Перейти к содержанию
Николай Терещенко

Смерть классического антивируса

Recommended Posts

Николай Терещенко

А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Это не утверждение, это просто предположение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Нет, удаление не происходит, я думаю. Часто на целык классы вирусов выпускаются общие сигнатуры детектировани, у Касперского это записи с окорчанием .gen (generic). Этим достигается определенная оптимизация базы.

Но все равно проблема экпоненциального роста размера БД есть, от нее некуда не деться. Более того, я давно считаю, что скоро записей вбазе будет так много, в любом случае большая часть ресурсов компа бужет уходить на нативирусную проверку или таковая вообще потеряет смысл, очень большие будут затраты по времени и ресурсам.

Добавлено спустя 4 минуты 58 секунд:

Т.е. в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже :)

прийдут Машины.. Что интересно в терминаторе :) ни у кого не возникла идея перепрограммировать робота (кроме как у робота)

Мне кажется с позиций современных технологий в будущее смотреть некорректно.. мало ли чё там в будущем будет...

М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

вот это действительно очень интересно.. обнаружит ли современный антивирус ВИРУС 95 года под DOS (win95)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже

Не надо путать, это не фантазии. Темпы роста вредоносных программ составляют стабильно 100% в год, не смотря на то, что их количество давно перевалило за 100 тыс. Простая геометрическая прогрессия с коэффициентом 2. Не сложно прикинуть, что уже через 2 года вредоносов будет больше миллиона.

Как думаете, многие компы потянут работу с такими базами?

Можно конечно, говорить, что производительность процессоров растет, новые там технологии и все такое, но все равно мы имеет дело с экпоненциальной зависимостью.

Добавлено спустя 1 минуту 7 секунд:

вот это действительно очень интересно.. обнаружит ли современный антивирус ВИРУС 95 года под DOS (win95)

Нормальный антивирус возьмет, никто ничего из баз не выбрасывает, возьмите тесты virus.gr или av-comparatives.org

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

Вы смотрите с позиции "если ничего нового не придумают" или взять компьютер и переселиться в будущее на 2 года.. В этом случае действительно...будет ужас.

Но, вы посмотрите что происходит:

Мир движется к миниатюризации, сколько вирусов для смартфонов выходит в неделю?

Можно конечно, говорить, что производительность процессоров растет, новые там технологии и все такое, но все равно мы имеет дело с экпоненциальной зависимостью.

конечно.. но факт остаётся фактом всё развивается..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Сергей Ильин

Конечно я допуска оптимизацию и т.п., но все же стоит проверить возможность детектирования старых вирусов различными производителями... М.б. действительно вырезают. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Николай Терещенко

согласен.

Добавлено спустя 2 минуты 59 секунд:

Николай Терещенко

с другой стороны зачем держать в базе вирусы под win3.11 или под оff 7.x

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
с другой стороны зачем держать в базе вирусы под win3.11 или под оff 7.x

Это уже другая тема, если вирус для конктеной системы не опасен, это не значит, что его не надо удалять. Для МАКа вон всего два вируса сейчас, но антвирис для него детектит все вирусы и для Windows, и для Linux. Это правильно. Компьютер не должен быть рассадником заразы для других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Это уже другая тема, если вирус для конктеной системы не опасен, это не значит, что его не надо удалять. Для МАКа вон всего два вируса сейчас, но антвирис для него детектит все вирусы и для Windows, и для Linux. Это правильно. Компьютер не должен быть рассадником заразы для других.

беcспорно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

не забываем, что в сервис паке входят обновления, латающие дыры, для проникновения вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Думаю, что опасения по поводу "смерти классического антивируса" преувеличены.

Как правильно заметил Сергей Ильин, многие антивирусы используют антивирусных базы, в которых одной записью детектируется несколько вредоносных объектов (в некотороых случаях - десятки и даже сотни). К их числу, например, относятся NOD 32 и Dr. Web.

В антивирусной базе NOD 32, к примеру, на 1 марта 2006 года насчитывалось 6841 запись (для сравнения стандартные антивирусные базы Kaspersky Anti-Virus, на сегодняшний день, включает в себя 168613 записей (14:36 по московскому времени). Следовательно, для Eset проблема, которая здесь обсуждается, не будет актуальной еще очень долгое время.

Dr. Web уже давно использует аналогичную технологию. С выходом версии 4.33 она была усовершенствована. Цитата с официального сайта вендора "Предыдущая версия Dr.Web 4.32 определяет сейчас то же количество вирусов, что и версия 4.33, но использует для этого несколько большее число записей вирусной базы. Вирусная база версии 4.33 была максимально оптимизирована по числу записей."(информация по состоянию на 27 сентября 2005 года)

http://info.drweb.com/show/2674.

Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

P.S. Отмечу, что указанный вариант развития антивирусных технологий не является единственно возможным.

Нельзя исключать и других вариантов решения проблемы - например, использование приниципиально новых технологий борьбы с вирусами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

Наверное базы расшренные, вот и больше записей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
что интересно но не важно..у меня KAS per. 5.0.391 на 02.03.2006 14:34:14 msk содержит 179634 записи :)

Возможно, broker, у Вас используются раширенные базы. В моем посте речь шла о стандартном варианте антивирусных баз :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

Согласен, это работа постоянно будет вестись, но базы все равно будут пухнуть на глазах, все таки 100% рост, это сильно.

Конечно. все может поменяться, например, с появлением каких-то новых проактивных технологий или более защищенной ОС (какой вал заразы принесет Vista пока не ясно), внедрением аппратной защиты и т.д. Одно очевидно, подходы необходимо менять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Сергей Ильин писал(а):

в любом случае через какое-то время наступит такой момент, когда записей в БД будет слишком много и классический сигнатурный подход перестанет работать (станет неприменимым на практике).

Предположу, что это будет смерть классического антивируса.

намного раньше всех программистов пересчитают, выдадут лицензии и будут следить.. Понятие вирусописатель станет 100% криминальным, исчезнуть учебники по вирусам и, я думаю, ИНТЕРНЕТ тоже

DRM (Digital Rights Management - распоряжаться продуктом по правилам создателя) придёт.Что не имеющий лицензии не сможет кому-то что-то легко продать - это вероятно,так как DRM и лицензирование делают писать вирус и оставаться нераскрытым труднее.На примере тех же драйверов:на без лицензии человек подумает,стоит ли на свой риск по полной неизвестности щёлкать,или нет.Но на всё есть кряк - всё станет ещё одним кругом дороже.Опять же,все понимают,что вирусописатель считает себя не глупым,чтобы за бесплатно кому-то вируса написать,с которым третий себе деньги,или влияние сделает.Или если один побольше зомби-сеть сделает и продаст,все скажут:"Вот какой умный - так им и надо,жаль,что я не могу,а то бы трямснул всем".А почему то что те,кто против этого программу напишут,которую кто то посчитает нужной и возьмёт,что им в нашем мире не за деньги никто ничего не даст,это никто не понимает.Но это и до вирусов также было.Любой,кто отбирал и объегоривал нас или незнакомого,получал от нас больше чести,чем тот,кто пытался,что бы и у нас было больше и третий был бы не обворован.Так что будем всё равно и дальше так же делать и условия создавать,что кому-то другого рода занятий и не найти за награду,кроме как вырвать.От этих наших дел,или их следствий,будем хотеть защититься,в том числе и в интернете,а будет эта программа "антивирус" называться или имеющий право на свою программу её по другому назовёт - это дело десятое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Inkogn

Глубокая мысль.

Как сказал философ

"Войны нельзя избежать, войну можно только отсрочить, всякая отсрочка на руку врагу"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Судя по всему, увеличение численности вредоносных объектов будет постоянно сопровождаться оптимизацией антивирусных баз.

Согласен, это работа постоянно будет вестись, но базы все равно будут пухнуть на глазах, все таки 100% рост, это сильно.

Конечно. все может поменяться, например, с появлением каких-то новых проактивных технологий или более защищенной ОС (какой вал заразы принесет Vista пока не ясно), внедрением аппратной защиты и т.д. Одно очевидно, подходы необходимо менять.

Возможно Вы правы. Не исключено, что оптимизация будет неадекватна росту численности вредоносных объектов. Однако не исключено и обратное. Трудно судить о том, как будут развиваться события. По крайней мере, я лично, не готов предположить насколько эффективна будет оптимизация.

Согласен, что одним из вариантов решения проблемы может быть сочетание различных методов: оптимизация антивирусных баз, совершенствование эвристического и поведенческого анализа, аппаратные методы, разработка новых операционных систем (сервис паков), выпуск патчей и т.д.

Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

В качестве примера, можно привести, Kaspersky Lab, которая давно использует два вида баз, правда это делается для решения совсем других задач. Но этот метод, может применяться и для решения обсуждаемой проблемы. Кстати, многие вендоры в своем арсенале имеют антивирусы предназначенные для защиты различных ОС...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

Думаю это не годится. Пользователь антивируса не должен задумываться какой у него сервис пак или какие заплатки установлены у ОС. Конечно он должен заботиться о актуальности ОС, но причем тут антивирус? Это тоже самое, что не детектить на винде вирусы от линукс, как я писал выше, считаю, что детектиться должно все и везде, иначе у нас будут скрытые рассадники инфекции.

Безопасность в этом смысле - это общее дело, а тут получается что мне этот вирус не опасен, а на соседа наплевать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Развивая мысль ANTISIMIT отмечу, что переход на новые операционные системы (сервис паки) позволяет отказаться от использования большого количества сигнатур. Речь идет о сигнатурах, предназначенных для детектирования вирусов, которые не инфиницируют новые ОС или ОС с новыми сервис паками. Это, возможно при условии, что большая часть пользователей перешло на использование таких ОС (сервис паков). Для тех пользователей, которые не сделали этого, можно оставить прежние базы. Я имею ввиду, возможность использования двух (или более) видов баз в одном антивирусе или использование разных версий антивирусов - для различных ОС. Конечно, это создаст дополнительные проблемы для вендоров, но думаю, что они решаемы.

Думаю это не годится. Пользователь антивируса не должен задумываться какой у него сервис пак или какие заплатки установлены у ОС. Конечно он должен заботиться о актуальности ОС, но причем тут антивирус? Это тоже самое, что не детектить на винде вирусы от линукс, как я писал выше, считаю, что детектиться должно все и везде, иначе у нас будут скрытые рассадники инфекции.

Безопасность в этом смысле - это общее дело, а тут получается что мне этот вирус не опасен, а на соседа наплевать.

В принципе Вы правы. Квалификацию пользователя тоже необходимо учитывать. А квалификация большинства пользователей оставляет желать лучшего.

По сути дела здесь возникает диллема. Возможность "разгрузить" антивирусные базы, компенсируя "потери" возможностями новых ОС (сервис паков) и создать проблемы для многих пользователей, либо оставить все как есть, воспользовавшись иными методами решения проблемы. Какой из вариантов решения проблемы более предпочтителен? Скорее всего вы правы - второй. Но не исключено, что идея, предложенная мною в будущем окажеться жизнеспособной. Время покажет.

Хотелось бы также обратить внимение на еще один фактор, который может повлиять на развитие ситуации с "переполнением" антивирусных баз. Я имею ввиду постоянное совершенстование персональных компьютеров. Их производительность постоянно увеличивается, возрастает тактовая частота процессоров, увеличивается объем оперативной памяти и т.д. Одно из главных негативных последствий перегруженности антивирусных баз - снижение производительности антивируса. Совершенствоание ПК - один из способов решения указанной проблемы. Этот процесс носит перманентный и закономерный характер. И самое главное - он не требует усилий со стороны антивирусных компаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rayoflight
Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Какая ещё 5.0.5XX,если со дня на день ожидается выход шестой версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Полагаю, что подобную оптимизацию в будущем проведут и другие вендоры. Kaspersky Lab, например, насколько мне известно, планирует провести такую оптимизацию в ближайшее время (в версии KAV 5.0.5XX).

Какая ещё 5.0.5XX,если со дня на день ожидается выход шестой версии?

http://www.kaspersky.ru/faq?qid=178529658

По всей видимости бета стала релизом

http://forum.kaspersky.com/index.php?showtopic=10416

P.S. Помимо создания принципиально новых антивирусных продуктов ЛК продолжает модернизацию старых версий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Нет не удаляются, так как всегда есть честь клиентов, для которых старые вирусы актуальны. С другой стороны, очевидно, что экстенсивный подход --- тупиковый. В последнем сканирующие модуле Trend Micro упомянуто, что он подерживает уменьшенные базы, но делати технолоиги не известны.

Мне видется выход в разлении базы сигнутур на части. В каждой среде, антивирус при старте должен определять, какие части базы актуальны для данной системы и загружать только их.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY

мммм....я вот думу думал=) сразу говорю, буду писать долго, и, возможно, смутно. основные направления АВ-программ - либо клиент, либо сервер-клиент. а если попробовать отказаться от уже наработанной технологии, и попробовать пойти по доугому пути.

в инете гуляла хохма, как русские программисты моделировали какую то среду(в итоге русские коровы-травоядные забарывали хищников, и вели нормальное существование в смоделированной реальности).

в чем мысль - попробовать создать распределенную структуру. АВ базы хранятся по кускам у каждого участника структуры. все участники равноправны, или почти равноправны(можно поставить зависимость от мощности ПК конкретного участника - комп мощнее - твой кусок баз больше). при выявлении среди участников структуры зомби-машины(бота, поражение вирусом) - остальные машины - 1) перераспределяют базы на себя, 2) при необходимости докачивается кусок баз до их целостности(заблокировал вирус базы у кого то),3) остальные члены структуры сами атакуют зомби, в итоге - зомби -машина сама отослать ничего не может, потому что уже перегружена потоком информации. затем - пораженная машина получает целостную базу, отключается от сети, лечиться, включается обратно, идет перераспределение баз заного. ну вот, что то типа такого муравейника, только без королевы=)

З.Ы. ногами не пинайте только=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

FLY

Т.е. насколько я понял, речь идет о некоторой системе распределенных вычислений, которая к тому же должна быть самообучаема и автоматически адаптироваться изменениям внешней среды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×