Перейти к содержанию
FlyNet

Почему у NOD32 базы данных сигнатур такого малого размера?

Recommended Posts

FlyNet

Почему у нода базы так мало весят? К примеру, у касперского каждые пол дня закачивается по 3-7 мб баз. А у нода за 3 дня набирается максимум 200кб

Не сказывается ли это на качестве защиты? Мне кажется в базах нода тупо всунуты md5 отпечатки вирусни, а в каспере правила, последовательность кода, ну или какие-то средства дополнительные обнаружения ???????????

Так ли оно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Размер обновлений у разных антивирусов свой, главное, чтобы обновления были актуальными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Почему у нода базы так мало весят? К примеру, у касперского каждые пол дня закачивается по 3-7 мб баз. А у нода за 3 дня набирается максимум 200кб

Не сказывается ли это на качестве защиты? Мне кажется в базах нода тупо всунуты md5 отпечатки вирусни, а в каспере правила, последовательность кода, ну или какие-то средства дополнительные обнаружения ???????????

Так ли оно?

Если Вы имеете ввиду КИС то там закачивается столько трафика потому что обновляются не только базы но и другие компоненты анти-вредоносного движка. К примеру такой обьем обновлений дают 3 модуля: антиспам, антифишинг, антибаннер плюс есть еще родительский контроль, а сами обновления баз и у касперских мало весят, где то по 400-500 кб за день.

В нода тоже есть другие обновления отличные от обновления антивирусных баз но обновляются они значительно реже базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FlyNet

перешел на нода. Ошушения приятные. Нет тупых глюков, нет бага загрузки проца на 100 который правят давненько, не отваливается сеть, и еще кучи неприятностей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
saidhon

что удивительно, но у нода дествительно маленькие размером антивирусные базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
что удивительно, но у нода дествительно маленькие размером антивирусные базы.

Размер баз маленький зато значение большое :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
engineer
Почему у нода базы так мало весят?

потому, что НОД- "умная" программа, разчитывающая не толко на добавление "килограмм" баз (как Каспер), но во много разчитывает на эвристику! Енджин у НОД-а один из лучших в мире- запомните это!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И не говорите в приличном обществе - засмеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
engineer
И не говорите в приличном обществе - засмеют.

Друг...я свободный человек, и выражаю свободно свое мнение! Нравится оно другим или нет, это меня не волнует, это проблема других, не моя проблема! Или может быть у меня нет право мнения, раз я пишу в чужом форуме!?

А кто хочет смеятся- будь он здоров, пусть смеется....мне то что!?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jiGan177

у доктор веба тоже маленькие.Зато у касперского здоровенные и куча файлов баз

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Уже размером баз меряются :facepalm:

PS. Смысл в размере баз лишь для тех у кого трафик платный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

engineer

Да делай что хочешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dale Northrop

Dr.WEB опирается на Origin, которая позволяет создавать сигнатуры для детектирования разновидностей семейств одной записью, а также на эвристику.

NOD32 использует такие маленькие базы потому, что детектирование происходит сбалансированно(Threat Seanse): простые сигнатуры, родовые сигнатуры, эвристический детект, HIPS. Я не знаю технических подробностей, но NOD32 издавна славился именно технологией детектирования TS, которая могла детектировать неизвестные угрозы с большим успехом, а значит обычным сигнатурам не отдаётся основная роль в защите. Один из самых эффективных эвристиков. Многие вендоры имеют проактивные средства детекта, но в NOD32 эвристик неотъемлемая часть, а не отдельный модуль. Хотя, может я ошибаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×