Doctor_Petrov

COMODO Cleaning Essentials: новый принцип обнаружения вирусов

В этой теме 18 сообщений

Недавно вычитал в новостях на Софтодроме

Компания COMODO выпустила бета-версию бесплатной программы Cleaning Essentials (CCE), использующей принципиально новый механизм выявления вирусов и других зловредов, причем этот механизм сразу же вызвал у некоторых из производителей антивирусного ПО недовольство.

Принцип работы механизма обнаружения вирусов, используемый в COMODO Cleaning Essentials, называется DACS (распределенное и совместное сканирование). Работает DACS так:

1. Сначала подгружаются (при первом запуске ССЕ, порядка 80 Мб) "белые списки" хеш-сумм (снимков) уже проверенных программ и важных файлов известных поставщиков. Это делается для того, чтобы снизить нагрузку на сервера COMODO при последующей он-лайн проверке системы. Потом обновления будут происходить редко - только при добавлении в программу списков новых, проверенных вендоров.

2. Затем при нажатии кнопки "Сканирование" начинается сканирование системы и сравнение контрольных сумм (снимков) проверяемых файлов с теми, что уже были закачены и проверены на валидность серверами Comodo. В случае нахождения неизвестных ССЕ файлов, автоматически (в режиме он-лайн) происходит их проверка по нескольким десяткам антивирусов разных производителей, и на основании этого выносится вердикт - безопасен проверяемый файл или нет.

3.Если файл опасен, делается его снимок и отправляется в базу Comodo, чтобы другому пользователю при сканировании его компьютера можно было бы сразу сообщить, что это зловред.

Это и есть функция DACS (распределенное и совместное сканирование).

Обратите внимание на принципиально важный момент: проверка неизвестного ССЕ файла производится не на серверах AV-вендоров, а на компьютерах других пользователей, имеющих лицензионное антивирусное ПО других производителей и одновременно с этим участвующих в программе ССЕ. Таким образом, DACS является только механизмом доставки и получения; фактически, DACS создает P2P сеть между пользователями программного обеспечения Comodo и отдельными добровольцами, работающими со службой DACS.

На форуме COMODO для разьяснения принципа работы DACS приводится такой пример:

Ну например, у вас на компьютере стоит антивирус от Comodo, а у вашего друга из Узбекистана стоит антивирус Касперского. Вы подозреваете, что у вас один файл с вирусом. Тогда Вы просите вашего друга из Узбекистана проверить этот файл на вирусы на своем компьютере и отсылаете его к нему. Он проверяет и сообщает вам результаты сканирования. И также он (ваш друг из Узбекистана) может попросить проверить его сомнительный файл у вас на ПК антивирусом Comodo и сообщить ему результаты. Причем Лицензия антивируса Касперского у вашего друга проплачена. Все это будет происходить в автоматическом режиме и практически мгновенно при сканировании вашей системы. Обнаружен неизвестный файл, он сразу же отсылается другому пользователю системы DACS на проверку...

Представьте себе теперь, что это будет во всемирном масштабе, с неопределенным подмножеством компьютеров.... Тогда вирусы будут обречены, так как очень быстро будут детектиться в этой глобальной антивирусной сети и в написании вирусов просто со временем не будет смысла.

В чем нарушение здесь Лицензионных соглашений производителей других антивирусов? Вы что, не имеете право делиться результатами сканирования с другими людьми? Ни в одном Лицензионном соглашении такого нет. Вы же не будете запрещать трафик, например, Skype у вас на компьютере, если решили его установить и использовать? А ведь не секрет, что Skype использует ваши каналы для подключения других пользователей между собой (принцип peer-to-peer, P2P). А пиринговые файлообменные сети, может их тоже запретим?!

Это общий принцип DACS как распределенного и совместного сканирования. Конечно, эта система будет претерпевать изменения со временем, но сам принцип...

Идея хорошая, но как всегда, в погоне за наживой, некоторые вендоры антивирусов будут стремиться поломать эту систему, хотя некоторые уже отнеслись к этому с пониманием.

Неудивительно, что некоторые из разработчиков антивирусных решений уже высказали по отношению к DACS, мягко выражаясь, недовольство, ведь заложенный в этой системе принцип позволяет каждому из пользователей COMODO Cleaning Essentials использовать для проверки файлов любой (в идеале) из имеющихся в мире антивирусов, не платя при этом их разработчикам ни копейки. Разве это справедливо?

А теперь посмотрим на это же с другой стороны - глазами пользователя: разве это не революционное решение - создать Глобальную антивирусную сеть, в которой вирусы будут обречены, так как выявляться в ней за счет обьединения потенциала всех антивирусных компаний они будут очень и очень быстро?

А что думаете Вы по этому поводу?

Оригинал статьи здесь http://news.softodrom.ru/ap/b9191.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут на мой взгляд есть несколько спорных моментов:

1. Хроническое неприятие пользователей устанавливать галочки на функциях "отправить что-либо" "присоединиться к чему-либо" и т. д.

2. Возможность недовольства/противодействие со стороны других вендоров.

3. И самое главное, вот система заработала, причём хорошо заработала, причём прославилась на весь мир, да так что весь мир её установил, отказавшись от других антивирусов! И что тогда???)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Руткиты оно находить вряд ли будет...

Так находить как раз не только оно будет. К тому же модификация "руткитом" файлов системы по идее обнарудится при очередном сравнении "снимков"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
, отказавшись от других антивирусов!

не откажутся :) т.к. работает эта программа за счет других антивирусов, работающих у пользователей - не будет их, не будет и дакса ;)

хотя некоторые уже отнеслись к этому с пониманием

интнресно кто :)

сравнении "снимков"

каких?

работать все это будет только при наличие сети :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
работать все это будет только при наличие сети

ну там вроде как "Сначала подгружаются (при первом запуске ССЕ, порядка 80 Мб) "белые списки" хеш-сумм (снимков) уже проверенных программ и важных файлов "

Вообще мне показалось что статья отдаёт неким налётом "бредоватости" что-ли, хотя COMODO вроде и серьёзный игрок. Собственно поэтому я и хотел услышать мнение других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А что думаете Вы по этому поводу?

Создание глобальной антивирусной сети - очень хорошо. Но со временем IMHO юристы ав-компаний внесут поправки в лицензионные соглашения с пользователями, в которых последним будет запрещено участвовать на бесплатной основе в DACS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да это я читал, я даже как то с дуру устанавливал сей продукт, но всё же сторонников у него тоже довольно много, хотя может из-за халявности целой линейки Комодвских продуктов. Кстати ведь и эта прога тоже своего рода эксплуатирует другие антивирусы не тратясь на них))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Создание глобальной антивирусной сети - очень хорошо. Но со временем IMHO юристы ав-компаний внесут поправки в лицензионные соглашения с пользователями, в которых последним будет запрещено участвовать на бесплатной основе в DACS.

Во-первых, даже при наличии таких поправок не представляю методы контроля за их соблюдением...

Во- вторых, если такая система покажет высокую эффективность, при полной бесплатности, это однозначно продвинет на рынке продукт и отбросит назад вендора не принимающего в ней участия. Не так давно публиковались данные соц. опроса по которым более 50% европейцев не собираются продлевать лицензии на купленные продукты... Так, что IMHO весь мир куда-то движется.

А на мой взгляд разработка очень привлекательна...

Продукт скачал, обновление заняло 3-4 мин, выборочное сканирование ОСи (15Гб) заняло 6,5 мин. Запущенный KillSwitch очень информативен.

Устанавливать весь Comodo IS нетороплюсь, а как сканер CCE очень привлекателен. Получается, что это что типа клиента от Вирус-инфо только более глобального (в перспективе).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я думаю что некоторые вендоры могут быть даже не против этой технологии, при условии расшаривании накопленной базы.

Это может быть интересно не самым успешным представителям антивирусной индустрии...

Но, скажем так, "Среднячки" и "Лучше" вряд ли будут довольны и спустят это на тормозах...

Как вариант, я вижу такое решение: Выделение CCE в отдельный бренд, с совместной разработкой всеми ведущими разработчиками отрасли, соответственно и общей же накопленной базой. Это, как по мне, поднимет общий уровень детекта у всех разработчиков-участников, и практически не скажется на популярности того или иного участника в отдельности. Так же вступление в эту программу будет желанным для разработчиков именно в счёт повышение эффективности. Кнешно за место под солнцем придётся если не бороться, то по крайней мере прикладывать к этому усилия...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Задетектим комод как фейк-ав и вся любовь.

P.S. Ничего революционного тут нет. Гуглите Immunet.

Таким образом, DACS является только механизмом доставки и получения; фактически, DACS создает P2P сеть между пользователями программного обеспечения Comodo и отдельными добровольцами, работающими со службой DACS.

---

Вы подозреваете, что у вас один файл с вирусом. Тогда Вы просите вашего друга из Узбекистана проверить этот файл на вирусы на своем компьютере и отсылаете его к нему.

Это называется распространение вредоносных программ. Под суд пойдут все дружно - и Комодо, как организатор и юзеры, как исполнители :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это называется распространение вредоносных программ.

Я вот тоже не понял как осуществляется проверка моего вируса пользователем из Узбекистана? Не письмо же каждый раз писать. А если прога автоматически рассылает вирус, в надежде что его Каспер определит заразу, это по меньшей мере странно... А если не определит? Что будет с его компом? это какая-то рассылка вирусов получается! :banned:

А если нет, то это обычный "репутационный сервис" выходит, ничего нового тут нет.Chekm может вы проясните этот момент если опробовали уже прогу, больно любопытно :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Задетектим комод как фейк-ав и вся любовь...

- да на здоровье! и возглавите движение "неприсоединившихся"

Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

Chekm может вы проясните этот момент если опробовали уже прогу, больно любопытно :huh:

Т.к. комп чистый, программа отработала как сканер... ничего никуда не посылалось... так, что пока ничего сказать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

{чешет подбородок} я бы сказал, что уровень фолсов подрастет в первую очередь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это называется распространение вредоносных программ.

Я надеюсь, что если проект не накроется медным тазом, то в будущем(хочется верить что в ближайшем) при этом продукте будет реализована какая-нибудь песочница... иначе да...дело может обернуться и эпидемией...

Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

Даже free-вендоров нужно будет чем-то заманить... За "просто так" никто ничего делать не будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По-моему, на большинство вопросов в этой теме CEO Comodo уже ответил две недели назад:

http://forums.comodo.com/news-announcement...73641#msg473641

BTW

I heard that some guys claim that the AV industry is working towards creating a "realtime sharing" and claims that its difficult to achieve.

Well...2 ways to achieve that...either share the samples or the results...They both achieve the same purpose for the end users.

DACS is available to any AV company for them to use. We will give them a license for free! And run the service for them for free

Also I heard that someone says that we don't want to spend money and don't want to create our own signatures hence we launched DACS.

My answer: Any AV company can send us their samples and we will generate the signatures for them for FREE! Yes, we will take on the cost of analysing and generating signatures for them for free!

edit:

And some people said: Comodo should give its malware samples to other AV vendors. More than happy to do that (all 50 Terabyte of it!). We will even work with them to give them access to our database in realtime! (PS: we already share it with many AV providers..but this is a slow process and not realtime).

Melih

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По-моему, на большинство вопросов в этой теме CEO Comodo уже ответил две недели назад:

My answer: Any AV company can send us their samples and we will generate the signatures for them for FREE! Yes, we will take on the cost of analysing and generating signatures for them for free!

Да он же упоротый ! :)

Как это индуистское чудо собирается делать сигнатуры для KAV - физически, я имею в виду, базами под движок ? :facepalm:

Не говоря уже о том, что эээ как бы это помягче сказать - отсутствует вера в способности комодовских аналитиков анализировать что-то лучше других :rolleyes:

В общем, популистский бред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...
    • AM_Bot
      На вопросы Anti-Malware.ru любезно согласился ответить Дмитрий Мананников, бизнес-консультант по безопасности. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее