Перейти к содержанию

Recommended Posts

Kapral
Доколи мы будем искать что-то идеальное в этом мире? Идеальный софт, идеальную машину, идеальный телефон, идеальную работу, идеальных людей и так далее... Доколи будем вспоминать про 100% детекта?

Ну кому кому, а математику должно быть привычно оперировать идеальными предметами :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
математику должно быть привычно оперировать идеальными предметами biggrin.gif

Не знаю, какому математику это привычно. Мир несовершенен :) Математики как раз с лёгкостью могут показать несовершенство объектов, за что их обычно и бьют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тем не менее, на сайте Dr.Web прочитал следующее: "FLY-CODE — не имеющая аналогов технология универсальной распаковки, которая позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками. Уникальная технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще неизвестные вирусной базе Dr.Web. Эвристический анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам. Улучшено! в версии 8.0 расширены возможности превентивной защиты компьютера от заражения путем блокирования автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий."Я не могу самостоятельно проверить насколько достоверны эти утверждения. Остается верить наслово.

Не стоит никому верить на слово. Если в рекламных материалах пишут по супер-пупер технологии "нового поколения, не имеющие аналогов в мире ..." то стоит хотя бы проанализировать что за этим стоит. В случае Dr.Web речь идет о файловой эвристике и поддержке большего количества упаковщиков. Да, они всегда этим славились, лет 5-7 назад тоже самое и писали о своем антивирусе. Только время уже прошло. Уже Путина на 3-й срок переизбрали, а тут про файловые эвристики для черных списков ...

интересно, а какие антивирусы - не Legacy?Если уж приводить в порядок терминологию, то собственно антивирус - сама по себе Legacy-технология, ибо сейчас упор делается на профилактику и проактивку, коей вайтлистинг и является, собственно by design так сказать...А любой антивирусный движок будет как раз той самой технологией блеклистинга из прошлого. В том числе и движок самого Комода. Ибо вся профилактика - это уже обвес антивирусного ядра той самой проактивкой в самом разном исполнении.

Так вы сами и ответили на вопрос. С моей точки зрения, всякий антивирус, который полагается только на черные списки, является Legacy. Ну нереально уже по 200к самплов в день добавлять в базы. Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день. Когда вирья было мало, то пропуск пары десятков в день погоды особой не делал, вероятность была ниже, чем в случае пропуска 4к в сутки.

Поэтому современный антивирус должен работать по черным и белым спискам (одно дополняет другое) + иметь мощный поведенческий анализ (HIPS) посередине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Доколи будем вспоминать про 100% детекта?
Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день.

Из истории вирусов

а) Сначала был вирус(речь в принципе о временах айдстест и т.п.), его не ловил никто - 100% пропуск у всех, потом добавили в базу

б) Стали появляться технологии эвристиков, эмуляторов и т.п. - 50% детект (точно не знаю, но предположим так)

Из этого возникает вопрос, а сейчас, на современном уровне развития антивирусов и вирусов детект упал (по сравнению с первыми эвристиками) или нет? Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Около того, но не берусь сказать точные числа, у всех по-разному. Количество сэмплов увеличивается не за счет появления уникальных (в исходном виде), а за счет перепаковок с использованием технологий морфинга. И вот тут уже надо смотреть на эффективность проактивных технологий: эмуляторы + эвристики + всякое подобное. Конечно нельзя забывать и про "первый фронт" - веб-антивирусы, черные списки урлов, фаерволы и так далее.

Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Капрал - второй на очереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании

sww как всегда четко констатировал факты. Наверное кто-то может после осознания этих слов потерять жизненные ориентиры - 100% не существует, а черные списки тоже не работают. Как жить дальше ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi
по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Не стоит драматизровать. Имела место попытка всего лишь подгадить бывшему работодателю. :D И в дальнейшем предлавгаю все посты sww в темах Dr.Web расценивать как враньё, клевету и провокацию. :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение DrWeb 9.0 выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26723

Что касается темы топика, то 9-ка снимает ряд претензий по которым вся продукция Доктор Веб относилась к Legacy антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×