Перейти к содержанию

Recommended Posts

Kapral
Доколи мы будем искать что-то идеальное в этом мире? Идеальный софт, идеальную машину, идеальный телефон, идеальную работу, идеальных людей и так далее... Доколи будем вспоминать про 100% детекта?

Ну кому кому, а математику должно быть привычно оперировать идеальными предметами :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
математику должно быть привычно оперировать идеальными предметами biggrin.gif

Не знаю, какому математику это привычно. Мир несовершенен :) Математики как раз с лёгкостью могут показать несовершенство объектов, за что их обычно и бьют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тем не менее, на сайте Dr.Web прочитал следующее: "FLY-CODE — не имеющая аналогов технология универсальной распаковки, которая позволяет обнаружить вирусы, упакованные даже неизвестными Dr.Web упаковщиками. Уникальная технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще неизвестные вирусной базе Dr.Web. Эвристический анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам. Улучшено! в версии 8.0 расширены возможности превентивной защиты компьютера от заражения путем блокирования автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий."Я не могу самостоятельно проверить насколько достоверны эти утверждения. Остается верить наслово.

Не стоит никому верить на слово. Если в рекламных материалах пишут по супер-пупер технологии "нового поколения, не имеющие аналогов в мире ..." то стоит хотя бы проанализировать что за этим стоит. В случае Dr.Web речь идет о файловой эвристике и поддержке большего количества упаковщиков. Да, они всегда этим славились, лет 5-7 назад тоже самое и писали о своем антивирусе. Только время уже прошло. Уже Путина на 3-й срок переизбрали, а тут про файловые эвристики для черных списков ...

интересно, а какие антивирусы - не Legacy?Если уж приводить в порядок терминологию, то собственно антивирус - сама по себе Legacy-технология, ибо сейчас упор делается на профилактику и проактивку, коей вайтлистинг и является, собственно by design так сказать...А любой антивирусный движок будет как раз той самой технологией блеклистинга из прошлого. В том числе и движок самого Комода. Ибо вся профилактика - это уже обвес антивирусного ядра той самой проактивкой в самом разном исполнении.

Так вы сами и ответили на вопрос. С моей точки зрения, всякий антивирус, который полагается только на черные списки, является Legacy. Ну нереально уже по 200к самплов в день добавлять в базы. Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день. Когда вирья было мало, то пропуск пары десятков в день погоды особой не делал, вероятность была ниже, чем в случае пропуска 4к в сутки.

Поэтому современный антивирус должен работать по черным и белым спискам (одно дополняет другое) + иметь мощный поведенческий анализ (HIPS) посередине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Доколи будем вспоминать про 100% детекта?
Простая математика. Если даже 1% будет пропускаться, а 99% отлавливаться, то пропускаться в абсолютных значениях будет 4к самплов каждый день.

Из истории вирусов

а) Сначала был вирус(речь в принципе о временах айдстест и т.п.), его не ловил никто - 100% пропуск у всех, потом добавили в базу

б) Стали появляться технологии эвристиков, эмуляторов и т.п. - 50% детект (точно не знаю, но предположим так)

Из этого возникает вопрос, а сейчас, на современном уровне развития антивирусов и вирусов детект упал (по сравнению с первыми эвристиками) или нет? Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Или переформулировав, процент детекта растет и асимптотически стремится к 100% или испытывает колебания на каком то уровне, например 80-95% и выше уже вряд ли будет?

Около того, но не берусь сказать точные числа, у всех по-разному. Количество сэмплов увеличивается не за счет появления уникальных (в исходном виде), а за счет перепаковок с использованием технологий морфинга. И вот тут уже надо смотреть на эффективность проактивных технологий: эмуляторы + эвристики + всякое подобное. Конечно нельзя забывать и про "первый фронт" - веб-антивирусы, черные списки урлов, фаерволы и так далее.

Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Капрал - второй на очереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Классические черные списки мертвы, это очевидно. Все технологии в совокупности, а также ликвидация безграмотности пользователя приближает детект (а вернее безопасность) к 100%. Но всегда можно "пробить" при желании

sww как всегда четко констатировал факты. Наверное кто-то может после осознания этих слов потерять жизненные ориентиры - 100% не существует, а черные списки тоже не работают. Как жить дальше ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hitomi
по мотивам сообщения Валерия выше нужно побить sww

т.к он показал неидеальность антивирусов.

Не стоит драматизровать. Имела место попытка всего лишь подгадить бывшему работодателю. :D И в дальнейшем предлавгаю все посты sww в темах Dr.Web расценивать как враньё, клевету и провокацию. :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обсуждение DrWeb 9.0 выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26723

Что касается темы топика, то 9-ка снимает ряд претензий по которым вся продукция Доктор Веб относилась к Legacy антивирусам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×