Как работают вирлабы и кто это делает лучше?

[Valery Ledovskoy 1082]

A. писал(а):

Секта, имени святого ID

Что-то в этом роде.

Ничего подобного я в коллективе не наблюдаю. Глупости. Все заняты работой, ибо у каждого она своя, и её хватает.

[TiX 0]

Вы что телепат? Сидя в Ставрополе видеть что творица в Питере?! Ж)

[Valery Ledovskoy 1082]

Вы что телепат? Сидя в Ставрополе видеть что творица в Питере?! Ж)

Для того, чтобы увидеть настроение коллектива, необязательно быть телепатом или сидеть в Питере. Достаточно просто долго использовать средства, которые есть в наличии. У меня их хватает для того, чтобы делать подобные выводы.

[headache 0]

о что вы не захотели учесть данные по 330-и и 660-и битным GpCode - тоже не важно. Было бы 4:1 в пользу KAV.

DrWeb:

Encoder.7 - drwtoday.vdb (2006-06-07 01:08:45, MD5: b115b03a7272664f1a94862a4f17b4dd)

KAV: (не понятно который из них)

6 June 2006 Virus.Win32.Gpcode.af 15:09 17:42

7 June 2006 Virus.Win32.Gpcode.ag 15:10 17:35

DrWeb:

Encoder.8 - drwtoday.vdb (2006-06-13 10:37:21, MD5: d54896547e96bfa9e1b6d730468e306e)

KAV: (не понятно который из них)

27 June 2006 Virus.Win32.Gpcode.ah 13:29 15:11

26 June 2006 Virus.Win32.Gpcode.av 11:08 12:47

7 June 2006 Virus.Win32.Gpcode.ag 15:10 17:35

[Mr. Justice 771]

A. писал(а):

Секта, имени святого ID

Что-то в этом роде.

Ничего подобного я в коллективе не наблюдаю. Глупости. Все заняты работой, ибо у каждого она своя, и её хватает.

Наверное А. и имел в виду, что Dr. Web - слишком закрытая компания, в которой все беспрекословно подчиняются И. Данилову.

Добавлено спустя 12 минут 4 секунды:

Но возможно. Не все специалисты Доктора - специалисты сразу в нескольких областях.

Не буду спорить, такое возможно. правда как исключение, а не как общее правило. Вы согласны?

Тот есть в Dr. Web осознали свою ошибку?

Интерфейс до недавнего времени не был приоритетной задачей. Теперь интерфейс меняется под новую внутреннюю архитектуру продукта. Со старым интерфейсом это было бы реализовать сложнее. Т.е. меняется и внешний (графический) интерефейс, и взаимодействие между компонентами, и основная функциональность.

Вы рассуждаете правильно. Но я имел в виду очевидные недостатки интерфейса, которые давно необходимо было устранить. Работать нужно было не только над ними но их необходимо было устранить в первую очередь.

[_Stout 131]

А почему вы считаете что знаете всех экспертов reverse-engineer-инга? Я так понимаю (по уровню самооценки) за А. скрывается как минимум Александр Гостев или Е.К.?

Коллега, не только ЕК или АГ знает АВ экспертов. Я тоже почти всех знаю, хоть и не имею отношения к анализу уже очень долгое время. Кое-кого в лицо, с кем-то лично знаком. АВ индустрия очень маленькая и практически со всеми все встречались. Могу фотку показать, на которой мирно сидят и пьют пиво люди из ЛК, TrendMicro, BitDefender, Microsoft, VirusBuster, Avira.

[Valery Ledovskoy 1082]

Наверное А. и имел в виду, что Dr. Web - слишком закрытая компания, в которой все беспрекословно подчиняются И. Данилову.

Может быть, это тоже имелось в виду. Да, Игорь Данилов сильно влияет на многие программные решения, применяющиеся в продуктах, но и коллектив на него сильно влияет.

В качестве свежего примера - под давлением коллектива из всех компонентов была убрана проверка "по формату" как изжившая себя. ИД до последнего этот режим проверки хотел оставить.

Не буду спорить, такое возможно. правда как исключение, а не как общее правило. Вы согласны?

Да, согласен. Но так же согласен и в том, что многие творческие люди могут работать в нескольких областях одновременно. Например, давно замечено, что технические специалисты очень часто являются одновременно хорошими музыкантами.

Вы рассуждаете правильно. Но я имел в виду очевидные недостатки интерфейса, которые давно необходимо было устранить.

Над устранением недостатков интерфейса работа идёт и сейчас, не дожидаясь новой концепции интерфейса.

[Сергей Ильин 1538]

Раз мы тут обсуждаем работу вирлабов, то я хотел бы скоростью реакции затронуть. Лаборатория Касперского очень гордится выходом обновлений каждый час, а также скорость реакции на появление новых угроз. Туда же кинулся Доктор Веб, по количеству апдейтов они уже приближаются к ЛК.

Но вопрос не в этом, а в качестве апдейтов. До этого мы обсуждали этот вопрос здесь и Михаил Кондрашин в частности высказывался, что за 15-30 минут, которые уходят на анализ вируса и выпуск сигнатуры, нереально ее нормально протестировать. Поэтому Trend Micro, Symantec, McAfee не могут выдавать такую скорость реакции, так как, работая по ISO, заботятся о качестве выполнения работы.

Так что, действительно сигнатуры часто в наших вирлабах тестируются "на коленке" или проблема в том, что большая тройка не в состоянии выстроить подобный технологический процесс?

[Z 0]

Но вопрос не в этом, а в качестве апдейтов. До этого мы обсуждали этот вопрос здесь и Михаил Кондрашин в частности высказывался, что за 15-30 минут, которые уходят на анализ вируса и выпуск сигнатуры, нереально ее нормально протестировать. Поэтому Trend Micro, Symantec, McAfee не могут выдавать такую скорость реакции, так как, работая по ISO, заботятся о качестве выполнения работы.

это просто оправдание тормознутости вышеупомянутых <g>

Так что, действительно сигнатуры часто в наших вирлабах тестируются "на коленке" или проблема в том, что большая тройка не в состоянии выстроить подобный технологический процесс?

все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

[TiX 0]

>это просто оправдание тормознутости вышеупомянутых <g>

Скорее нехватка мощьностей.. Увы даже супер крутые РАЙДЫ на SCII не позволяют прочитать 10-20 ТБ файлов за 1 минуту

Тоесть если количество процессоров можно еще нарастить то увеличить скороcть считивания увы

>все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

У всех но не все Ж) Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

[Valery Ledovskoy 1082]

Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

Давно такой маленькой разницы не видел. А если такое и бывает иногда, то, видимо, что-то критичное должно произойти. Т.е. это - не нормальная ситуация.

[TiX 0]

На updates.drweb.com ходите чаще Ж)

5 viruses in base

через 5 минут уже

6 viruses in base

через час - 70 viruses in base

[Valery Ledovskoy 1082]

Т.е. эту одну запись нельзя было тестировать независимо от других? И одну запись (не модифицируя её) нельзя захотеть разделить за эти 5 минут на несколько для удобства? В общем, весьма косвенный показатель ты используешь.

Добавлено спустя 5 минут 18 секунд:

Про разделением одной записи на несколько - я имею в виду более сложный процесс, чем написал. Суть та, что можно одну модификацию вируса (оказавшейся слишком общей для аналитиков) захотеть разделить на несколько модификаций без изменения алгоритма детекта. Вернее, этот алгоритм разделится на 2 похожих алгоритма, но раздельных. Как-то так.

А что ты скажешь про "сжатие" базы? Т.е. иногда вирусные записи не добавляют, а "удаляют"

В общем, скорость добавления записей в базу - не показатель. Но время, которое проходит от обнаружения существования нового вируса до его устойчивого детекта - это, действительно, показатель.

[Z 0]

>это просто оправдание тормознутости вышеупомянутых <g>

Скорее нехватка мощьностей.. Увы даже супер крутые РАЙДЫ на SCII не позволяют прочитать 10-20 ТБ файлов за 1 минуту

Тоесть если количество процессоров можно еще нарастить то увеличить скороcть считивания увы

Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

>все апдейты тестируются на кластерах с террабайтами разного софта. у всех.

У всех но не все Ж) Тоесть у доктора я точно могу сказать что daily не тестируется ибо иногда разница между выпоскум обвновления 1-5 мин Ж)

языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

[headache 0]

АВ индустрия очень маленькая и практически со всеми все встречались. Могу фотку показать' date=' на которой мирно сидят и пьют пиво люди из ЛК, TrendMicro, BitDefender, Microsoft, VirusBuster, Avira.[/quote']

По-моему этот "круг знакомств" доступен далеко не всем сотрудникам, а лишь топ-менеджменту и ведущим разработчикам. Не думаю что ЛК отправляет на конференции VB рядовых сотрудников.

[_Stout 131]

По-моему этот "круг знакомств" доступен далеко не всем сотрудникам, а лишь топ-менеджменту и ведущим разработчикам. Не думаю что ЛК отправляет на конференции VB рядовых сотрудников.

Доступен всем кому это надо. Например, некоторым очень ведущим разработчикам этот круг тоже доступен ибо это надо. Да и говорил я уже, круг экспертов мирового уровня действительно мал и знать всех (реально всех) довольно просто.

[TiX 0]

>Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

Один хрен иметь 1 железку с 5тью ХДД и процессорами и вешать 5 сканнеров по 1 на процессов для сканирования 1 хдд.

Или 5 отдельных в кластере.

Разница только в скорости доступа к памяти но как не крути а за 1 минуту невыйдет.

>языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

Либо докажы обратное либо я буду считать что ты чешеш языком...

Как ты сам сказал - "Не тебе мне указывать куда идти". С таким же успехом можешь топать на forum.drweb.com

[Z 0]

>Саня, детский дальше по коридору. не нужны ни рэйды, ни скази. ключевое слово - кластеры.

Один хрен иметь 1 железку с 5тью ХДД и процессорами и вешать 5 сканнеров по 1 на процессов для сканирования 1 хдд.

Или 5 отдельных в кластере.

Разница только в скорости доступа к памяти но как не крути а за 1 минуту невыйдет.

Саня, детский дальше по коридору, я повторюсь.

100 машин с 8Г дают примерно 0.5T RAM FS. понятно, что пришибленым поделиями биллгейтса это осознать трудно. 500G сегодня достаточно для проверки в первом приближении.

>языком чесать - не мешки ворочить. но все же, чушь пороть лучше на forum.kaspersky.com, здесь она не интересна. пишите, Саня, лучше троянов дальше. прокурор из Вас плохенький.

Либо докажы обратное либо я буду считать что ты чешеш языком...

Как ты сам сказал - "Не тебе мне указывать куда идти". С таким же успехом можешь топать на forum.drweb.com

да, спасибо, я знаю что Вы и там чушь несете точно такую же. это не новость для меня. только там не начинайте рассказывать устройство сигнатурного анализатора Dr.Web, ok? там это будет уже не смешно.

[TiX 0]

Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

Добавлено спустя 5 минут 14 секунд:

>Саня, детский дальше по коридору, я повторюсь.

100 машин с 8Г дают примерно 0.5T RAM FS. понятно, что пришибленым поделиями биллгейтса это осознать трудно. 500G сегодня достаточно для проверки в первом приближении.

8 GB Ram естесно надо понимать.

И зачем так сложно?!

Зачем все было расписывать про кластеры и.т.д когда можно просто сказать о неиспользовании дисков в качестве носителя инфы.

Можно поставить 1 сервер с 64 процессорами и 0.5 тб РАМ и получить теже 500 гб (0.5тб) рам ФС.

Добавлено спустя 2 минуты 22 секунды:

И напоследок -

>500G сегодня достаточно для проверки в первом приближении.

Речь шла о теребайтных массивах а не обрезках на 500 гб Ж)

Тоесть это можно понимать так что у доктора нету даже тера байта чистых файлов.... ясьненько так бы и сказали защет чего скорость повышается ж) Пока одни мучаются с 10 тб доктор успевает 20 раз промучатся с 0.5 тб Ж)

[Z 0]

Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

угу. тем кто может, Вам не удалось, увы.

[TiX 0]

Я останусь при своем.

[Dr.Golova 55]

> 100 машин с 8Г дают примерно 0.5T RAM FS

Тестовый стенд за 200 килобаксов? Загните, пожалуйста, пальцы на место - нет у вас такого, и не будет в ближайшее время, ровно как и у всех компаний третьего эшелона (второго кастати тоже - иллюзий никто не строит).

Добавлено спустя 43 минуты 46 секунд:

>> Реверсинг рулит Ж) Устройство сигнатурного движка понять не трудно.

> угу. тем кто может, Вам не удалось, увы.

Вы действительно хотите, чтобы это посмотрели "те кто могут"?

[лишние пальцы вырезаны ]

[Сергей Ильин 1538]

Как раз в тему Клименти выложил тест реакции вируслабов на полиморф W32.Bakaver.A. Обсуждение материала тут

http://www.anti-malware.ru/phpbb/viewtopic.php?p=8420

Там по переписке сразу видно, как некоторые лажаются.