Перейти к содержанию
Артём

Эвристика KAV7 просто "блещет"!

Recommended Posts

Артём

Вот цитата с одного из форумов:

К обсуждению о KIS7

Вчера лично был свидетелем на своем компе, как однодневное или даже пол дневное не обновление баз на KIS7 уже не позволяло ему обнаружить вирус(троян).

А они еще пишут об улучшенных механизмах эвристического анализа

От себя могу дополнить! Пользуясь КАВ6 и по некоторым причинам (был очень далеко) не мог обновляться примерно неделю.... после обновления вынужден был вылавливать малвару.....

KAV6-KAV7-E.K. оценка: Неуд! :D

Интересно услышать ваше мнение господа!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

Артём

не пользуюсь ничем.

давай ссыль на оригинальный флудотопик, интересно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

А эвристика это вообще очень скользкая штука. Потому и говорят разработчики: "Обнаруживает Х% вирья". А Вам всегда может попастся семпл не входящий в этот процент.

Эвристика вешь дополнительная, и полагаться на неё ИМХО нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Пользуясь КАВ6 и по некоторым причинам (был очень далеко) не мог обновляться примерно неделю.... после обновления вынужден был вылавливать малвару.....

Артём, "продвинутая эвристика", о которой вы говорите, появилась в версии 7.0. В 6.0 ее просто не было! Поэтому логика, что 6.0 не ловила - 7.0 также не ловит, некорректна.

Согласен с OlegSych, только на эвристику не стоит полагаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вот цитата с одного из форумов:
К обсуждению о KIS7

Вчера лично был свидетелем на своем компе, как однодневное или даже пол дневное не обновление баз на KIS7 уже не позволяло ему обнаружить вирус(троян).

А они еще пишут об улучшенных механизмах эвристического анализа

От себя могу дополнить! Пользуясь КАВ6 и по некоторым причинам (был очень далеко) не мог обновляться примерно неделю.... после обновления вынужден был вылавливать малвару.....

KAV6-KAV7-E.K. оценка: Неуд! :D

Интересно услышать ваше мнение господа!

Артем, могу заверить, что такое вполне возможно с любым антивирусом.

Поэтому, оценку неуд. можете ставить всем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Поэтому, оценку неуд. можете ставить всем

Вот поэтому во многих антивирусов, и нету эвристика. Чтоб не ставили там всякие юзеры им неуд. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Вот поэтому во многих антивирусов, и нету эвристика. Чтоб не ставили там всякие юзеры им неуд

Ничего лучше сигнатур пока не придумали, особенно если мы говорим о корпоративных пользователях, где масштабы и число компьютеров на ограниченное число тех. персонала не позволяет восстанавливать компьютеры после работы некоторых супер эвристиков.

Поэтому АВ компании, в первую очередь ориентирующиеся на корпоративных заказчиков, на разработку эвристических механизмов обращают внимание в последнюю очередь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Вот поэтому во многих антивирусов, и нету эвристика. Чтоб не ставили там всякие юзеры им неуд

Ничего лучше сигнатур пока не придумали, особенно если мы говорим о корпоративных пользователях, где масштабы и число компьютеров на ограниченное число тех. персонала не позволяет восстанавливать компьютеры после работы некоторых супер эвристиков.

Поэтому АВ компании, в первую очередь ориентирующиеся на корпоративных заказчиков, на разработку эвристических механизмов обращают внимание в последнюю очередь.

ага, ага и еще эти компании, ориентирующиеся на корпоративных заказчиков, сигнатуры выпускают редко редко, чтоб не дай бог не случилось кривых обновлений как у касперского.

ТОже подход коненчно, тока в результате ловят продукты этих ориентирующихся компаний так себе, похужее чем касперский и нод32, да и тот же битдефендер, например, а кривые обновления и уязвимости все равно в их продуктах находятся, хотя не спорю возможно реже чем у других.

Добавлено спустя 13 минут 40 секунд:

Re: Эвристика KAV7 просто "блещет"!

От себя могу дополнить! Пользуясь КАВ6 и по некоторым причинам (был очень далеко) не мог обновляться примерно неделю.... после обновления вынужден был вылавливать малвару.....

KAV6-KAV7-E.K. оценка: Неуд! :D

Интересно услышать ваше мнение господа!

а у меня вопрос, а где вы нахватали малвару, если обновляться не могли, т.е. как я понимаю сети не было? Что за малвара и подробности заражения, не помните конечно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
ага, ага и еще эти компании, ориентирующиеся на корпоративных заказчиков, сигнатуры выпускают редко редко, чтоб не дай бог не случилось кривых обновлений как у касперского.

редко редко это как?

Trend Micro, например, выпускает свои Controlled Pattern Release примерно каждые 2 часа и они также являются оттестированными, но с определенными ограничениями и рекомендуются в первую очередь для шлюзовых продуктов и только в случае появления новых угроз

Symantec выпускает свои Rapid Release паттерны каждые 30 минут и поддерживает их автоматическую загрузку уже почти во всех продуктах и случаев выпуска некачественных баз серии Rapid Release за 2 года их существования еще не было

Дело просто в том, что в этих компаниях, как впрочем и во многих других АВ вендорах, основные средства и усилия вкладываются в развитие и существование именно Антивирусных лабораторий, а не отделов разработки самого софта. Просто подходы к работе должны быть разные у просто производителей ПО и производителей именно АВ ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Ничего лучше сигнатур пока не придумали, особенно если мы говорим о корпоративных пользователях, где масштабы и число компьютеров на ограниченное число тех. персонала не позволяет восстанавливать компьютеры после работы некоторых супер эвристиков.

Поэтому АВ компании, в первую очередь ориентирующиеся на корпоративных заказчиков, на разработку эвристических механизмов обращают внимание в последнюю очередь.

Дело просто в том, что в этих компаниях, как впрочем и во многих других АВ вендорах, основные средства и усилия вкладываются в развитие и существование именно Антивирусных лабораторий, а не отделов разработки самого софта. Просто подходы к работе должны быть разные у просто производителей ПО и производителей именно АВ ПО

То есть я так понимаю, что вендоры вкладывают основные средства в выпуск качественных сигнатур, а в развитие инновационных технологии - очень мало. При этом, в качестве детектирования они все-равно не лидеры. Так спрашивается, что они выпускают? Антивирус? Так антивирус должен обнаруживать вирусы (чтобы проходило как можно меньше времени, между появлением 0-day вируса и выходом сигнатуры), и если уже знает, то суметь удалить. А многие ли

антивирусы могут похвастаться хорошим детектом (как можно быстрый выпуск сигнатуры) и способностью обнаруживать/удалять уже известный вирус? Совсем мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все сообщения о Symantec Rapid Response и частоте их выхода выделены в отдельную тему http://www.anti-malware.ru/phpbb/viewtopic.php?t=3365

:off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

vaber

Тут нельзя оперировать какими-то категорическими величинами, речь не идет о том, что одному уделятся очень много времени и денег, а другому очень мало; важно правильно раставлять приоритеты и у АВ компаний, имеющих очень большое число клиентов, особенно корпоративных, именно качество, особенно АВ сигнатурных баз, всегда стояло и будет стоять на первом месте.

Слишком дорого обходятся такие ошибки и не платить за них не получается, ведь есть репутация и все такое - но нам пока это не очень то знакомо, отечественный бизнес еще не до конца привык отвечать перед клиентами за свои мелкие и не очень оплошности

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Так антивирус должен обнаруживать вирусы (чтобы проходило как можно меньше времени, между появлением 0-day вируса и выходом сигнатуры), и если уже знает, то суметь удалить.
важно правильно раставлять приоритеты и у АВ компаний, имеющих очень большое число клиентов, особенно корпоративных, именно качество, особенно АВ сигнатурных баз, всегда стояло и будет стоять на первом месте.

Вот этими двумя фразами сказано всё.

Тут главное определиться, что главнее, стабильность и надёжность (в том числе и антивирусных баз), но запоздалый детект вирусов, или непредсказуемый продукт, но отличным детектом.

Мне думается, в корпоративной среде будет всегда побеждать второе. И никакой антивирус с отличным детектом меня не прельстит, если от этого антивируса моя сеть может в любой момент лечь за пять минут. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
ут нельзя оперировать какими-то категорическими величинами, речь не идет о том, что одному уделятся очень много времени и денег, а другому очень мало; важно правильно раставлять приоритеты и у АВ компаний, имеющих очень большое число клиентов, особенно корпоративных, именно качество, особенно АВ сигнатурных баз, всегда стояло и будет стоять на первом месте.

Слишком дорого обходятся такие ошибки и не платить за них не получается, ведь есть репутация и все такое - но нам пока это не очень то знакомо, отечественный бизнес еще не до конца привык отвечать перед клиентами за свои мелкие и не очень оплошности

Я полностью с вами согласен. Да и вред нанесенный в корпоративной среде "кривым" обновлением может привысить вред нанесенный пропущенным вирусом.

Но все же. Нужно как-то стремиться к "золотой" середине. Чтобы сигнатуры выходили как можно скорее и при этом были максимально качественными.

Но и антивирус должен быть антивирусом, а не программой,

которая детектирует "старые" вирусы, поймать которые в Интернет проблематично. Даи удалить-то их в случае активности в системе не сможет (или обнаружить).

Тут главное определиться, что главнее, стабильность и надёжность (в том числе и антивирусных баз), но запоздалый детект вирусов, или непредсказуемый продукт, но отличным детектом.

А что Вы имеете ввиду под стабильность и надежность? Стабильность - это когда система в синьку не падает? А надежность (в том числе антивирусных баз)? Как Вы согласуете надежность антивируса и запоздалый детект? Для большинства антивирусов отсутствие сигнатуры

означает одно - система становиться зараженной, зачастую так, что потом и с никогда не узнаешь что заражен (даже когда появится сигнатура). А потом на конференнции virusinfo удивят :)

З.Ы. Я ни в коем случае не оправдываю "кривые" обновления. Это очень плохо и с этим нужно бороться. Так же мои слова больше относятся к антивируса для домашних пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
З.Ы. Я ни в коем случае не оправдываю "кривые" обновления. Это очень плохо и с этим нужно бороться. Так же мои слова больше относятся к антивируса для домашних пользователей

А я о чём, а я всё о том же. Тут главное (в том числе и домашнему пользователю) определиться, что главнее: -Оперативное обновление и синька, или запоздалое обновления и стабильность.

http://forum.kaspersky.com/index.php?showtopic=46156

И уверяю Вас, такой пользователь и с последними базами касперского может нахватать всякой фигни. Шансы конечно меньше, но они есть. То есть, по моему мнению, у кого шансов больше, у домохозяйки с Norton которая посещает только сайты о кулинарии, или у молодого человека с установленным Касперским, который постоянно посещает сайты с кряками и висит на порно сайтах. Мне кажется, у них шансы равны. А вот если у них антивирусы поменять, тогда молодому человеку я не завидую. Но если случиться что-то подобное даденной мной ссылки, с установленным у них Касперским, то я не завидую им обоим. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
с Norton которая посещает только сайты о кулинарии

А если ей придет линк типа: "от Вашей лучшей подруги пришла поздравительная открытка (/новый кулинарный рецепт). Нажмите сюда чтобы посмотреть ее (/его)"? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

А это уже теория относительности. :lol:

А если молодому человеку придёт линк типа:

Good afternoon, dear! Do you see this game? Funny flash game with nude Natalie Portman. She sucks and... fucks! Enjoy! The game in your attachment. Bye. ------------- Good Day, old chap! Do you see this game? Funny flash game with nude Angelina Jolie. She sucks and... fucks! Enjoy! The game in your attachment. Best Regards.

А там как всегда пинч, а касперский его не ловит, а будет ловить его завтра. И потом (завтра) объясняйте молодому человеку, почему он не может проверить свою почту, и куда делись его веб мани.

И главное кто ему объяснит, что Наташа и Анжела к этому безобразию никакого отношения не имеют. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А там как всегда пинч, а касперский его не ловит, а будет ловить его завтра. И потом (завтра) объясняйте молодому человеку, почему он не может проверить свою почту, и куда делись его веб мани.

И главное кто ему объяснит, что Наташа и Анжела к этому безобразию никакого отношения не имеют. Very Happy

Хм..

А если не Касперский то что? Пароли не уйдут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Хм..

А если не Касперский то что? Пароли не уйдут?

Уйдут. Но, что и требовалось доказать, шансы у них ОДИНАКОВЫ.

По теории вероятности....

Почему… А потому что в наш развратный век, линков с порно, намного больше чем линков о приготовлении салата оливье.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Тоже верно. Но тут (конкретно в примере с пинчем) в лучшим положении окажется тот пользователь, у которого антивирус получает как можно быстрее обновления. То есть опять сводится все ктому, что обновления нужно получать как можно быстрее. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А там как всегда пинч, а касперский его не ловит

Ловит, но с опозданием. И ИМХО чем это опоздание ниже, тем лучше для юзеров. Опоздание - это плохо, но пока мало кто может предложить замену. И по моему личному опыту ЛК реагирует обычно быстрее Симантека.

ЗЫ Хотя конечно вопрос ловли пинча - это слишком запутанная тема. Обычно пинч ловится КАВом, но из-за автоклика весь детект насмарку. Вот и думаешь, а не включить ли авто-лечение всех зловредов? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Тоже верно. Но тут (конкретно в примере с пинчем) в лучшим положении окажется тот пользователь, у которого антивирус получает как можно быстрее обновления. То есть опять сводится все ктому, что обновления нужно получать как можно быстрее.

Тут, наверно, всё свелось к тому, что нет ещё до сих пор нормального антивируса, чтоб по всем тестам и стандартам он был на высоте. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Тут, наверно, всё свелось к тому, что нет ещё до сих пор нормального антивируса, чтоб по всем тестам и стандартам он был на высоте.

Угу и пока не предвидится. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      Зачем эти крайности - хватит и половины команд. Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает. В плане удобства оптимален ? переход от Инфо. к Инфо.  т.е. Есть список файлов. Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо * * ( с учётом фильтра ) по ходу дела принимая решение считать ли файл проверенным, или удалить. Без всех этих метаний.
    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
×