Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

OlegSych

Извините за позднюю реакцию. Мы просто наконец получили файлы на которых проводилось тестирование и посмотрели что к чему. Вообще я думаю, что методика "пропустил хотя бы один файл на упаковщике - упаковщик не засчитан" не совсем верная.

Мотивировать? Ради эксперимента возьмите образцы файлов, зараженных Win32.Polipos и попакуйте их теми же упаковщиками. Все файлы должны сохранить работоспособность (то есть вирусы из упакованных файлов будут запускаться). А теперь проверьте тем же набором антивирусов. Думаю результат будет очень сильно отличаться.

А мораль такова: при детектировании упакованных файлов качество детекта зависит не только от качества встроенного распаковщика, но и от конкретной записи на конкретный вирус, которую делал один из вирусных аналитиков. А посему при разных выборках файлов результаты могут кардинально отличаться.

Конкретно в данном тесте, если бы в тесте отсутствовал один из Троянцев (Trojan-Clicker.Win32.Getfound) - то у UNA была бы засчитана корректная распаковка двух упаковщиков (yoda's Crypter и ExeStealth). Можно предположить, что если добавить ещё сотню файлов для теста, то большинство антивирусов получили бы в тесте 0%.

P.S. Это не ругательство теста, а конструктивная критика для будущих тестирований. В любом случае спасибо авторам за оригинальный и интересный тест!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Олег, да это сейчас обсуждается.

Почитайте дискуссию выше.

А мораль такова: при детектировании упакованных файлов качество детекта зависит не только от качества встроенного распаковщика, но и от конкретной записи на конкретный вирус, которую делал один из вирусных аналитиков.

Хм. Объясните тогда в чем суть поддержки упаковщиков у антивирусов?

И как конкретно вы предлагаете оценивать?

В принципе многие не поленились и посмотрели детальные результаты теста (судя по вашей реакции, вы в них не заглядывали) ...

http://www.anti-malware.ru/doc/packers_support_08.2006.pdf

UNA.jpg

post-7-1156250662.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
сложного тут нет, просто не успели добавить

Просто со слов автора этого пакера складывалось впечатление, что можно используя его создать, например, некий идеальный вирус (полиморф), пакер никто не знает, а поверх детект будет нулевой.

Получается, что это совсем не так :-)

Очень сильно удивили ребята из McAffee - самых популярных простейших статических UPX и ASPack они не знают, но "знают" редкие, полиморфные Morphine и Obsidium. Подозрительно аднако.

Надо проверить одну вещь, вполне возможно, что McAffee на все проги упакованные Morphine или Obsidium будет ругаться, как на подозрительное ПО.

Вообще я думаю, что методика "пропустил хотя бы один файл на упаковщике - упаковщик не засчитан" не совсем верная.

Я согласен, методологию можно улучшать. В частности можно заложить какой-то допустимый процент недетекта упакованных вредоносов. Вопрос какой и почему?

Например, 10% или 1 из 10, это много или мало?

Есть еще вариант, озвученный выше, для каждого АВ выбрасывать результаты самого неудачного семпла, но правильно ли это будет?

P.S. Это не ругательство теста, а конструктивная критика для будущих тестирований. В любом случае спасибо авторам за оригинальный и интересный тест!

Олег, спасибо, все это очень поможет в подготовке будущих тестов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Олег, да это сейчас обсуждается.

Почитайте дискуссию выше.

В принципе многие не поленились и посмотрели детальные результаты теста (судя по вашей реакции, вы в них не заглядывали) ...

http://www.anti-malware.ru/doc/packers_support_08.2006.pdf

Каюсь. Действительно прочитал комменты о тестировании только после своего поста. Ну что ж, тогда мой пост оказывает поддержку высказанным ранее мыслям:

1. Пропуск одного (или заданного процента) файлов - допустим;

2. Статистика от вендоров по пакерам, с возможными примерами - тоже неплохая идея;

3. Осторожно надо относиться к выбору файлов, которые упаковываются для тестирования;

Хм. Объясните тогда в чем суть поддержки упаковщиков у антивирусов?

И как конкретно вы предлагаете оценивать?

IMHO ни один распаковщик в антивирусе не даёт 100% распаковывания файлов данного формата. Просто в Вашем случае выборка была очень маленькой. А поэтому и относиться к распаковщикам надо как к средству, которое повышает вероятность детектирования вируса. В лабораториях известных брендов (те же KAV) аналитики не гнушаются зачастую добавлять некоторых троянов/червей прямо поверх упакованных файлов (не производя их распаковку), и это абсолютно нормальная ситуация.

Ещё одно "НО". От антивирусов требуют что бы они работали быстро (кроме того что бы они всё детектировали). Поэтому при распаковке зачастую применяются граничные условия (ограничения) по достижении которых упаковка прерывается (или не начинается вовсе). Сотрудники антивирусных лабораторий всегда ищут компромисы между быстродействием и уровнем анализа/распаковки.

В любом случае тест получился очень интересный, ругать никого не буду - респект. Но вот систему оценки всё таки надо переосмыслить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Но вот систему оценки всё таки надо переосмыслить.

Согласен. Это стало понятно после теста. На то он и первый, что бы выявить недочеты метода тестирования.

Как мне кажется - нужно по каждому упаковщику давать % детектирования, а не сразу записывать в FAIL. Что дальше с этими процентами делать, я пока не знаю ... :-) Если их просто просуммировать (выявить общий процент детекта упакованных вирусов) то получится не тест на поддержку упаковщиков, а тест на уровень детектирования упакованных вирусов. А этого не хочется. Мы же ставим себе задачу изучить качество поддержки упаковщиков.

Вот у меня вопрос, кто-нибудь может прояснить, почему возникает вертикальное не детектирование у некоторых антивирусов (см. таблицы результатов тестирования)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Вот у меня вопрос, кто-нибудь может прояснить, почему возникает вертикальное не детектирование у некоторых антивирусов (см. таблицы результатов тестирования)?

Некорректно добавленная запись.

В исполняемых файлах есть определённый тип данных, которые при распаковке не восстанавливаются (всегда НЕ_КОД). Возможно при добавлении вируса сигнатуры выбирались с использованием этих данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
3. Осторожно надо относиться к выбору файлов, которые упаковываются для тестирования;

Олег, а вирусописатели тоже должны осторожнее быть с выбором malware? IMHO, никакой осторожности быть не должно. Или случайный выбор или какой-нибудь Top.

А вот методику оценки подправить можно.

Добавлено спустя 1 минуту 59 секунд:

Вот у меня вопрос, кто-нибудь может прояснить, почему возникает вертикальное не детектирование у некоторых антивирусов (см. таблицы результатов тестирования)?

Если рапаковщик снимается, то причина -- криво положенная сигнатура, при наличии сложного упаковщика, который невозможно корректно распаковать (до состояния неупакованного файла).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Промахи по вертикали - неудачная запись детектирования, которая не обязательно сигнализирует о проблемах с распаковкой. Например, Worm.Win32.AimVen детектируется только в исходном неупакованном варианте, нам еще повезло, что при упаковке его с помощью Yoda Protector получился неработоспособный вариант. Если исключить даного червя из тестирования, статистика радикальным образом поменяется. Причем аналогичная картина прослеживается в целом и для многих остальных антивирусов.

У меня предложение. Давайте для "чистоты эксперимента" проведем некоторое неофициальное тестирование. Только возьмем не более 4-5 упаковщиков (самых популярных), и увеличим кол-во вирусов например до 15. И посмотрим будут ли вертикальные недетекты и как их оценивать.

Итак, мои предложения:

- ExeStealth

- FSG

- MEW

- UPX

- yoda's Cryptor

Антивирусы:

- Занявшие призовые места (исключая F-Secure, с ним итак все ясно);

- McAfee;

- Panda;

- Symantec;

- UNA;

- VBA32.

Итого 9 антивирусов (исключая победителей остальные выбраны по принципу, у кого наблюдалось вертикальное недетектирование).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Олег, а вирусописатели тоже должны осторожнее быть с выбором malware? IMHO, никакой осторожности быть не должно. Или случайный выбор или какой-нибудь Top.

Конечно же Вы правы, в том плане что вирусописатели всегда по возможности задачу будут усложнять.

Но... Исходим из следующих постулатов:

1. Для любого антивируса всегда можно найти такой malware файл, который после упаковки конкретным RunTime-упаковщиком детектироваться данным антивирусом не будет (если кто то с этим не согласен, можно завести отдельный тред где это всё и можно обсудить);

2. Для любого антивируса, который хоть как то поддерживает распаковку конкретного RunTime-упаковщика можно подобрать значительную коллекцию malware, которая при сжатии данным конкретным упаковщиком будет детектироваться антивирусом (другими словами: на которой данный антивирус получит 100% распаковки).

Я не в коем случае не хочу обвинить организаторов данного теста в каких либо подтасовках!

Говорю лишь о том, что можно собрать большое количество разных коллекций файлов для тестов, и результаты всех этих тестов будут сильно отличаться.

Поэтому подборка действительно должна вестись по какому то ТОП'у, или ещё каким то разумным способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Методику оценки мы обязательно подправим (как именно мы и решаем). Подытожу.

Вертикальные промахи будут всегда (и чем больше вирусов в тесте, тем вероятность промахов будет больше-это очевидно). От них не избавиться. Но из результатов теста на поддержку пакера можно будет их исключать. (может быть будет отдельная таблица-неудачно выбранная сигнатура). Но могут быть и единичные промахи-пример DrWeb и Packman. Очевидно-Доктор умеет распаковывать данный пакер. Но... детекта нет. То есть после распаковки той сигнатуры которая была первоначально (до паковки)- нет. (видимо она повредилась - входе паковки удаляются "лишние"(с точки зрения пакера) коды файла-дабы уменьшить размер.) И каждый пакер удаляет всё "своё лишнее".

У Каперского PEspin-не понять, поддерживает он его или нет.

Я клоню к тому, что промахи закономерны (но больше их будет у тех, кто спешно, без должного анализа подбирают сигнатуры-из теста видно что лаборатории DrWeb и Касперского, к примеру, очень хорошо берут сигнатуры (иногда на 1 вирус выпускают несколько сигнатур-что увеличивает шанс быть опознанным).

Конечно, в таких случаях просто надо не учитывать очевидные промахи с сигнатурами.

З.Ы. Обратите внимание на Нортон Антивирус - скорее всего он не распаковывает тока 4 пакера, что очень хороший результат(хороший эмулятор видать, хотя мот пакеры по сигнатурам берет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Поэтому подборка действительно должна вестись по какому то ТОП'у, или ещё каким то разумным способом.

По топу не получится:

1. Тяжело в топе найти вирусы, которые не упакованы.

2. До окончания теста мы не должны светить экземпляры, т.к. возможна подтасовка со стороны антивирусных компаний, которые ТОП вирусы перепакуют всеми возможными пакерами и добавят сигнатуры поверх - без распаковки.

Одно могу сказать, вирусы будут браться те, которые появились в период между тестами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> и увеличим кол-во вирусов например до 15. И посмотрим будут ли

> вертикальные недетекты и как их оценивать.

>

> Итак, мои предложения:

> - ExeStealth

> - FSG

> - MEW

>- UPX

>- yoda's Cryptor

Все предложеннное выше не слишком адекватно - эти пакеры не полиморфны, их можно задететкиит "поверх".

И вобще IMHO следует проверят не последние версии пакеров, а всю линейку. Например мне интересно как кто детектит FSG 1.2, где есть простенький полиморфик (хотя его тоже можно продетектить "поверх")

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cyberf

Уважаемые, хочу обратить ваше внимание, что F-Secure использует в работе 3 движка и AVP - всего лишь один из них. Два других - Orion и Libra. Плюс ко всему, мало кто знает, что продажа AVP была осуществлена в 97 году (говорят, в ресторане ЯР.. :wink: ) и была одной из первых продаж Касперского вообще. По моим данных, F-Secure поддерживает и дорабатывает купленные ранее движки своими силами. Поэтому хотелось бы, чтобы результаты Касперский/F-Secure впредь не смешивались. Во многих других тестах показатели этих вендоров различаются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Уважаемые, хочу обратить ваше внимание, что F-Secure использует в работе 3 движка и AVP - всего лишь один из них. Два других - Orion и Libra. Плюс ко всему, мало кто знает, что продажа AVP была осуществлена в 97 году (говорят, в ресторане ЯР.. Wink ) и была одной из первых продаж Касперского вообще. По моим данных, F-Secure поддерживает и дорабатывает купленные ранее движки своими силами. Поэтому хотелось бы, чтобы результаты Касперский/F-Secure впредь не смешивались. Во многих других тестах показатели этих вендоров различаются.

Если бы они хоть чуть-чуть доработали движок Касперского, то они бы не показали бы идентичные результаты (дорабока в смысле поддержки пакеров).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Поэтому хотелось бы, чтобы результаты Касперский/F-Secure впредь не смешивались. Во многих других тестах показатели этих вендоров различаются.

Согласен, именно поэтому F-Secure и Kaspersky тестровались отдельно. Но кстати судя по нашему тесту с поддержкой пакеров F-Secure ничего не делали своими силами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

Тест по сути некорректный. Непонятно что вы проверяете - качество обнаружения известных пакеров или эвристику? Например, взять тот же NOD32. По растекшейся в сети инфе августовский релиз поддерживает следующие пакеры:

aPolycrypt5    db 'Polycrypt~5',0aPolycrypt4    db 'Polycrypt~4',0aPolycrypt3    db 'Polycrypt~3',0aPolycrypt2    db 'Polycrypt~2',0aPolycrypt1    db 'Polycrypt~1',0aHloopack    db 'Hloopack',0aCexe        db 'Cexe',0aMorphineV2_7    db 'Morphine v2.7',0aMorphineV2_0    db 'Morphine v2.0',0aMorphineV1_7a    db 'Morphine v1.7a',0aMorphineV1_7    db 'Morphine v1.7',0aMorphineV1_6    db 'Morphine v1.6',0aMorphineV1_4No    db 'Morphine v1.4~nop',0aMorphineV1_4    db 'Morphine v1.4',0aMorphineV1_3    db 'Morphine v1.3',0aMorphineV1_2b    db 'Morphine v1.2b',0aMorphineV1_2    db 'Morphine v1.2',0aExe32packV1_38    db 'exe32pack v1.38_patch',0aExe32packV1__0    db 'exe32pack v1.38',0aExestealthV2_7    db 'EXEStealth v2.75',0aExestealthV2_0    db 'EXEStealth v2.74',0aExestealthV2_1    db 'EXEStealth v2.7',0aYodaSCrypterV1    db 'yoda',27h,'s Crypter v1.2',0aYodaSCrypter_0    db 'yoda',27h,'s Crypter v1.1',0aPecompactV1_45    db 'PECompact v1.45',0aPecompactV1_47    db 'PECompact v1.47',0aPecompactV1_67    db 'PECompact v1.67',0aPecompactV1_68    db 'PECompact v1.68',0aTelockV0_98    db 'tElock v0.98',0aTelockV0_96    db 'tElock v0.96',0aTelockV0_92a    db 'tElock v0.92a',0aPetiteV2_2    db 'Petite v2.2',0aPetiteV2_1    db 'Petite v2.1',0aFsgV2_0    db 'FSG v2.0',0aFsgV1_33    db 'FSG v1.33',0aFsgV1_31    db 'FSG v1.31',0aFsgV1_3    db 'FSG v1.3',0aFsgV1_1    db 'FSG v1.1',0aFsgV1_0    db 'FSG v1.0',0aNeoliteV2_00    db 'NeoLite v2.00',0aNeoliteV1_04    db 'NeoLite v1.04',0aNeoliteV1_01    db 'NeoLite v1.01',0aNeoliteV1_0r    db 'NeoLite v1.0r',0aUpxV12_m5_patc    db 'UPX v12_m5_patch~_popad_ext',0aUpxV12_m5_pa_0    db 'UPX v12_m5_patch~_ofset1_ext',0aUpxV12_m5_1_ex    db 'UPX v12_m5~_1_ext',0aUpxV12_m5_ext    db 'UPX v12_m5~_ext',0aUpxV12_m2_patc    db 'UPX v12_m2_patch~_ofset1_ext',0aUpxV12_m2_1_ex    db 'UPX v12_m2~_1_ext',0aUpxV12_m2_ext    db 'UPX v12_m2~_ext',0aUpxV12_m5_pa_1    db 'UPX v12_m5_patch~_ofset1',0aUpxV12_m5_1    db 'UPX v12_m5~_1',0aUpxV12_m5_dll    db 'UPX v12_m5_dll',0aUpxV12_m5    db 'UPX v12_m5',0aUpxV12_m2_dll_    db 'UPX v12_m2_dll_patch~_esi',0aUpxV12_m2_pa_0    db 'UPX v12_m2_patch~_ofset1',0aUpxV12_m2_pa_1    db 'UPX v12_m2_patch~_popad',0aUpxV12_m2_pa_2    db 'UPX v12_m2_patch~_jmp',0aUpxV12_m2_4    db 'UPX v12_m2~_4',0aUpxV12_m2_3    db 'UPX v12_m2~_3',0aUpxV12_m2_2    db 'UPX v12_m2~_2',0aUpxV12_m2_1    db 'UPX v12_m2~_1',0aUpxV12_m2_dll    db 'UPX v12_m2_dll',0aUpxV12_m2    db 'UPX v12_m2',0aAsprotectV1_2    db 'ASProtect v1.2',0aAspackV2_12    db 'ASPack v2.12',0aAspackV2_11cd    db 'ASPack v2.11cd',0aAspackV2_11    db 'ASPack v2.11',0aAspackV2_1    db 'ASPack v2.1',0aAspackV2_001    db 'ASPack v2.001',0aAspackV2_000    db 'ASPack v2.000',0aAspackV1_08_04    db 'ASPack v1.08.04',0aAspackV1_08_03    db 'ASPack v1.08.03',0aAspackV1_08_02    db 'ASPack v1.08.02',0aAspackV1_08_01    db 'ASPack v1.08.01',0aAspackV1_08    db 'ASPack v1.08',0aAspackV1_07b    db 'ASPack v1.07b',0aAspackV1_06b    db 'ASPack v1.06b',0aAspackV1_05b    db 'ASPack v1.05b',0aAspackV1_04b    db 'ASPack v1.04b',0aAspackV1_03b    db 'ASPack v1.03b',0aAspackV1_02b    db 'ASPack v1.02b',0aAspackV1_01b    db 'ASPack v1.01b',0aAspackV1_00b    db 'ASPack v1.00b',0

Все, что упаковано другими пакерами и детектируется nod-ом как вирус - это заслуга его generic unpacker-а и эвристика. Так что вы в итоге тестируете? Помесь generic unpacker-а и распаковки стандартных крипторов? Для чистоты эксперимента нужно узнать, какие статические анпакеры включает тот или иной антивирус, тогда это будет действительно "Тест - детектирование упакованных вирусов"

А у того же каспера, кроме статических анпакеров, вообще ничего нет внутри, куда ж ему первое место то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ну как куда ему?! Туда.. наверх.. Не нода же ставить который вместе со скудным набором поддерживаемых пакеров и не всегда отрабатывающем генерик анпакером первое место давать?! Ж)

У статик анпакера есть хоть какието гарантии у генерик - никаких.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Все, что упаковано другими пакерами и детектируется nod-ом как вирус - это заслуга его generic unpacker-а и эвристика. Так что вы в итоге тестируете? Помесь generic unpacker-а и распаковки стандартных крипторов? Для чистоты эксперимента нужно узнать, какие статические анпакеры включает тот или иной антивирус, тогда это будет действительно "Тест - детектирование упакованных вирусов"

Большинству пользователей антивирусного ПО абсолютно безразлично каким образом был обнаружен вредоносный объект. Для пользователя важен результат и не более.

А у того же каспера, кроме статических анпакеров, вообще ничего нет внутри, куда ж ему первое место то?

Антивирус Касперского получил первое место именно за результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

Ответьте тогда на такой вопрос: какие настройки были выставлены в том или ином антивирусе при тестировании упакованных файлов? Интересует, в первую очередь, вкл./выкл. ли была эвристика :roll:

А незапакованные аналоги детектировались при каких настройках? Для чистоты эксперимента - должны только по сигнатурам, без эвристики.

Про галочку "Run Time Packers", которая присутствует в некоторых аверах, надеюсь, тоже не забыли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Уважаемые, хочу обратить ваше внимание, что F-Secure использует в работе 3 движка и AVP - всего лишь один из них. Два других - Orion и Libra. Плюс ко всему, мало кто знает, что продажа AVP была осуществлена в 97 году (говорят, в ресторане ЯР.. :wink: ) и была одной из первых продаж Касперского вообще. По моим данных, F-Secure поддерживает и дорабатывает купленные ранее движки своими силами. Поэтому хотелось бы, чтобы результаты Касперский/F-Secure впредь не смешивались. Во многих других тестах показатели этих вендоров различаются.

1. 4 движка. Нормальную распаковку имеет только движок KAV.

2. Вторая технологическая продажа. И не в Яре ;-)

3. Поддерживает, но не дорабатывает. KAV точно.

4. Согласен с тем, что надо разделять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

grovana

1. Растекшаяся инфа - это всего лишь растекшаяся инфа, а не кем-то подтвержденное то, что есть на самом деле.

2. Да, чуть ранее в обсуждении результатов теста высказывалось мнение об эвристике. Это будет учтено в следующем тестировании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

Николай Терещенко

В достоверности информации можете не сомневаться. Выдрана из релиза модуля распаковщика от 14 июля 2006 года.

Насчет эвристики - так и знал, что выключили :) Следующее тестирование предлагаю провести так: Касперу отключить распознавание по сигнатурам (если оно вообще отключается) и с почестями проводить на свалку. Это ж надо НОД-у отрубить эвристику было! Он только ей и дышит.

Поиск по сигнатурам отомрет намного раньше чем многие полагают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

grovana

Никто НОДу эвристику не отключал!!! Откуда вы вообще это взяли?

Тестирование проводилось при максимально возможных настройках каждого антивируса.

Следующий тест так же будет проводиться с полными настройками. Учет эвристики будет в том плане, что будет писаться в таблице отчета - как был обнаружен вирус. И дальше это будет анализироваться.

Мы проводим тест на работу с упаковщиками, а не детектирование. По хорошему эвристику вообще надо отключать …

Добавлено спустя 1 минуту 34 секунды:

Но, к сожалению, у многих антивирусов, упаковщик определяется именно эвристикой... В связи с этим отключать ее нельзя, иначе будет искажение результатов, но учитывать мы ее будем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Поиск по сигнатурам отомрет намного раньше чем многие полагают.

Эти сказки мы уже лет десять слышим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Поиск по сигнатурам отомрет намного раньше чем многие полагают

IMHO полностью не отомрёт, просто хорошим тоном (читай НОРМОЙ) станет обязательной наличие проактивки и безсигнатурных методов поиска, но базы с сигнатурами всё равно останутся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×