Перейти к содержанию
Ego1st

Бета-версия нового ядра Dr.Web

Recommended Posts

Ego1st

"Доктор Веб" выпускает бета-версию антивирусного ядра нового поколения[/b]

29 декабря 2007 года http://info.drweb.com/show/2999/ru

Компания "Доктор Веб" объявляет о начале бета-тестирования нового поколения антивирусного ядра Dr.Web (в бета-версии ему присвоен номер 4.33.44). В новой версии реализован уникальный алгоритм несигнатурного обнаружения вредоносных кодов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web.

Новая технология, разработка которой велась в компании в течение последних 10 месяцев, дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. "Наши аналитики и разработчики, безусловно, вывели антивирусную технологию на качественно новый уровень развития, - отмечает Борис Шаров, генеральный директор компании "Доктор Веб". - Мы давно изучали возможность использовать наши новые наработки в дополнение к традиционным средствам детектирования вирусов, в том числе неизвестных, так как это позволяет существенно повысить защищенность наших клиентов от новых, еще не известных вирусов. Мы рады, что смогли преподнести такой подарок нашим пользователям в канун Нового года!"

Бета версия доступна всем желающим. Для скачивания этой версии необходимо зарегистрироваться в качестве участника программы бета-тестирования антивируса Dr.Web в разделе бета-тестирования (http://beta.drweb.com/) интернет-сайта компании "Доктор Веб".

Внимание! Вредоносные коды, которые обнаруживаются с применением новой технолоии, имеют в названии расширение ".Origin".

Ваши замечания Вы можете сообщать в систему учета ошибок http://bugs.drweb.com/. Ложные срабатывания просьба высылать на адрес VMS@drweb.com - Службы вирусного мониторинга.

кто что скажет интересного?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Мы рады, что смогли преподнести такой подарок нашим пользователям в канун Нового года!

Спасибо, конечно, но, по-моему, не совсем правильное время с точки зрения рекламного шума.

Впрочем, для беты вообщем-то пофиг, чем меньше народу скачает,тем меньше криков будет.

Жаль только, что до своего раздолбайского компа, где можно делать всё, мне лениво будет добраться раньше послепраздников. :) И жаль, что не люблю VM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
не совсем правильное время с точки зрения рекламного шума.

Для рекламного шума, может быть, и неудачное время.

Зато очень удачное для тестирования - народу нечем будет заняться - движок хоть погоняет в праздничные дни. Всего-то надо - запустить сканер и можно идти дальше отдыхать, а потом собрать результаты :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
движок хоть погоняет в праздничные дни. Всего-то надо - запустить сканер

Т.е. я правильно понимаю, что, всё это включает и несигнатурный сканер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Заинтересовать смогли.Жаль,что не любитель бет из-за того,что у меня многопользовательский РС и "нагружать" кого-то несрабатываниями не хочу.Очень надеюсь на релиз.Выяснилось,между прочим,что фиря мне безполезна,так как всёравно приходится давать пользователям права нажать на "разрешить",раз уж комп даю не только потрогать,а они это всегда нажимают.Отключил.Но в роутере у меня фиря ещё с другим принципом.Ещё пару вещей в проактивке невозможно на многопользовательском РС включать,так как не дадут другим работать.Жаль,если от защиты Registry в том виде,как в КАВе она,придётся отказываться по причине смена АВ если.

Можно что-нибудь об этой новой Вебовской технологии сказать?Или с чем её можно сравнить?Было б неплохо,если там будет что-нибудь невзламываемое,что бы неизменённые файлы не проверять включать.Так как у меня гигабайты гарантировано безвирусного материала:свои видики,конвертирванная с CD музыка и куча другого подобного,+ свежеинсталлированный Виндовс и все его эти файлы,пока неизменённые,тоже без вирусов с гарантией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Т.е. я правильно понимаю, что, всё это включает и несигнатурный сканер?

Сканеры можно использовать и релизные. Никаких особенных сканеров под новую технологию выпускать не планируется. Если пойманный образец заканчивается на .origin (например, Trojan.Downloader.12345.origin), значит, сработала новая технология.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а что за новая технология кто-нибудь раскажет? что там напридумывали?

Ps теме переименуйте кто-нибудь, а то незаметил что не влезло!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
а что за новая технология кто-нибудь раскажет? что там напридумывали?

Новая технология, реализованная в движке, не является сигнатурной и не является эвристической. Основана на поиске "похожих" вирусов на ужЕ имеющиеся в базе в виде чётких сигнатур. Говорят, что в будущем, возможно, данный детект (*.origin) по весу будет приравнен сигнатурному детекту, т.е. специальные сигнатуры для вирусов, которые и так детектятся как *.origin, выпускаться не будут. Вследствие этого ожидается также то, что ложных срабатываний у этой технологии будет крайне мало. Как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Полиморфики остаются трудными?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Полиморфики остаются трудными?

Не совсем понял вопрос. Вопрос в том, будут ли полиморфики ловиться этой технологией? Пока я видел визуально хорошие показатели по недобавленным в базу троянам. БОльшего пока сказать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

хм.. интересно т.е. детект по некоторому совпадению кода..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Полиморфики остаются трудными?

Может и не по теме, но полиморфики - это отсутствие сигнатуры. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Скопировали Genotype? Поздравляю! :)

ЗЫ: Пожалуйста, попросите БШ, чтобы наконец выпустили хотя бы что-то рабочее. А то шиелд - в бетах, гейт - в бетах. Это новое чудо - тоже в бетах. :(

Добавлено спустя 2 минуты 34 секунды:

Полиморфики остаются трудными?

Может и не по теме, но полиморфики - это отсутствие сигнатуры. :)

А как же их тогда ловят обычно? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
А как же их тогда ловят обычно?

Понятия не имею.

Я просто читал и разместил объяву. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Поэтому я и спросил про них:будет ли этой технологией полиморфный ловится после его изменения?Исходя из того,что в первом варианте он,неважно как,однозначно за вирус детектировался.Я вовсе не собиаюсь эту технологию засыпать,так как полиморфики считаются трудными(?).Охота узнать сегодня то,что завтра будем знать,так как мне опасность может только от новых вирусов угрожать,их же "изобретение" ускоряется и из-за этого,в абсолютном соотношении,всё больше не детектируемых сигнатурой виров "на свободе".Защита от таких всё больше в цене.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Inkogn

Ваши желания, по большому счёту, по-моему, вряд ли реализуемы программно.

(Если я правильно понял).

Только всеобщее образование, как в 17-ом году спасёт нас. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Вобщем то это аналог Нодовского Behaves like...

Но как всегда "Супер пупер уникальное" Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Alex, Вы до сих пор не любите веба?

Ничто не учит?

Удивлён откровенно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Почему не люблю то?

И что меня должно учить? А главное как?

Против технилогии я ничего не имею а только ЗА.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Может и не по теме, но полиморфики - это отсутствие сигнатуры.

На полиморфиков тоже делают сигнатуры, только такие сигнатуры содержат в себе не куски кода, а некие правила, написанные на специальном языке. При выполнении этих правил (условий) считается, что файл заражён таким-то полиморфиком.

А то шиелд - в бетах, гейт - в бетах. Это новое чудо - тоже в бетах.

А потом как всё выскочит, как выпрыгнет... :lol:

т.е. детект по некоторому совпадению кода..

Где-то так в общих чертах.

Добавлено спустя 5 минут 58 секунд:

Вобщем то это аналог Нодовского Behaves like...

Насколько я смог перевести название этой НОДовской технологии, в ней всё же рассматривается _поведение_ потенциальных вирусов, т.е. поведенческая технология, расширение эвристика. Origin же эвристиком не является, т.к. является расширением сигнатур, позволяющим ими детектить больше зверья с очень высокой вероятностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Inkogn

Ваши желания, по большому счёту, по-моему, вряд ли реализуемы программно.

Не проверять неизменённые?Скажем,если просто была бы возможность папки со всем,что в них,которые хочет под эту технологию пользователь внести,проверять только,если их чексумма изменилась.Нужно тогда только эту чексумму охранять.Неро стольник мегабайтов своей проги проверяет пару секунд на соответствие с ориганалом своим Verifier'ом.АВ эту прогу проверяет больше полминуты (без технологий).Скажем,если АВ папки,которые пользователь захотел,проверять по чексумме,то достаточно эту чексумму любой сложности хранить пользователю в любом месте в любом документе,и тогда практически невозможно её никому изменить.Конечно,отдать её хранить АВ-у,ни о чём больше не думая,тоже должно быть возможным,так как автоматика удобней всем.

Проверять 1ГБ или 10,разница есть.Стараются все найти компромисс между скоростью проверки и качеством (глубиной).Мне не время жалко,а эта безполезность проверки никогда не меняющегося,или если заведомо чистое добавляется и достаточно чексумму заново пересчитать.А остальное проверять во всю глубину по всем знаниям,будет быстрее и качественнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Граждане, плз, поясните. Вот БШ говорит, что технология несигнатурная, а Валерий Ледовской говорит, что:

Основана на поиске "похожих" вирусов на ужЕ имеющиеся в базе в виде чётких сигнатур.
, то есть сигнатуры используются. Или нет? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

КАВ,благодаря запрету через "контроль целостности приложений",уже несколько раз не давал неизвестной причине загрузить файлы из C:ProgrammeInternet ExplorerConnection Wizard.Эти логи,что доступ для IE запрещён был (по умолчанию проставлено) на эту папку,вдруг появлялись уже несколько раз при посещении одного сервера.Эта новая Вебовская бета была бы теоретически к подобному способна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

т.е. поясните для дураков (для меня). Эта штуковина позволяет ловить вирье одного семейства? Т.е. типа зная одного Варезова она может поймать и всех новых?

интересно было бы потестить, если кто займется поделитесь результатами.

А насчет всего на свете в бетах, они небось все для пятерки своей берегут. Данилов на инфосекьюрити говорил, что у них спор в компании - то ли добавлть новые фишки в четверку продолжая наращивать индекс в версии. ТО ли сразу все в пятерке миру преподнести. Сам Данилов говорил, что он лично за второй вариант.

Прототип пятерки на цебит повезете?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Данилов на инфосекьюрити говорил, что у них спор в компании - то ли добавлть новые фишки в четверку продолжая наращивать индекс в версии. ТО ли сразу все в пятерке миру преподнести. Сам Данилов говорил, что он лично за второй вариант.

Очень зря,если так.Чем мне,кроме остального,КАВ тогда понравился,что не вынужден пользователь с купленной и быстро устаревающей версией сидеть,как у меня с другим было,а обновлялась и вся версия по последнему слову.Это плюс против новых угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×