Алексей Г.

Чем плох Dr.Web?

В этой теме 60 сообщений

Доколи мы будем искать что-то идеальное в этом мире? Идеальный софт, идеальную машину, идеальный телефон, идеальную работу, идеальных людей и так далее... Доколи будем вспоминать про 100% детекта?

Ну кому кому, а математику должно быть привычно оперировать идеальными предметами :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
математику должно быть привычно оперировать идеальными предметами biggrin.gif

Не знаю, какому математику это привычно. Мир несовершенен :) Математики как раз с лёгкостью могут показать несовершенство объектов, за что их обычно и бьют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тем не менее, на сайте Dr.Web прочитал следующее: "FLY-CODE — не имеющая аналогов технология универсальной распаковки, которая позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками. Уникальная технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще неизвестные вирусной базе Dr.Web. Эвристический анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам. Улучшено! в версии 8.0 расширены возможности превентивной защиты компьютера от заражения путем блокирования автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий."Я не могу самостоятельно проверить насколько достоверны эти утверждения. Остается верить наслово.

Не стоит никому верить на слово. Если в рекламных материалах пишут по супер-пупер технологии "нового поколения, не имеющие аналогов в мире ..." то стоит хотя бы проанализировать что за этим стоит. В случае Dr.Web речь идет о файловой эвристике и поддержке большего количества упаковщиков. Да, они всегда этим славились, лет 5-7 назад тоже самое и писали о своем антивирусе. Только время уже прошло. Уже Путина на 3-й срок переизбрали, а тут про файловые эвристики для черных списков ...

интересно, а какие антивирусы - не Legacy?Если уж приводить в порядок терминологию, то собственно антивирус - сама по себе Legacy-технология, ибо сейчас упор делается на профилактику и проактивку, коей вайтлистинг и является, собственно by design так сказать...А любой антивирусный движок будет как раз той самой технологией блеклистинга из прошлого. В том числе и движок самого Комода. Ибо вся профилактика - это уже обвес антивирусного ядра той самой проактивкой в самом разном исполнении.

Так вы сами и ответили на вопрос. С моей точки зрения, всякий антивирус, который полагается только на черные списки, является Legacy. Ну нереально уже по 200к самплов в день добавлять в базы. Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день. Когда вирья было мало, то пропуск пары десятков в день погоды особой не делал, вероятность была ниже, чем в случае пропуска 4к в сутки.

Поэтому современный антивирус должен работать по черным и белым спискам (одно дополняет другое) + иметь мощный поведенческий анализ (HIPS) посередине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Доколи будем вспоминать про 100% детекта?
Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день.

Из истории вирусов

а) Сначала был вирус(речь в принципе о временах айдстест и т.п.), его не ловил никто - 100% пропуск у всех, потом добавили в базу

б) Стали появляться технологии эвристиков, эмуляторов и т.п. - 50% детект (точно не знаю, но предположим так)

Из этого возникает вопрос, а сейчас, на современном уровне развития антивирусов и вирусов детект упал (по сравнению с первыми эвристиками) или нет? Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Около того, но не берусь сказать точные числа, у всех по-разному. Количество сэмплов увеличивается не за счет появления уникальных (в исходном виде), а за счет перепаковок с использованием технологий морфинга. И вот тут уже надо смотреть на эффективность проактивных технологий: эмуляторы + эвристики + всякое подобное. Конечно нельзя забывать и про "первый фронт" - веб-антивирусы, черные списки урлов, фаерволы и так далее.

Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Капрал - второй на очереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании

sww как всегда четко констатировал факты. Наверное кто-то может после осознания этих слов потерять жизненные ориентиры - 100% не существует, а черные списки тоже не работают. Как жить дальше ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Не стоит драматизровать. Имела место попытка всего лишь подгадить бывшему работодателю. :D И в дальнейшем предлавгаю все посты sww в темах Dr.Web расценивать как враньё, клевету и провокацию. :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обсуждение DrWeb 9.0 выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26723

Что касается темы топика, то 9-ка снимает ряд претензий по которым вся продукция Доктор Веб относилась к Legacy антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У многих моих знакомых Dr.Web установлен. Все рады. менять не хотят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      Или в этой теме:  http://www.tehnari.ru/f35/t257035/ FRST  по человечески отображает _отдельную задачу: Task: C:\Windows\Tasks\Chromium forem.job => Wscript.exe  C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt <==== ATTENTION ---------- А в uVS это опять всё в Инфо. файла. Что  смотреть Инфо.  сотен файлов ? "C:\Windows\system32\wscript.exe"
      "C:\ProgramData\{56EE938D-DCAC-194B-5A6A-8709C0280CC7}\mofo.txt"
      "68747470733a2f2f6b6174756e61712e636f6d"
      "433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c63696c656461"
      "433a5c50726f6772616d446174615c7b35364545393338442d444341432d313934422d354136412d3837303943303238304343377d5c6365646f6c6564"
      "//B" "//E:jscript" "--IsErIk"   Что толку от информации - она, что есть, что её нет. Как мы видим оператор просто не видит данных.
    • PR55.RP55
      + Local Internet LTD
      Zawawa Software LLC ( условно\легальный майнер )
      emersontechnology.com
      MARIYA, TOV
      boissytechnology.com
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/forum6/topic14339/ Дело в том, что задача не отображается в списке, как самостоятельный объект. А  просто является частью записей Хрома. Само собой, что это неправильно.  
    • PR55.RP55
      cmad Если у вас на PC вирус - то вам нужно обратиться на один из специализированных форумов. Так в Случае, если у вас антивирус от: Kaspersky - то на их форум:  https://forum.kasperskyclub.ru/index.php?showforum=26 Dr.Web -то: https://forum.drweb.com/index.php?showforum=35 ESET NOD32: https://forum.esetnod32.ru/forum35/ Это нужно, чтобы удалить вирус и бесплатно расшифровать ваши файлы ( если возможно ).  
    • cmad
      кто нибудь лечился от шифровальщика ?  научите как...