Тормоза в различных антивирусах

[Phoenix 0]

Смотря, что понимать под словом "сильнее"...

[grovana 0]

1) НОД использует "нечестные" приемы ускорения эмуляции, например он может пропустить длинный цикл в надежде, что это бестолковый кетаец сделал антиэмуляционный трюк с большим пустым циклом. Соответственно, если цикл сделал толковый кетаец, и цикл не пустой, а скажем, в нем расчитывается ключ для последующей расшифровки, НОД это дело не возьмет эвристикой/эмулятором.

Брехня. Создай "большой" и пустой цикл - НОД его действительно пропустит (ну умница, что тут скажешь). Добавь один единственный nop - эвристик тут же проснется. Не вижу смысла плодить необоснованные утверждения.

[TiX 0]

И причем тут nop?

int main()

{

int x = 2;

for (int i = 0; i < 9999; i++)

x += 2;

if (x != 2+(2*9999))

ExitProcess(0);

DoVirusStuff();

return 0;

}

void DoVirusStuff()

{

// anything

}

Эмулятор такое пропустит и обламается Ж)

Можно еще проще (как пока не скажу)

[grovana 0]

Ой, да что ж это такое. Ведь врете товарищи, без зазрения совести. К чему, ей-богу? Совершенно случайно нашелся готовый исходник, палящийся эвристикой НОДа. Добавил в начало твой безобидный код - результат смотри сам. Эмулится на ура. А nop при том, что nod эмулирует только циклы меньше fffffff итераций, а если итераций больше и он не пустой (т.е. даже с nop) - он его пометит как UnknownHeur, что очень даже правильно.

log_send.zip

log_send.zip

[Dr.Golova 55]

Снова ночь, и снова у меня плохое настроение. Когда же я сдохну наконец? Ну да ладно о депресняках, давайте повеселимся. Как всегда, я видимо выражался не совсем прямо, и моих намеков многие не поняли. Попробую все расписать более подробно и без туманных фраз.

Самой лучшей компании, где я работаю, мы даже не будем сегодня касаться, что-бы не разжигать священных войн

Я не говорил что у нода плохой эмулятор или плохая эвристика. И то и другое у ного отличное. Но... чехи слишком на это расчитывают. У любого эмулятора есть главная проблема - скорость. АВ не должен тормозить, так что даже у самого вылизанного по скорости эмулятора есть ограничение по количеству циклов (т.е. проэмулированных комманд). Приснопамятный нод знает что-то врайоне 20 популярных пакеров, причем это с учетом версий - как я выяснил, он даже последний UPX не знает как пакер. Поэтому он все неизвестные (ему неизвестные) пакеры, а их очень много, проходит на своем замечательном эмуляторе, а дальше работает его замечательная эвристика. Т.е. мы берем маленького (30-50кб) червя, пакуем чем-нибудь более редким чем аспак, нод проэмулит это дело за миллион итераций (к примеру), а дальше, выполняя на эмуляторе (ну скажем еще за миллион итераций) распакованную тушку червя, задетектит его эвристикой, потому что после эмулятора у нода маски не накладываются, и работает только эвристик. ОК! ЗАМЕЧАТЕЛЬНО! ПРОДУКТ ПРОШЕЛ ТЕСТ НА ЭВРИСТИКУ И ПАКЕРЫ! Во все газеты написали, значек получили. А теперь возьмет двухмегабайтный троян prorat, упакуем его тем же самым, и... нод его не возьмет эвристикой, потому что за те несколько десятков миллионов итераций эмулятора, что отвели ноду создатели, они не успели снять пакер с такого большого файла, и до эвристики даже дело не дошло. Какая жалость... мы задетектим файл поверх пакера и снова будем самыми быстрыми, ибо нефиг.

С другой стороны есть BitDefender, у которго эмулятор написан не на ассмеблера, а на С++, и эмулить он умеет не только 32бита но и 16, поэтому лимит эмулятора у него в 20 раз меньше чем у нода. Но зато BF честно знает очень много популярных пакеров, и умет их снимать без эмулятора (ну не совсем без, немного он конечно эмулит, но при знании пакера соптимизить работу распаковщика можно на много порядков). BF распаковывает двухмегабайтный файл очень быстро, сбрасывает счетчик эмулятора, и запускает эмуляцию с эвристикой заного на распакованный файл, и... все детектит.

Естественно, некоторые успешно пытаются "оптимизировать" эмуляторы, добавляя туда эвристику, детектящую код, похожий на пакеры/крипторы, и накидывать на таких файлах лимиты, но это практически не помогает. Точнее говоря, помогает уменьшать фактичесий лимит на явно чистых файлах и не тормозить, а вовсе не разбирать глубже упакованные. На параноидальном режиме эвристики, когда некоторые АВ могут себе позволить обрабатывать пакованый файл по 30 секунд и более, скорее всего АВ пройдет пакер (если он не точился специально против эмуляторов). Но и ежу понятно, что такой режим это крайня мера, поэтому он хоть и есть, но по умолчанию отключен, и более того, у того-же нода по умолчанию даже пакеры отключены - пусть юзеры надеются только на сигнатуры, и радуются быстрой работе (это же главный маркетинговй козырь).

Это была страшная сказка про эмуляторы на ночь =)

Опять же, хочу заметить, что все это только мое личное мнение, которое можно и нужно подвергать сомнению, ибо я как "Группа пользователя: KL Russia Team" не могу быть обьективным.

По поводу "откуда дровишки", уж не ида ли? Ну что вы, ида это же незаконно, все это можно узнать и просто поставив продукты на машину и погоняв на патченной малвере. Хотя, как я уже упоминал, четырьмя страницами раньше, к сожалению это уже не секрет, и те, кому надо, в курсе. К примеру: http://wasm.ru/forum/viewtopic.php?id=15879&p=1

До кучи:

И не пытайтесь сравнивать эвристики битдефендера и нода, они просто работаю по разному! Первый ловит _неизвестные_ малвары (по изменению внутренней эмулируемой среды) и говорит "behaves like", а второй ловит _модификации_ известных ему малвар по их характерным чертам поведения в эмулдируемой среде, и говорит "probable variant of...". Одно другого не лучше и не хуже, это просто разные технологии, и обе они обходятся довольно просто, хоть и по разному.

ЗЫ: Хотя от темы мы явно отклонились

[Visor 0]

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО... 8)

[grovana 0]

Я не говорил что у нода плохой эмулятор или плохая эвристика. И то и другое у ного отличное. Но... чехи слишком на это расчитывают.

И правильно делают. Это единственно верный путь развития. АВ аля "только по сигнатурам" (не будем показывать пальцем кто больше всех этим страдает) отомрут в течении ближайших 5 лет.

а дальше, выполняя на эмуляторе (ну скажем еще за миллион итераций) распакованную тушку червя, задетектит его эвристикой, потому что после эмулятора у нода маски не накладываются, и работает только эвристик.

про маски непонятно что ты хотел сказать. если про поиск по сигнатурам - то он идет на протяжении всей эмуляции, даже в процессе работы эвристика.

И не пытайтесь сравнивать эвристики битдефендера и нода, они просто работаю по разному! Первый ловит _неизвестные_ малвары (по изменению внутренней эмулируемой среды) и говорит "behaves like", а второй ловит _модификации_ известных ему малвар по их характерным чертам поведения в эмулдируемой среде, и говорит "probable variant of...".

Тут ты не прав в корне. "probable variant of..." нод говорит именно тогда, когда это действительно "probable variant of..." чего-либо а "_неизвестные_малвары" он отмечает как UnknownHeurPE.

