно. Компьютер не должен быть рассадником заразы для других.

беcспорно

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не забываем, что в сервис паке входят обновления, латающие дыры, для проникновения вируса.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю, что опасения по поводу "смерти классического антивируса" преувеличены.

Как правильно заметил Сергей Ильин, многие антивирусы используют антивирусных базы, в которых одной записью детектируется несколько вредоносных объектов (в некотороых случаях - десятки и даже сотни). К их числу, например, относятся NOD 32 и Dr. Web.

В антивирусной базе NOD 32, к примеру, на 1 марта 2006 года насчитывалось 6841 запись (для сравнения стандартные антивирусные базы Kaspersky Anti-Virus, на сегодняшний день, включает в себя 168613 записей (14:36 по московскому времени). Следовательно, для Eset проблема, которая здесь обсуждается, не будет актуальной еще очень долгое время.

Dr. Web уже давно использует аналогичную технологию. С выходом версии 4.33 она была усовершенствована. Цитата с официального сайта вендора "Предыдущая версия Dr.Web 4.32 определяет сейчас то же количество вирусов, что и версия 4.33, но использует для этого несколько большее число записей вирусной базы. Вирусная база версии 4.33 была максимально оптимизирована по числу записей."(информация по состоянию на 27 сентября 2005 года)

http://info.drweb.com/show/2674.

Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

P.S. Отмечу, что указанный вариант развития антивирусных технологий не является единственно возможным.

Нельзя исключать и других вариантов решения проблемы - например, использование приниципиально новых технологий борьбы с вирусами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

Наверное базы расшренные, вот и больше записей.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

Возможно, broker, у Вас используются раширенные базы. В моем посте речь шла о стандартном варианте антивирусных баз :).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

Согласен, это работа постоянно будет вестись, но базы все равно будут пухнуть на глазах, все таки 100% рост, это сильно.

Конечно. все может поменяться, например, с появлением каких-то новых проактивных технологий или более защищенной ОС (какой вал заразы принесет Vista пока не ясно), внедрением аппратной защиты и т.д. Одно очевидно, подходы необходимо менять.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин писал(а):

в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже

DRM (Digital Rights Management - распоряжаться продуктом по правилам создателя) придёт.Что не имеющий лицензии не сможет кому-то что-то легко продать - это вероятно,так как DRM и лицензирование делают писать вирус и оставаться нераскрытым труднее.На примере тех же драйверов:на без лицензии человек подумает,стоит ли на свой риск по полной неизвестности щёлкать,или нет.Но на всё есть кряк - всё станет ещё одним кругом дороже.Опять же,все понимают,что вирусописатель считает себя не глупым,чтобы за бесплатно кому-то вируса написать,с которым третий себе деньги,или влияние сделает.Или если один побольше зомби-сеть сделает и продаст,все скажут:"Вот какой умный - так им и надо,жаль,что я не могу,а то бы трямснул всем".А почему то что те,кто против этого программу напишут,которую кто то посчитает нужной и возьмёт,что им в нашем мире не за деньги никто ничего не даст,это никто не понимает.Но это и до вирусов также было.Любой,кто отбирал и объегоривал нас или незнакомого,получал от нас больше чести,чем тот,кто пытался,что бы и у нас было больше и третий был бы не обворован.Так что будем всё равно и дальше так же делать и условия создавать,что кому-то другого рода занятий и не найти за награду,кроме как вырвать.От этих наших дел,или их следствий,будем хотеть защититься,в том числе и в интернете,а будет эта программа "антивирус" называться или имеющий право на свою программу её по другому назовёт - это дело десятое.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Inkogn

Глубокая мысль.

Как сказал философ

"Войны нельзя избежать, войну можно только отсрочить, всякая отсрочка на руку врагу"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

Согласен, это работа постоянно будет вестись, но базы все равно будут пухнуть на глазах, все таки 100% рост, это сильно.

Конечно. все может поменяться, например, с появлением каких-то новых проактивных технологий или более защищенной ОС (какой вал заразы принесет Vista пока не ясно), внедрением аппратной защиты и т.д. Одно очевидно, подходы необходимо менять.

Возможно Вы правы. Не исключено, что оптимизация будет неадекватна росту численности вредоносных объектов. Однако не исключено и обратное. Трудно судить о том, как будут развиваться события. По крайней мере, я лично, не готов предположить насколько эффективна будет оптимизация.

Согласен, что одним из вариантов решения проблемы может быть сочетание различных методов: оптимизация антивирусных баз, совершенствование эвристического и поведенческого анализа, аппаратные методы, разработка новых операционных систем (сервис паков), выпуск патчей и т.д.

Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

В качестве примера, можно привести, Kaspersky Lab, которая давно использует два вида баз, правда это делается для решения совсем других задач. Но этот метод, может применяться и для решения обсуждаемой проблемы. Кстати, многие вендоры в своем арсенале имеют антивирусы предназначенные для защиты различных ОС...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

Думаю это не годится. Пользователь антивируса не должен задумываться какой у него сервис пак или какие заплатки установлены у ОС. Конечно он должен заботиться о актуальности ОС, но причем тут антивирус? Это тоже самое, что не детектить на винде вирусы от линукс, как я писал выше, считаю, что детектиться должно все и везде, иначе у нас будут скрытые рассадники инфекции.

Безопасность в этом смысле - это общее дело, а тут получается что мне этот вирус не опасен, а на соседа наплевать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

Думаю это не годится. Пользователь антивируса не должен задумываться какой у него сервис пак или какие заплатки установлены у ОС. Конечно он должен заботиться о актуальности ОС, но причем тут антивирус? Это тоже самое, что не детектить на винде вирусы от линукс, как я писал выше, считаю, что детектиться должно все и везде, иначе у нас будут скрытые рассадники инфекции.

Безопасность в этом смысле - это общее дело, а тут получается что мне этот вирус не опасен, а на соседа наплевать.

В принципе Вы правы. Квалификацию пользователя тоже необходимо учитывать. А квалификация большинства пользователей оставляет желать лучшего.

По сути дела здесь возникает диллема. Возможность "разгрузить" антивирусные базы, компенсируя "потери" возможностями новых ОС (сервис паков) и создать проблемы для многих пользователей, либо оставить все как есть, воспользовавшись иными методами решения проблемы. Какой из вариантов решения проблемы более предпочтителен? Скорее всего вы правы - второй. Но не исключено, что идея, предложенная мною в будущем окажеться жизнеспособной. Время покажет.

Хотелось бы также обратить внимение на еще один фактор, который может повлиять на развитие ситуации с "переполнением" антивирусных баз. Я имею ввиду постоянное совершенстование персональных компьютеров. Их производительность постоянно увеличивается, возрастает тактовая частота процессоров, увеличивается объем оперативной памяти и т.д. Одно из главных негативных последствий перегруженности антивирусных баз - снижение производительности антивируса. Совершенствоание ПК - один из способов решения указанной проблемы. Этот процесс носит перманентный и закономерный характер. И самое главное - он не требует усилий со стороны антивирусных компаний.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Какая ещё 5.0.5XX,если со дня на день ожидается выход шестой версии?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Какая ещё 5.0.5XX,если со дня на день ожидается выход шестой версии?

http://www.kaspersky.ru/faq?qid=178529658

По всей видимости бета стала релизом

http://forum.kaspersky.com/index.php?showtopic=10416

P.S. Помимо создания принципиально новых антивирусных продуктов ЛК продолжает модернизацию старых версий.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Нет не удаляются, так как всегда есть честь клиентов, для которых старые вирусы актуальны. С другой стороны, очевидно, что экстенсивный подход --- тупиковый. В последнем сканирующие модуле Trend Micro упомянуто, что он подерживает уменьшенные базы, но делати технолоиги не известны.

Мне видется выход в разлении базы сигнутур на части. В каждой среде, антивирус при старте должен определять, какие части базы актуальны для данной системы и загружать только их.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мммм....я вот думу думал=) сразу говорю, буду писать долго, и, возможно, смутно. основные направления АВ-программ - либо клиент, либо сервер-клиент. а если попробовать отказаться от уже наработанной технологии, и попробовать пойти по доугому пути.

в инете гуляла хохма, как русские программисты моделировали какую то среду(в итоге русские коровы-травоядные забарывали хищников, и вели нормальное существование в смоделированной реальности).

в чем мысль - попробовать создать распределенную структуру. АВ базы хранятся по кускам у каждого участника структуры. все участники равноправны, или почти равноправны(можно поставить зависимость от мощности ПК конкретного участника - комп мощнее - твой кусок баз больше). при выявлении среди участников структуры зомби-машины(бота, поражение вирусом) - остальные машины - 1) перераспределяют базы на себя, 2) при необходимости докачивается кусок баз до их целостности(заблокировал вирус базы у кого то),3) остальные члены структуры сами атакуют зомби, в итоге - зомби -машина сама отослать ничего не может, потому что уже перегружена потоком информации. затем - пораженная машина получает целостную базу, отключается от сети, лечиться, включается обратно, идет перераспределение баз заного. ну вот, что то типа такого муравейника, только без королевы=)

З.Ы. ногами не пинайте только=)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

FLY

Т.е. насколько я понял, речь идет о некоторой системе распределенных вычислений, которая к тому же должна быть самообучаема и автоматически адаптироваться изменениям внешней среды

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее