Перейти к содержанию
Latin

Защита, а какая она?

Recommended Posts

Latin

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Тривиальный ответ - на всё сразу =) И чем оно лучше, тем защита надёжнее.

Самый главный метод - сигнатурный. Им пользуются файловый монитор, почтовый монитор, http-монитор и проч. Из них наиболее важный - файловый монитор. Большинство вирусов, с которыми пользователь сталкивается, ловится именно файловым монитором по сигнатурам. Самый важный - не значит, единственный нужный. Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя. Последняя новинка - http-монитор. Начал добавляться тогда, когда поняли, что есть зловреды, на которых файловый монитор среагирует, но слишком поздно: например, на заражённую картинку он среагирует уже после того, как она будет обработана браузером.

Но сигнатурный метод уже давно не достаточен, потому что вирусов много, а вирусная лаборатория одна (у конкретного антивируса) =) Поэтому когда-то давно в России придумали эвристик. Поначалу простой, но он подкручивался и совершенствовался. Эвристик - это очень хорошо, но он не обеспечивает желаемого уровня детекта. В лучшем случае, при использовании наиболее продвинутых сегодня эвристиков, получается ловить до 50-60 процентов неизвестных зловредов, что не является удовлетворительным результатом. В среднем же эвристики на рынке детектят лишь процентов 30, что ещё хуже.

Более новая технология - HIPS, поведенческий блокиратор. То, что называется проактивкой у ЛК. Он обычно обеспечивает более высокий уровень детекта, чем эвристик, так как существует меньше свободы её обойти. Грубо говоря, он меньше зависит от реализации зловреда, а больше - от того, что именно зловред в результате хочет сделать. Но зато если зловред захочет сделать что-то другое, чего не контроллирует HIPS, то HIPS промолчит. Эвристик же более умён в этом плане - он пытается найти участки кода, которые "напоминают" ему какого-нибудь зловреда. Кроме того, HIPS часто ругается на "хорошие программы", посему нужно придумывать какие-то технологии против этого.

Так что ни проактивка, ни эвристик не взаимозаменяемы. Приходится разрабатывать их обоих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Согласен с Дмитрием. Да, сигнатурное определение на сегодня-самое важное, да и во многих тестах современных антивирусов проверяют именно работу сигнатурного сканера. Что касается выбора между эвристическим и поведенческим анализаторами-то я считаю более перспективным именно поведенческий (чисто моё субъективное мнение). Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса. Если говорить о лжесрабатовании- то поведенческий много даёт алярмов (хотя их мона уменьшить соответствующими настройками анализатора), но и эвристика у некоторых продуктов даёт много алярмов (чем выше уровень эвристики, тем больше алярмов: исключение NOD32). Например мой родной VBA имеет очень мощную эвристику-пожалуй одну из самых мощных, но лже срабатываний-просто половина всех срабатываний.

Вывод:помимо сигнатурного анализатора (самый важный) должен быть HIPS модуль (с широкими возможностями настройки и с предустановленными вариантами для различных случаев).Эвристика тоже должна быть, но такая, чтобы лжесрабатываний было минимум(пускай и не самая мощная-равняться на NOD32). http-модуль в обязательном порядке (сигнатура +эвристика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса.

Нет, это не так. Эвристик тоже обновляемый. В частности, у ЛК он вообще не зависит от версии продукта. Целиком в вир.лабе разрабатывается.

С остальным согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Спасибо! но возникает несколько вопросов

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Поэтому когда-то давно в России придумали эвристик.

Что серьезно? :) Мы опять самые лучшие! :)

Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя.

Тогда что получается, что о проактивке задумались только совсем недавно? Ну а пример с regrun'ом который я привел? насколько я знаю проактивную защиты они сделали относительно давно. И почему только один антивирус имени фамили одного человека релиазовал это. А другие еще не поняли

что без них уже нельзя.
ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.
Эвристик тоже обновляемый.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Самый главный метод - сигнатурный
Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Тогда что получается, что о проактивке задумались только совсем недавно?

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.

Совершенно верно.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Эвристику обновлять можно. И "проактивные" алгоритмы тоже. Для уровня ведущих антивирусных вендоров это несложно. (Я тут говорю и про Доктора и про ЛК, заметьте).

vaber писал(а):

Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

Существуют технологии, которые призваны уменьшить нагрузку на машину. А увеличение количества багов, наверное следует считать закономерным явлением.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Категорически несогласен. Практика доказывает обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Как давний пользователь, действительно, общаюсь.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Существуют технологии, которые призваны уменьшить нагрузку на машину.

Согласен, что это возможно в принципе. Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

А увеличение количества багов, наверное следует считать закономерным явлением.

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Категорически несогласен. Практика доказывает обратное.

Приведите примеры из практики, доказывающие обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Как давний пользователь, действительно, общаюсь.

Надеюсь с представителями разных вендоров. В противном случае Ваше мнение нельзя признать обоснованным.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Давайте будем дискутировать последовательно. В первую очередь мне бы хотелось увидеть агрументы, обосновывающие Вашу позицию.

Согласен, что это возможно в принципе.

Это не только возможно. Это уже реализовано.

Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал :))

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Устранять недостатки (баги) конечно же необходимо, но это не означает, что нужно останавливаться на достигнутом в технологическом плане. Разве не так?

Приведите примеры из практики, доказывающие обратное.

Доказательством служат тесты Клименти и практика пользователей ЛК. Свои примеры привести не смогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Надеюсь с представителями разных вендоров.

Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Я говорил, что прикипел к одному вендору, хоть и имею лицензию на различные антивирусы (больше, в целях самообразования).

Это не только возможно. Это уже реализовано.

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал Smile)

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Доказательством служат тесты Клименти

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

и практика пользователей ЛК.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Добавлено спустя 3 минуты 19 секунд:

Re: Защита, а какая она?

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

PS В Aidstest никогда, никогда НИКОГДА не было ни намека на эвристику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Причем тут я? Это Вы утверждаете, что

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт
.
Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит.

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод. С этим я полностью согласен. Но использовать лишь этот подход было бы неверным. В современых условиях необходимо развивать проактивные технологии. Это мое мнение.

Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Какой подход Вы бы предложили в ответ на увеличение, так называемых вредоносных объектов zero day? Возможности реактивного методы небезграничны. Или Вы не согласны?

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

Тесты бывают разные.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Goudron писал(а):

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Возможности реактивного методы небезграничны. Или Вы не согласны?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Тесты бывают разные.

Любой тест субъективен.

Goudron писал(а):

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Все люди похожи.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

На чём основано данное утверждение? На материалах ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Что то с логикой не то.

Вы считаете, что технология является правильной, только если ее использовал лидер отрасли ?

Встречный вопрос: считаете ли Вы, что не-лидеры могут стать лидерами в результате использования перспективных технологий, которых еще нет у лидера ?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Не забудьте только свериться с существующими патентами в данной области. Ага ?

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе.

В каком, если не секрет ? Может быть ваша выборка нерепрезетативна ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Возможности реактивного методы небезграничны. Или Вы не согласны?
Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Проактивная защита включает в себя как поведенческий анализ, так и эвристику. Развивать нужно то и другое.

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Полагаю, что этого явно недостаточно, чтобы сделать правильный вывод.

На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

:)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Добавлено спустя 12 минут 32 секунды:

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

>Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик)

Эвристики очень просто обойти всякими анти-отладочными трюками. Поведенческий анализатор так не обманешь.

>пока только думает об этом

Не думает а активно разрабатывает Ж)

> но, на мой взгляд, более перспективно

Нет т.к см первый ответ Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

Спасибо за ссылку. Чертовски интересно. Да, наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье.

]

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков. (Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

И я так понимаю Goudron имел в виду реализацию в том виде как она сделана в avp. Тогда вопрос в чем сомнения? В методе реализации, взаимодействии с пользователем или еще чем-то?

Вообще говоря, поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед). Конечно, это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) . Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том, что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону. Но таких срабатований, особенно на начальном этапе, достаточно много. И данная ситуация, на мой взгляд, решается введением пресетов. Конечно это требует определенных затрат времени и средств, но с другой стороны исключит ситуацию когда данный компонент попросту отключают со всеми вытекающими отсюда последствиями и сделает "технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя" (с)«Лаборатория Касперского».

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Во всяком случае больше половины тех, кого я знаю.

Сергей Ильин писал(а):

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Присоединяюсь

Goudron писал(а):

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод.

А не складывается ли у вас мнение, что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Вопрос не в его классе, а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет. А вобще -- в каждом АВ свой порядок, более того порядок обработки может меняться в зависимости от.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет.

Блин, жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Коллега Latin позвольте полюбопытствовать -- к чему такие вопросы? Если есть желание разработать что-то свое, по быстрее научиться что-то делая и анализируя неудачи. Если это праздное любопытство, то информации с форума вполне хватит. Надеюсь, что Гудрон подскажет, другие причины?

Добавлено спустя 7 минут 31 секунду:

]На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

ЛК, конечно ведет статистику, но внутренняя статистика несколько субъективна и может говорить только о пользователях продуктов ЛК. Говорить за весь регион можно имея результаты независимого и объективного исследования, проведенного независимым агенством.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

На самом деле проблема проактивной защиты (на мой взгляд) в том, что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо за ссылку. Чертовски интересно. Да' date=' наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье. [/quote']

Как я уже указывал выше, понятие проактивная защита включает в себя как поведенческий, так и эвристический анализ. Однако следует иметь ввиду, что этот термин иногда понимается и в "узком" смысле (чаще всего среди пользователей KAV/KIS), то есть отождествляется с поведенческим анализом.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков.

Да' date=' почти у всех в том или ином виде.

(Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

Не понял о чем идет речь.

Вообще говоря' date=' поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед).[/quote']

Согласен.

Конечно' date=' это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) .[/quote']

Верно.

Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том' date=' что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону.[/quote']

У меня проактиваня защита реагировала на Punto Switcher. Это нормально. Как вы правильно заметили проактивную защиту можно настроить. Это не так уже и сложно и занимает не очень много времени. Для тех кто не умеет - есть неплохой мануал, можно так же воспользоваться помощью специалиста. Для тех кто не желает этого делать предусмотрена возможность отключения модуля проактивной защиты.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Степень субъективизма может быть разной.

А не складывается ли у вас мнение' date=' что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.[/quote']

Не совсем понятна Ваша позиция по данному вопросу.

Вопрос не в его классе' date=' а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)[/quote']

Но эти идеи (принципы) не сразу получили распространение. Может дело в их несвоевременности, неактуальности на расматриваемом этапе развития?

Добавлено спустя 6 минут 59 секунд:

Блин' date=' жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.[/quote']

Если Вам интересна реализация указанного механизма в Dr. Web, то лучше обратиться за помощью к nowbody@nowhere (aka john). Но он что-то в последнее время не очень "балует" нас своим присутствием на форуме. :(

Добавлено спустя 5 минут 3 секунды:

На самом деле проблема проактивной защиты (на мой взгляд) в том' date=' что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...[/quote']

Судя по всему ЛК учитывает интересы и возможности как подготовленных пользователей, так и начинающих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×