Вообщем, из большого и несодержательного текста, что ты привел выше, можно сделать один вывод: нодовский эмулятор (да и любой другой) плох потому, что ему отведен лимит на выполнение инструкций. Могу только сказать, что есть много методов обхода всех этих недостатков, и со временем они появяться, полностью вытеснив с рынка все тупые "сканеры битовых последовательностей в файлах". А что до процедур распаковки - так и их добавить могут хоть сотню, просто такие компании, как eset, живут завтрашним днем и акцентируют 90% внимания на эмуляторе.

[Мальцев Тимофей 74]

Visor, факты есть - идите к прокурору.

Есть такое емкое понятие - клевета...

[Mr. Justice 771]

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО... 8)

Без комментариев.

[Winsent 10]

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО... 8)

Старая "страшилка" снова в моде?

[Visor 0]

Visor, факты есть - идите к прокурору.

Есть такое емкое понятие - клевета...

Нуууу... клевета-не клевета! А с финансовой политикой не поспоришь! Бабло -то откуда-то нужно брать.... 8)

[J 0]

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО... 8)

Идите в жопу (в смысле в детский сад) сэр.

[_Stout 131]

Я не говорил что у нода плохой эмулятор или плохая эвристика. И то и другое у ного отличное. Но... чехи слишком на это расчитывают.

И правильно делают. Это единственно верный путь развития. АВ аля "только по сигнатурам" (не будем показывать пальцем кто больше всех этим страдает) отомрут в течении ближайших 5 лет.

А что будем делать с тем, что на эвристик не берется, с теми пусть даже 30% вирья (хотя 70% на эвристик это очень много и не реально)?

№2. Пускай NOD сотоварищи станет чуть популярнее у виросописак и тогда снанет ясно каков на самом деле detection rate. (PS все новые почтовые черви (Scano.aq, .ar, Warezov.s .q .r) не детектятся ни НОДом, ни Битом, ни кем-либо другим)

[Visor 0]

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО... 8)

Идите в жопу (в смысле в детский сад) сэр.

Синьор, идти "в жопу" это не актуально... а вот вам следует засунуть туда свои пальцы, дабы не печатать всякую дрянь на клавиатуре и не засорять сей прекрастный форум. А насчет детского сада - видимо воспитание ваше хромает, и мама не объяснила вам в детстве, что посылать посторонних дядей куда подальше нехорошо! Учите этикет синьор!

[Мальцев Тимофей 74]

Visor

Уважаемый синьор!

Вопрос оффтопный.

А вы таки кот или все же мутировавшая белочка? Меня, чесгря, защечные мешки Ваши с толку сбивают...

[Ego1st 95]

Visor

Уважаемый синьор!

Вопрос оффтопный.

А вы таки кот или все же мутировавшая белочка? Меня, чесгря, защечные мешки Ваши с толку сбивают...

Не ну зачем так жестоко=)))

[Николай Терещенко 0]

J, Visor, Мальцев Тимофей

Господа, посты с непосредственными оскорблениями или грубыми выпадами в сторону участников форума будут удаляться безжалостно.

Будьте вежливы к друг другу.

Добавлено спустя 3 минуты 34 секунды:

Синьоры! Я вам скажу почему Symantec на последнем месте по реагированию на вирусы! Их имидж - дело отработанное. А вот наши деловары (КАВ) добиваясь мирового рейтинга пишут вирусы и тут же забивают в свои базы вакцины! Дабы повысить продажи своего программного ГО... простите ПО...

Честно говоря постеснялись бы писать такие глупости.

[Мальцев Тимофей 74]

Николай, честное слово, грубить не хотел.

Просто очень уж забавная аватара, аж заоффтопил от удовольствия.

Но не грубил, правда.

[Dr.Golova 55]

> если про поиск по сигнатурам - то он идет на протяжении всей эмуляции, даже в процессе работы эвристика.

Такое ощущение, что я по болгарски написал, а не по русски, что после этапа эмуляции нод собирает только строчки, считает по ним контрольные суммы, и сравнивает с базой, и кроме этого ничего не делает.

> а "_неизвестные_малвары" он отмечает как UnknownHeurPE.

Как "UnknownHeurPE" он отмечает любой файл, упакованный новым пакером, под который еще не успели сделать false-alarm записи, или доточить эмуль.

[EYE 59]

Ой, да что ж это такое. Ведь врете товарищи, без зазрения совести. К чему, ей-богу? Совершенно случайно нашелся готовый исходник, палящийся эвристикой НОДа. Добавил в начало твой безобидный код - результат смотри сам. Эмулится на ура. А nop при том, что nod эмулирует только циклы меньше fffffff итераций, а если итераций больше и он не пустой (т.е. даже с nop) - он его пометит как UnknownHeur, что очень даже правильно.

Конечно, врут! NOD демонстрирует работу эвристики на этом файле,

а Каспер, естественно, молчит - ну нет ведь у него, бедолаги, эвристики, нет.

Приснопамятный нод знает что-то врайоне 20 популярных пакеров, причем это с учетом версий - как я выяснил, он даже последний UPX не знает как пакер.

Ой как однозначно-то, прослезиться можно.

А что ж вы не расскажете про ASProtect и нулевой результат

Каспера в этом случае, например? "Забыли"?

У НОДа результат будет далеко не нулевой.

[Dr.Golova 55]

> А что ж вы не расскажете про ASProtect и нулевой результат...

Я вроде как все рассказал - нод этот "упаковщик" не знает, но смог его проэмулит потому что черви маленького размера. Крупный файл он не осилит, это я тоже проверял. КАВ действительно пока этот упаковщик незнает, но когда узнает, размер файла ему будет безразличен в отличие от нода.

Что бы вы не подумали, но мы действительно работаем над этой проблемой, и дэдлайн уже совсем близко.

[grovana 0]

Такое ощущение, что я по болгарски написал, а не по русски, что после этапа эмуляции нод собирает только строчки, считает по ним контрольные суммы, и сравнивает с базой, и кроме этого ничего не делает.

А че ему еще нужно - сплясать? Кстати, сравнение строк идет не ПОСЛЕ этапа эмуляции, а ВО ВРЕМЯ.

Как "UnknownHeurPE" он отмечает любой файл, упакованный новым пакером, под который еще не успели сделать false-alarm записи, или доточить эмуль.

Ты очень далек от реального положения вещей. "UnknownHeurPE" выставляется только на файлы, в результате проверки эвристикой которых набралось достаточное кол-во признаков. То что он не сможет проэмулить - он никак не помечает и просто пропускает. Уже предчувствую бурные восторги по этому поводу в следующем посте.

В случае с "большим циклом" и подобных можно воспринимать как угодно. Для НОД-а это именно признак малвары, т.к. мало в каком коде используются циклы с миллиардами итераций. Для сотрудников всевозможных "лабораторий К" это, бесспорно, "слабость НОД-а", "невозможность проэмулить" и т.п.

Я не говорю что написать эмуль и правила эвристики, подобные НОД-овскому - это архигениально. Опенсорсных эмулей полно (тот же плагин к ИДА), а проанализировав с тысячу малвар можно наклепать правил не хуж чем в НОД-е. Я не пойму другое - за что вам там таки платят зарплату? За написание новых вирей и добавления сигнатур в базу? Подозреваю, что именно так и есть.

[Mr. Justice 771]

Конечно, врут! NOD демонстрирует работу эвристики на этом файле,

а Каспер, естественно, молчит - ну нет ведь у него, бедолаги, эвристики, нет.

У него есть поведенческий анализатор, эффективность которого составляет примерно 99% неизвестных ему (по сигнатурам) вредоносных объектов. Эффективность эвристического анализатора NOD 32 всего 58%. Думаю комменатрии излишни.

Ой как однозначно-то, прослезиться можно.

А что ж вы не расскажете про ASProtect и нулевой результат

Каспера в этом случае, например? "Забыли"?

У НОДа результат будет далеко не нулевой.

Представим ситуацию, связанную с появлением malware, обработанного новым упаковщиком, при которой оба антивируса (NOD 32 и KAV/KIS) не могут обнаружить указанный объект. Как Вы думаете какой из вендоров более оперативно отреагирует на отсутствие детекта и решит, связанную с этим, проблему? Думаю, что в подавляющем большинстве случаев первым будет KAV/KIS...

Добавлено спустя 12 минут 42 секунды:

То что он не сможет проэмулить - он никак не помечает и просто пропускает. Уже предчувствую бурные восторги по этому поводу в следующем посте.

Если рассуждать объективно, то это одна из основных проблем NOD 32. Детектирование упакованных вредоносных объектов - одно из слабых мест этого антивируса. Как показывают результаты тестовых исследований эмулятор NOD 32, на данный момент, не обеспечивает высокий уровень защиты от подобных угроз (это мое мнение).

[A. 876]

То что он не сможет проэмулить - он никак не помечает и просто пропускает. Уже предчувствую бурные восторги по этому поводу в следующем посте.

С большой долей вероятности то что он не сможет проэмулить - он либо обругает эвристикой либо залепит на него вообще exact. Про нодовский детект Win32SVKP.A в курсе ?

Товарищи, да сделайте кто-нибудь уже тест - возьмите неизвестные ноду пакеры и упакуйте ими файлы-пустышки. Потом и посмотрим - на сколько процентов из эвристик зависит от знаниянезнания пакера.

За написание новых вирей и добавления сигнатур в базу? Подозреваю, что именно так и есть.

ути-пути.

про написание вирусов - верный признак исчерпания других аргументов. браво. наверное на этом обсуждение можно и свернуть.

Добавлено спустя 4 минуты 21 секунду:

Ой, да что ж это такое. Ведь врете товарищи, без зазрения совести. К чему, ей-богу? Совершенно случайно нашелся готовый исходник, палящийся эвристикой НОДа. Добавил в начало твой безобидный код - результат смотри сам. Эмулится на ура. А nop при том, что nod эмулирует только циклы меньше fffffff итераций, а если итераций больше и он не пустой (т.е. даже с nop) - он его пометит как UnknownHeur, что очень даже правильно.

Конечно, врут! NOD демонстрирует работу эвристики на этом файле,

а Каспер, естественно, молчит - ну нет ведь у него, бедолаги, эвристики, нет.

жесть какая ))

А что должен был Каспер сказать на ТАКОЙ (если итераций больше fffffff и он не пустой) файл ? Троян ? Афигеть.

Граждане, вы определитесь все таки уже как-то ! Если в вашем представлении суть эвристика заключается в том, чтобы ругаться на чистые файлы, то я прям не знаю ...

И вообще, к чему вся эта лирика, если KAV прямым детектированием, ручками, ловит ГОРАЗДО больше, чем нод со своими эвристиками ?

[Николай Терещенко 0]

Есть тест пакеров. По нему видно что нод определяет пакеры, довольно хорошо, однако можно и лучше. Если кто не в курсе, вот: http://www.anti-malware.ru/doc/packers_support_08.2006.pdf

(конечно в методике есть пробелы, но тем не менее тест дает общее представление о подходах).

Мое мнение о Ноде и Кав:

- Каждый из подходов детекта упакованных вирусов имеет право на жизнь;

- Подход Нода дает возможность детектить даже вирусы запакованные неизвестным ему пакерам, но естественно его результат не 100% (см. ссылку выше);

- Подход Кав дает возможность детекта вирусов запакованных известными ему пакерами с вероятность 100%, пакеров он знает много. Но все же есть неизвестные ...

По результатам теста пока впереди Кав, это факт который проверен. Что будет дальше - будем тестировать, узнаем.

А вообще тема о скорости антивирусов. :wink: