Mag3d

Антивирус Stocona?

В этой теме 34 сообщений

> Нафига его вобще эмулировать? Запустил в виртуальной среде..

> посмотрел что процесс делает и зделал вывод.

А виртуальная среда - это не эмулятор разве :)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А я слышал, что у них интересные технологии (новые)

по обнаружению интерпретируемых вирусов (Word, ...).

Я согласен, с _Stout рассматривать отдельно защиту от макровирусов сейчас не имеет смысла, да и по сути угроза от этого класса вредоносов сейчас мала, их время по сути уже прошло.

Может быть есть в этом антивирусе что-то другое заслуживающее внимание?

Поддерживаю...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А виртуальная среда - это не эмулятор разве :)

Среда эмулирована Ж) а код не эмулируется Ж)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

База чистых файлов - файлы которые точно не вирусы а легальный софт (так олег устранаяет фалсы на подозрения на кейлогерр)

Сткоки в коде еще проще - путь в реестре до ключа Ран, строки для работы с СМТП сервером (протокол), Строки протокола ИРЦ (боты..)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы пишите:

1. AVP Office Guard появился в 2000 году. Делал тоже, что и стокона, но несколько раньше.

Так то оно так, но механизм у стоконы поинтересней и по-эффективней (возможно), мне и интересно насколько это так.

Насколько я знаю: у касперского поведенческий блокиратор, а у стоконы механизм обнаружения с предвыполнением.

А аналитические данные были относительно известных вирусов.

Мне же интересены данные относительно обнаружения новых, модифицированных, упакованных, полиморфных вирусов.

У стаконы БД не содержатся сигнатур (в чистом понимании).

Если будет время протестируйте, плиз.

Кроме у стоконы в стандартной комплектации идут и поведенческие модели: файловый монитор, реестра и еще чего-то.

Сразу говорю, этот продукт далеко не лучший тем не менее интересно насколько эффективны их оригинальные алгоритмы

AVP Office Guard не содержит никаких сигнатур. И за 6 лет он (алгоритимически) не менялся. За это время ни один макро вирус не обошел защищу AVPOG. Хотя, по словам разработчиков, теоретически, существует вариант обхода.

Вариант с предвыполнение кода (если там действительно так, хотя раньше они говорили именно про поведенческий блокиратор во время исполнения) мне кажется спорным, хотя и не спорю интересным. Но как я уже сказал -- это не актуально.

Реестр, и прочее это уже интереснее. Но дело в том, что пользователи (те, кто покупает, а не те, кто обсуждает продукты в форумах) хотят иметь интегрированную защиту, а не набор из 10-ти разных продуктов. Поэтому коммерческие перспективы такого продукта я не вижу. Да, технология интересна, но денег это может принести только если эту технологию продать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я понял Mag3d'a,он хотел бы получить оценку продукта по имеющимся пунктам,а не по неимеющимся.И только технологии,а не шансов продать.Другими словами,если этот продукт защищает не по 10-и,а по 5-и пунктам,то нужна и оценка 5-и имеющихся и может быть даже теоретическая оценка преимущественности технологии.Если это не наша область,то другое его не интересует,я думаю.А там остаётся только лучшего пожелать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Inkogn

Данный продукт интересен для рассмотрения.. И не только в качестве тестирования. А вот непосредственно провести тестирование данного продукта сложно, так как он узкоспециализирован. Современные макровирусы надо ещё поискать, особенно редкие и никому неизвестные.. :)

А вот обнаружит ли он самописный вредоносный макрос :) вопрос открытый

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Среда эмулирована Ж) а код не эмулируется Ж)

Насколько я понимаю:

1) среда во всех эвристических антивирусах в любом случае эмулируется, а вот код эмулируется только для раскручивания полиморфного кода, не так ли?

2) база чистых файлов и строки в файле ни какого отношения к нейросети не имеет (я могу заблуждаться, т.к. ни когда более менее нормальных реализаций нейросетей в антивирусах не видел). - А лишь уточняет результаты работы нейросети.

3) Учет семантики в данной реализации нейросети НЕТ (или все таки есть)?

Но учесть семантику без дезассемблирования невозможно,

покрайне мере чтобы вероятность правильной интерпретации данных смысла данных/кода была большой (при большом желании можно, типа по импорту, и т.п.).

4) Какую модель нейросети вы выбрали? Возможно ли самообучение?

5) А вот все же, если можно то, по-подробнее об 150 признаках входного слоя нейросети ...

6) А сколько слоев на выходе?

У меня есть идеи как учесть семантику при построении нейросети, в этом случае (по-идеи) качество системы должно улучшиться.

Добавлено спустя 17 минут 18 секунд:

Inkogn правильно говорит мне не интересно: можно что-то продать или нет, мне интересно знать насколько эффективен тот или иной механизм обнаружения вирусов и программных закладок, особенно в части "интеллектуальных". А по продажам: на то есть соответствующие органы, отделы и т.д. :)

А по поводу Олега Зайцева: прочитал док-цию с сайта, он обнаруживает только программные закладки (с ними немного легче, хотя если ПЗ разрабатывалась на этапе проектирования ПО, то ни какая нейросеть не поможет).

А как с вирусами то быть? Какие можно придумать признаки для оценки вредоносности, чтобы их можно было измерить и подать на вход нейросети?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS