Первые скрины работы нового эвристика кава... - Страница 3 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
TiX

Первые скрины работы нового эвристика кава...

Recommended Posts

Valery Ledovskoy
Шучу.

Да я привык уж тут и не к таким шуткам :)

Добавлено спустя 46 секунд:

Валерий это я про каспера если чё=))

А, теперь понятно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Да, это конечно очень хорошая идея добавить касперу эвристик. Сейчас ещё к сигнатурным фолсам, добавятся фолсы эвристика. Получится термоядерный антивирус. :lol:

Кем же теперь надо быть, чтоб пользоваться продукцией Касперского? Наверное, не меньше чем gold beta testers. Хотя и у них на форуме проблем куча. :(

Лучше довели да толку версию 6.0 Да и Виста на подходе а готового решения нет. :twisted:

А они эвристик, версия 7.0…..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

2 Иван: у Каспера и так репутация не особенно скоростного.. :) думаю, вам это известно.. ;) а ведь аппетиты у песочницы солидные. :D Norman - самый тяжелый антивирус ;) Хотя, возможно, есть средства оптимизации - у NOD вроде как тоже эмулятор. Быть может, песочница там вообще не используется для эмуляции.

Добавлено спустя 4 минуты 38 секунд:

2 Пит: хм.. вероятно. Вместо двух фолсов в месяц будет четыре :D Критично, вы правы.. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

А зачем четыре, хватит и одного IO

И гуд бай америка гуд бай…. :lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Зря, IMHO, песочницу организовали (если там и впрямь эмулятор)...

Nick, так Вы считаете, что эмулятор и песочница одно и тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я привык считать, что да: выделение определенной области в оперативной памяти и запуск там вируса, после чего анализ действий, которые он пытается выполнить. Еще я это называю динамическим эвристиком. А еще бывает другая технология, как в DefenseWall, но тоже называемая песочницей. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Странно мне. Хоть кто-нить из тех, кто высказался по теме у себя на компе его гонял? Ну вот. Откуда тогда информацию о фолсах, проблемах, тормозах? И песочница здесь при чем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

я только говорил, что вопрос фолсов и тормозов для эвристика интересный:) интересно есть они или нет. Ждал, что тот кто "гонял" рано или поздно расскажет нам о впечатлениях. Наездов на КАВ не ждал:)

далее было бы очень круто и интересно мне, как не очень продвинутому лоху, если Storm или кто-то еще расскажет подробно разницу между эмулятором и песочницой (Sandbox)

Добавлено спустя 5 минут 19 секунд:

Лучше довели да толку версию 6.0 Да и Виста на подходе а готового решения нет. :twisted:

А они эвристик, версия 7.0…..

Версия 6.0 вполне толковая

бета версия под висту как известно уже есть и когда пользователей висты станет хоть сколько-нибудь значимое колво это будет уже давно не бета, а релиз

так шо не надо излишне краснеть лицом по этому поводу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis
А зачем четыре, хватит и одного IO

И гуд бай америка гуд бай…. :lol::lol::lol:

Мистер, а вы скорость работы случайно по скриншотам не мерили, и температуру HDD во время проверки?

Поделитесь замерами, думаю они будут точнее.

Её богу, обижайтесь нет, но мне такие чуваки мосек напоминают. :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Странно мне. Хоть кто-нить из тех, кто высказался по теме у себя на компе его гонял? Ну вот. Откуда тогда информацию о фолсах, проблемах, тормозах?

Ну о фолсах я знаю не понаслышке :(

Проблемы были с обновлениями, и не один раз.

Версия 6.0 вполне толковая

Так вполне, или толковая. Это два разных понятия. :?

бета версия под висту как известно уже есть и когда пользователей висты станет хоть сколько-нибудь значимое колво это будет уже давно не бета, а релиз

И когда-же произойдет сие чудо :) Думаю про это и разработчики не знают :)

так шо не надо излишне краснеть лицом по этому поводу

Не буду. Моськи ведь не краснеют, а только гавкают, за широкими плечами. :wink:

Мистер, а вы скорость работы случайно по скриншотам не мерили, и температуру HDD во время проверки? Поделитесь замерами, думаю они будут точнее.

А где я писал про скорость?

Мне скорость не важна. Она важна NODу и кроликам :)

Её богу, обижайтесь нет, но мне такие чуваки мосек напоминают.

А моськи это кто, фанаты? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Коллеги, во-первых, спокойнее, пожалуйста, а во-вторых, напоминаю, что релиз версии Касперского для Vista планируют выпустить одновременно с самой Vista ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
далее было бы очень круто и интересно мне, как не очень продвинутому лоху, если Storm или кто-то еще расскажет подробно разницу между эмулятором и песочницой (Sandbox)

Согласен ещё хотелось бы услышать что люди вкладывают в понятие Эвристик и динамический эвристик, а то такое ощущение что почти у всех все разное..

кто-нибудь может поделиться и рассказать что это такое и как работает, только точно..

можно даже ссылками кидаться...

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Чтобы не путаться в эмуляторах и песочницах следует внимательно прочесть эту статью:

http://www.uinc.ru/articles/47/

О Sandbox вродь как и в википедии написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а что Sandbox не являетьс я песочнецей?

за ссылку спасибо=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Я привык считать, что да: выделение определенной области в оперативной памяти и запуск там вируса, после чего анализ действий, которые он пытается выполнить. Еще я это называю динамическим эвристиком. А еще бывает другая технология, как в DefenseWall, но тоже называемая песочницей. =)

Ну, тут принципиальная разница- realtime HIPS на основе песочницы и файловый анализатор на основе песочницы! Вот у Sophos, как бы они не пыжылись назвать свой анализатор HIPS'ом- всё равно не прокатывает!

Добавлено спустя 2 минуты 26 секунд:

а что Sandbox не являетьс я песочнецей?

Собственно, sandbox и есть в переводе "песочница". Но это лишь подход. Правильный вопрос- что именно строится на его основе!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup

Вот что UNIX'овый сканер выдал:

file.unp        SUSPICION       Type_HLLvbs.vbs       SUSPICION       IRC-Worm.IRC.genericrty.exe        SUSPICION       Packed.Win32.CryptExeall.exe         SUSPICION       Backdoor.Win32.VB.gensfw.exe       SUSPICION       Type_Comda3.exe       SUSPICION       Packed.Win32.CryptExeasp.asp       SUSPICION       Trojan-Downloader.JS.genboot.bin       SUSPICION       Type_Boot1.exe           SUSPICION       P2P-Worm.Win32.genexp.htm       SUSPICION       Exploit.VBS.Phelscr.js            SUSPICION       Exploit.HTML.SecurityBreach.3adasdf.exe    SUSPICION       Packed.Win32.PePatch.dknotepad.exe  SUSPICION       Type_Comsvhost.exe    SUSPICION       Packed.Win32.Klone

Это имеет отношение к теме или это что-то другое? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis

>Ну о фолсах я знаю не понаслышке :(

>Проблемы были с обновлениями, и не один раз.

А теперь пожалуйста скажите у кого их небыло, ни того ни другого!

>Так вполне, или толковая. Это два разных понятия. :?

Очень хорошая сборка, стоит на крайне ответственном участке, всё стабильно. И также Пит не забывайте, что форум это концентрат проблем. Если зайти в больницу то можно пользуясь вашим ходом мыслей, сделать ооооочень далёкие от реальности выводы, и крайне не обнадёживающие по содержанию!

>И когда-же произойдёт сие чудо :) Думаю про это и разработчики не >знают :)

Вы про Билли и его команду?

Сейчас вы можете заюзать Бету которая вполне нормально работает на этой оси. И эта Виста пока не продаётся в России. Плюс, скажите ли много есть антивирей под x86-64? А KIS есть!

>А где я писал про скорость?

Вы сделали слишком далеко идущие выводы из пары скринов. Вот я хотел узнать, может у вас дар...

>А моськи это кто, фанаты? :)

Те кто кричат, лижбы кричать.

Вообще труд людей ценить надо. Люди писали, ночами не спали, идеи вынашивали, творчески реализовывались... а вы, так всё однозначно. "Юзают только Голд Бета Тестеры"...

Голд бета тестеры ЛК миллионными пачками расползлись по всему миру и всё размножаются как мухо-кролики! Ура товарищи! :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Вот что UNIX'овый сканер выдал:
file.unp        SUSPICION       Type_HLL

Это имеет отношение к теме или это что-то другое? :)

2 NickGolovko:

Не подскажите, что же это такое?

А ещё что такое:

123.exe   PROTECTEDvirus.exe       WARNING Virus.DOS.HLLP.Nover.6176

т.е. PROTECTED и WARNING?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
а что Sandbox не являетьс я песочнецей?

за ссылку спасибо=))

Это одно и тоже. Просто я одно и тож 2-мя словами назвал (рус и англ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Demorphis

Всё правильно. :)

А я думаю:- Почему я помешенный на KIS :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Плюс, скажите ли много есть антивирей под x86-64

да помойму немало=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Вот что UNIX'овый сканер выдал:
file.unp        SUSPICION       Type_HLLvbs.vbs       SUSPICION       IRC-Worm.IRC.genericrty.exe        SUSPICION       Packed.Win32.CryptExeall.exe         SUSPICION       Backdoor.Win32.VB.gensfw.exe       SUSPICION       Type_Comda3.exe       SUSPICION       Packed.Win32.CryptExeasp.asp       SUSPICION       Trojan-Downloader.JS.genboot.bin       SUSPICION       Type_Boot1.exe           SUSPICION       P2P-Worm.Win32.genexp.htm       SUSPICION       Exploit.VBS.Phelscr.js            SUSPICION       Exploit.HTML.SecurityBreach.3adasdf.exe    SUSPICION       Packed.Win32.PePatch.dknotepad.exe  SUSPICION       Type_Comsvhost.exe    SUSPICION       Packed.Win32.Klone

Это имеет отношение к теме или это что-то другое? :)

Не это похоже на то что сейчас есть..

Type_ это алерты текущего эвристика.

Остальное - оно .gen - не то..

Добавлено спустя 2 минуты 30 секунд:

123.exe PROTECTED

это ИМХО Password Protected RAR-SFX или нечто подобное

virus.exe WARNING Virus.DOS.HLLP.Nover.6176

Тут точно хз..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Не это похоже на то что сейчас есть..

Type_ это алерты текущего эвристика.

Остальное - оно .gen - не то..

.

Странно это. Почему же тогда под Windows это только планируется?

Что, под Windows базы (движок) другие или как?

Если под UNIX уже есть то, что планируется под Windows, то, имхо, не особо хорошо отрабатывает эвристик:

Scan summary: Files=2215 Folders=114 Archives=2389 Packed=15459 Infected=1735 Warnings=20 Suspicios=47 Cured=0 CureFailed=0 Corrupted=28 Protected=5 Error=0 ScanTime=00:34:32 ScanSpeed=994.547 Kb/s

Т.e. 78% в коллекции распознано сигнатурно.

И 0.02% распознано эвристиком.

О фолсах сказать ничего не могу.

Или имеется ввиду, что будет совершенно новый эвристик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Type_ эт не элерты эмулятора... простой эвристик типо вашего..

а хотят воткнуть эмулятор - сандбокс и не только под винду кста.. с базами проползет Ж)

>Или имеется ввиду, что будет совершенно новый эвристик?

Вот именно.. Нечто среднее между Norman Sandbox, BitDefender HIVE и NOD32...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
а хотят воткнуть эмулятор - сандбокс и не только под винду кста.. с базами проползет Ж)

Ну тогда так и надо было писать в сабже - сандбокс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
    • demkd
      RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
      ---------------------------------------------------------
       5.0
      ---------------------------------------------------------
       o Новый параметр в settings.ini
         [Settings]
         ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
          TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
       
    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
×