Николай Терещенко

Смерть классического антивируса

В этой теме 107 сообщений

Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.
Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Очень интересно, получается, что ваша точка зрения более реальзуема на практике, что делает ее заведомо выигрышной.

Моя же, изложеная выше - скорее идеальная модель, но все же для варианта, скажем шлюза, лучше ловить все, придется ставить массивы серверов, можные процессоры и т.д.

Я имел ввиду, что методологической основой рационального подхода, в большинстве случаев, является компетентность. Верно и обратное: если подход, используемый в решении той или иной задачи рационален, то можно предположить, с большой степенью вероятности, что его автор и исполнитель компетентны (грамотны).

В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

Эта точка зрения не "более реализуема на практике", она, на мой взгляд, более рациональна. Я считаю, что Ваш подход, легче реализовать, поскольку вендор, при таком подходе, вряд ли столкнется с теми трудностями, с которыми он мог бы столкнуться при разработке дифферинцированной защиты (в зависимости от ОС, сервис паков, патчей и т.п.). Ваш подход проще, а дифферинцированный подход, как раз, более близок к рациональному идеалу.

Для шлюзов, серверов и т.п., возможно Вы правы, - ваша модель может быть более приемлима. Эта проблема требует отдельного обсуждения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

С точки зрения конечно пользователя, все верно, компьютер защищен, излишки ресурсов не используется, значит все в порядке, а с другой стороны пусть каждый сам забоиться о своей безопасности, немного эгоистично, но по сути верно. Т.е. для конечного пользователя Ваш подход рациональнее и лучше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

В байтах.

basesize.PNG

post-42-1142585964.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

Респект :pray:

Очень интересно, было бы круто собрать данные, как сейчас дела обстоят с базами у этих вот товарищей.

У кого какая инфа есть, выкладывайте :-)

Чего у Symantec такие базы огромные?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У тренда не намного меньше

Они там не только информацию о вирусах хранят - отсюда и размер

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Stout, информация сама по себе интересна. Жаль, что нет сведений об Eset. :(

Согласен с Сергеем. Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

Размер баз несложно замерить самому, если у кого стоит тот или иной антивирус - поделитесь плиз информацией, если есть такая возможность :thanks:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да уж, у меня BitDefender с базой 344204 на 21.03.06

Видимо пора разделять на критические и НЕ критические, ЕСТЬ вирус и все работает либо НЕТ вируса и ничего не работает )

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
344204 Kb или чего?

Bit Defender. - Virus Signatures. Папка Plugins 6.06 MB. и текст такой в корне:

Update time: Tue Mar 21 11:43:57 2006

Signature number: 344204

Update time GMT: 1142927037

Version: 7.06061

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

эта тема мне кажется надумана - смерти не будет - будет эволюци и реинкарнация(но не после смерти) - яркий пример оружие - да конницы не стало, да появились танки, теперь говорят, что вертолеты - это души погибших танков - т.е. все смещается к вертолетам. Концепции меняются, но задача решается в любом раскладе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

У касперскийх всю жисть AVC были. PPL, это слегка модифицированные DLL файлы. Размер AVC сейчас 7,3 мега

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

ppl - не базы.. а плагины, расшифровывается наверное Prague Plugin L?? (loader? level? ...?)

базы - *.avc около 5 мб вроде

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
базы - *.avc около 5 мб вроде

Да, я в данном случае не то померил, каюсь :oops:

Спасибо, что поправили.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Здесь проблема в другом. Как антивирус поймёт, что данный файл -вирус, если его (вируса) сигнатура на др. компьютре или в другом месте. И про сетевое подключение надо забыть, вирус может успеть натворить много бед, пока ACK,SYN и тп. пройдут

Добавлено спустя 15 минут 42 секунды:

а про время (суточное) выхода баз - вообще отдельная история, относящая нас в географию :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно)

Да?

А вот на Физтехе недавно Юрий Булыгин защитился как раз по этому направлению - это был аналитик из Касперского - так механизмы все они из медицины берут и я думаю что не они одни.

Добавлено спустя 3 минуты 19 секунд:

Предлагайте тогда свой математический аппарат будем рады рассмотреть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как известно,апдейты ОС закрывают дыры,которыми до этого (да и после,кто не апдейтывается) пользовались многие вирусы и их разновидности.Интересно,если было бы возможно те сигнатуры в базах для ускорения отключать,без которых вирусы и так не пройдут на по последнему уровню апдейтованную систему,то насколько бы в процентном отношении уменьшились размер сигнатур?И повлияло бы это на то,как realtime-защита систему загружает или нет?Ускорился бы заметно скан по требованию?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS