Перейти к содержанию

Recommended Posts

Kapral
Доколи мы будем искать что-то идеальное в этом мире? Идеальный софт, идеальную машину, идеальный телефон, идеальную работу, идеальных людей и так далее... Доколи будем вспоминать про 100% детекта?

Ну кому кому, а математику должно быть привычно оперировать идеальными предметами :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
математику должно быть привычно оперировать идеальными предметами biggrin.gif

Не знаю, какому математику это привычно. Мир несовершенен :) Математики как раз с лёгкостью могут показать несовершенство объектов, за что их обычно и бьют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тем не менее, на сайте Dr.Web прочитал следующее: "FLY-CODE — не имеющая аналогов технология универсальной распаковки, которая позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками. Уникальная технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще неизвестные вирусной базе Dr.Web. Эвристический анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам. Улучшено! в версии 8.0 расширены возможности превентивной защиты компьютера от заражения путем блокирования автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий."Я не могу самостоятельно проверить насколько достоверны эти утверждения. Остается верить наслово.

Не стоит никому верить на слово. Если в рекламных материалах пишут по супер-пупер технологии "нового поколения, не имеющие аналогов в мире ..." то стоит хотя бы проанализировать что за этим стоит. В случае Dr.Web речь идет о файловой эвристике и поддержке большего количества упаковщиков. Да, они всегда этим славились, лет 5-7 назад тоже самое и писали о своем антивирусе. Только время уже прошло. Уже Путина на 3-й срок переизбрали, а тут про файловые эвристики для черных списков ...

интересно, а какие антивирусы - не Legacy?Если уж приводить в порядок терминологию, то собственно антивирус - сама по себе Legacy-технология, ибо сейчас упор делается на профилактику и проактивку, коей вайтлистинг и является, собственно by design так сказать...А любой антивирусный движок будет как раз той самой технологией блеклистинга из прошлого. В том числе и движок самого Комода. Ибо вся профилактика - это уже обвес антивирусного ядра той самой проактивкой в самом разном исполнении.

Так вы сами и ответили на вопрос. С моей точки зрения, всякий антивирус, который полагается только на черные списки, является Legacy. Ну нереально уже по 200к самплов в день добавлять в базы. Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день. Когда вирья было мало, то пропуск пары десятков в день погоды особой не делал, вероятность была ниже, чем в случае пропуска 4к в сутки.

Поэтому современный антивирус должен работать по черным и белым спискам (одно дополняет другое) + иметь мощный поведенческий анализ (HIPS) посередине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Доколи будем вспоминать про 100% детекта?
Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день.

Из истории вирусов

а) Сначала был вирус(речь в принципе о временах айдстест и т.п.), его не ловил никто - 100% пропуск у всех, потом добавили в базу

б) Стали появляться технологии эвристиков, эмуляторов и т.п. - 50% детект (точно не знаю, но предположим так)

Из этого возникает вопрос, а сейчас, на современном уровне развития антивирусов и вирусов детект упал (по сравнению с первыми эвристиками) или нет? Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Около того, но не берусь сказать точные числа, у всех по-разному. Количество сэмплов увеличивается не за счет появления уникальных (в исходном виде), а за счет перепаковок с использованием технологий морфинга. И вот тут уже надо смотреть на эффективность проактивных технологий: эмуляторы + эвристики + всякое подобное. Конечно нельзя забывать и про "первый фронт" - веб-антивирусы, черные списки урлов, фаерволы и так далее.

Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Капрал - второй на очереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании

sww как всегда четко констатировал факты. Наверное кто-то может после осознания этих слов потерять жизненные ориентиры - 100% не существует, а черные списки тоже не работают. Как жить дальше ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi
по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Не стоит драматизровать. Имела место попытка всего лишь подгадить бывшему работодателю. :D И в дальнейшем предлавгаю все посты sww в темах Dr.Web расценивать как враньё, клевету и провокацию. :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение DrWeb 9.0 выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26723

Что касается темы топика, то 9-ка снимает ряд претензий по которым вся продукция Доктор Веб относилась к Legacy антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×