4rward

Странный ответ от viruslab Dr.web

В этой теме 73 сообщений

Я хотел бы услышать комментарии по поводу неоднозначного отношения к сигнатурам у компании Dr.web.Никаких личных антипатий нет-дело чисто интереса.

Ситуация: Drweb 4.33 детектит файл как пинч (заелаб этот пинч, в самом деле) . Я файл скинул на virustotal - детект только у доктора.Это меня заинтересовало.Я отправил файл в вирлаб доктора.Далее переписка :

"Вск. Авг. 19 12:57:31 2007, [email protected] писал:

> User comment: Здравствуйте

> Данный файл является повреждённым exe-файлом неспособным к запуску,но

> детектится как Pinch(Причём только Dr.web)

> Хотелось бы услышать ваши комментарии

> User language: ru

> User email: [email protected]

> Original file name:

> E:utilsantivirusVirusLast_threatdetected_by_drweb3[1].exe

> File size: 3986

> MD5: a10d2af1fd0c2fc46b147784cd383425

>

Да, файл битый, но этого "огрызка" хватило чтобы опознать в нем

известный вирус. "

А теперь внимание вопрос - зачем детектить порванный файл ?

Между прочим , исходя из заявлений компании , особенностью сигнатурного детекта у доктора является обнаружение только полноценных вирусов( а не "различного мусора , имеющего отдалённое отношение к вирусам и лишь засоряющего антивирусные баз ,искусственно увеличивая тем самым вирусные записи и замедляющего работу антивируса , " прим.И.Д.) ,способных к запуску.Об этом неоднократно заявлял сам Данилов в своих интервью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

имхо.

если файл активно и широко распространен (-няется) его надо детектить, даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

все так делают и все детектят такие файлы.

Слова Данилова обсуждать не буду, все давно ясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

Согласен. Потом еще такие битые файлы попадают в базы тестеров, которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект.

Поэтому лучше уж детектить такие семплы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
имхо.

если файл активно и широко распространен (-няется) его надо детектить' date=' даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

все так делают и все детектят такие файлы.

Слова Данилова обсуждать не буду, все давно ясно.[/quote']

Согласен. Потом еще такие битые файлы попадают в базы тестеров' date=' которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект. [/quote']

Поэтому лучше уж детектить такие семплы.

Хорошо- тогда объясните мне :

1) почему этот же файл посланный в вирлаб касперского( и не только ) был отвергнут ввиду его битостии и т.д.

2) почему только вирлаб доктора его детектит - хотя это уже довольно старый файл и не раз попадается ( и не через почту а как атач инсталляторов популярных программ)

Добавлено спустя 9 минут 21 секунду:

Блин , парни , я же не просто так спрашиваю , не нуб всё-таки , а то что вы ответили это в принципе предсказуеммммо,НО ФАКТЫ ВСЁ-ТАКИ РОЗНЯТЬСЯ

Добавлено спустя 54 секунды:

..........ссори , правильнее разнятся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Товарищи, товарищи, ну не надо в очередной раз делать из мухи слона.

Одно дело, когда мусор добавляется в базу сознательно в базу Касперского, а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

Разницу улавливаете?

Проблему видите?

Я не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Блин , парни , я же не просто так спрашиваю , не нуб всё-таки , а то что вы ответили это в принципе предсказуеммммо,НО ФАКТЫ ВСЁ-ТАКИ РОЗНЯТЬСЯ

Добавлено спустя 54 секунды:

..........ссори , правильнее разнятся

Ну смотрите, попытка заразить сей файл очевидно была. Но окончилась неудачей, файл битый. Далее файл попадает в разные вир.лабы, где сидят разные аналитики. Кто-то увидел, что файл битый и поэтому нет смысла его детектить. Кто-то просто увидел признаки пинча и тут же кинул в базы. Кто-то увидел признаки пинча, увидел и признаки битости, но решил как А. и всё равно кинул в базы. Здесь дело не столько в политике компании, сколько в политике конкретного аналитика. Я тут проблемы не вижу особой. Т.е. если бы какой-то аналитик обозвал троянцем чистый файл либо наоборот обозвал чистым небитого троянца, то была бы проблема. А в таких случаях имхо нет ничего страшного в том, что мнения разнятся... Файл точно не полезный, но и не вредный для юзера в силу битости...

Ну а в целом я согласен с А., если в битом файле просматривается троянец, почему бы не положить его в базы. Подумайте так: если пользователь увидит, что его антивирус не детектит то, что детектится кем-то другим, то он вполне естественно начнёт волноваться, поскольку он-то не уверен, бит файл или нет. Ни к чему нервировать пользователся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Или вы хотите, чтобы детект конкретного битого образца убрали?

Ну так это глупости. Т.к. мы снова вернёмся к изначальной проблеме - добавление в базу записей, которые на этот раз НЕ детектят каждый конкретный мусор, который определяется основной сигнатурой.

Это же не ложное срабатывание как-никак, т.е. файл-то этот полезным никогда не станет...

В общем, думаю, я довольно подробно логику изложил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

"Бред" (с)

Валерий, смотрите внимательней:

> File size: 3986

а теперь думайте

еще думайте

спросите более опытных коллег

еще раз подумайте

потом напишите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"Бред" (с)

Вы слишком часто и слишком многим в последнее время пишете это слово. Так часто, что оно превратилось в слово-паразит и вызывает только улыбку.

А теперь скажите:

Файл полезный? Нет.

Сигнатура писалась по битому файлу? Нет.

Ситуация отличается от того, когда добавляется изначально битый образец? Отличается.

Да, на размер файла я не обратил внимание. Он не слегка битый, от него остался достаточно небольшой кусок. Но его хватило, чтобы сигнатура сработала.

Коллег я спрашиваю. И думаю. И не бросаюсь импульсивными фразами по любому поводу. А Вам надо бы в отпуск - слишком много повторов во фразах, слишком много злобы. Поверьте, этот файл не стОит того :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
если файл активно и широко распространен (-няется) его надо детектить, даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

Это мнение одной из компаний. Но это не значит, что оно единственно верное.

На самом деле запросов про недетект битых файлов не так уж и много (вернее, их почти нет).

И не надо писать, что я не обладаю информацией на этот счёт. Я обладаю статистикой по запросам в нашу техподдержку.

И тут стОит задуматься, стОит ли игра свеч? Ведь весь этот мусор содержится в базе, а база занимает ресурсы компьютера каждого пользователя. Или когда рассылка битых файлов проходит, их удаляют из базы? Это было бы логичным, но этого же нет, насколько я понимаю?

Может быть, стОит ответить на пару запросов в месяц, чем добавлять каждый же месяц килограмм мусора в базу?

все так делают и все детектят такие файлы.

А если все начнут с крыши прыгать?

Конкуренция на антивирусном рынке во многом потому и сохраняется, что каждый из вендоров имеет несколько (а иногда и сильно) разные взгляды на одни и те же (для некоторых) прописные истины.

Слова Данилова обсуждать не буду, все давно ясно.

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Поэтому отвечу Вашими словами, господин A. - думайте, думайте и ещё раз думайте, прежде чем что-то писать, советуйтесь с более квалифицированными сотрудниками, будьте более добрым и менее категоричным в своих суждениях.

Добавлено спустя 13 минут 7 секунд:

Согласен. Потом еще такие битые файлы попадают в базы тестеров, которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект.

Поэтому лучше уж детектить такие семплы.

Т.е. антивирусы не для пользователей, а для тестов?

Вы меня вообще убиваете.

А ещё более удручает, что это мнение большинства.

А ещё больше не радует, что к таким горе-тестерам прислушиваются многие.

Добавлено спустя 29 минут 24 секунды:

Ну смотрите, попытка заразить сей файл очевидно была. Но окончилась неудачей, файл битый.

Насколько я понимаю, Trojan.PSW.LDPinch не заражает файлы. Или это просто к примеру было написано?

Подумайте так: если пользователь увидит, что его антивирус не детектит то, что детектится кем-то другим, то он вполне естественно начнёт волноваться, поскольку он-то не уверен, бит файл или нет. Ни к чему нервировать пользователся...

Когда кажется, нужно креститься.

Когда непонятно - нужно спрашивать.

Поддержка для лицензионных пользователей бесплатна.

И спрашивают часто, если разница в детекте. Но чтобы в результате оказалось, что это битый файл - это достаточно редко получается.

Но это психология поведения лицензионного пользователя.

Другое дело, что пока больше нелицензионных пользователей, чем лицензионных, но это уже другая (и даже больше их самих) проблема.

Пользователи же пиратских копий/ключей/лицензий действительно прыгают по движению ветра с одного антивируса на другой, но для них ли мы стараемся?

В общем, проблема сложная и достаточно неоднозначная, поэтому у неё вполне может быть несколько приемлемых решений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

4rward, можно ли получить либо сам файл, либо номер тикета нашего вирлаба?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы слишком часто и слишком многим в последнее время пишете это слово. Так часто' date=' что оно превратилось в слово-паразит и вызывает только улыбку.

[/quote']

"Ложь" (с) :)

всего лишь второй раз, Валерий, всего лишь второй раз. А Вы продолжаете обобщать и строить выводы на собственных домыслах :)

Сигнатура писалась по битому файлу? Нет.

Это может знать только аналитик' date=' который добавлял детектирование. Это может знать человек, который имеет доступ к описанному файлу и доступ к базе антивирусных записей (исходной).

Вы, этими людьми, не являетесь, поэтому утверждать "Нет" никак не можете.

Отсюда и моя реакция на эти Ваши утверждения. Валерий, давайте все-таки будет как-то дифференцировать знания и источники, ага ? Не стоит Вам влезать в споры по техническим темам, в которых Вы не являетесь экспертом и не имеет опыта практической работы. У Вас гораздо лучше получается совсем другое.

Да, на размер файла я не обратил внимание. Он не слегка битый, от него остался достаточно небольшой кусок. Но его хватило, чтобы сигнатура сработала.

В этом своем утверждении Вы оперируете исключительно словами аналитика DrWeb из процитированного выше ответа. Вы не знаете какая именно часть файла отсутствует, Вы не знаете на какое именно место было сделано детектирование. Поэтому я и просил Вас подумать и спросить коллег. Про данный конкретный файл. Как именно он "убит" - у него повреждена точка входа, у него просто отрезан кусок (сверху, снизу, в центре) ? Вы этих ответов не знаете...

Обьясняю свою мысль - Пинч, на 99.9%, упакованпокриптован. Если файл битый - он не распакуется. Сработать детектирование на таком файле могло только в случае, если детект был сделан по пакованному коду, а не по коду самого Пинча.

Коллег я спрашиваю. И думаю. И не бросаюсь импульсивными фразами по любому поводу. А Вам надо бы в отпуск - слишком много повторов во фразах' date=' слишком много злобы. Поверьте, этот файл не стОит того :)[/quote']

Бростье, Валерий - мы тут целый месяц молчали, я прям соскучился. Вы видать тоже, раз одно мое слово спровоцировало вас на написание столь обьемных и пространных постов ни о чем :)

Добавлено спустя 15 минут 32 секунды:

Это мнение одной из компаний. Но это не значит' date=' что оно единственно верное.

[/quote']

Не одной. Многих. Скажем так - я знаю только одну компанию, которая считает иначе. Конечно "сто тысяч леммингов" могут ошибаться, но вот использовать эту незначительную техническую деталь как средство позиционирования на рынке (а заявления Данилова - это позиционирование) - довольно смешно. Хотя бы потому что факты показывают другое. И если мне Вы еще сможете обьяснить (сможете ведь?) как такое происходит, то пользователям - вряд ли :) Пример - весь этот топик.

На самом деле запросов про недетект битых файлов не так уж и много (вернее' date=' их почти нет).

И не надо писать, что я не обладаю информацией на этот счёт. Я обладаю статистикой по запросам в нашу техподдержку.

[/quote']

Когда у вас будет сопоставимое число пользователей, включая ОЕМ-партнеров, уровня F-Secure, Juniper, G-DATA и т.д. - тогда и поговорим у кого и почему такие запросы есть ...

И тут стОит задуматься' date=' стОит ли игра свеч? Ведь весь этот мусор содержится в базе, а база занимает ресурсы компьютера каждого пользователя. [/quote']

Вас послушать, так прямо этот "мусор" занимает десятки гигабайт и жрет оперативку тоннами :) Нет с этим проблем, понимаете. Нет.

Во-первых, его немного, правда немного, не более пары записей в месяц.

Во-вторых, даже если бы его было на порядок больше - на скорости работы это бы не отразилось. Ну вот так вот сделан движок KAV :)

Или когда рассылка битых файлов проходит' date=' их удаляют из базы? Это было бы логичным, но этого же нет, насколько я понимаю?[/quote']

Есть, причем это обычная практика. Записи для распространенных, но битых файлов, имеют идентификатор варианта .dam

Mydoom.dam, например.

А может вы хотите поговорить еще о том, зачем нужны в базах дос-вирусы ;)

Может быть' date=' стОит ответить на пару запросов в месяц, чем добавлять каждый же месяц килограмм мусора в базу?[/quote']

Хотите провести исследование и с цифрами на руках доказать Ваше утверждение про "килограмм мусора" ? Нет ? Тогда прекратите бросаться словами.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Слова Данилова обсуждать не буду' date=' все давно ясно.[/quote']

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Это Вы к чему написали ? Что вообще имелось в виду ?

В общем' date=' проблема сложная и достаточно неоднозначная, поэтому у неё вполне может быть несколько приемлемых решений.[/quote']

Бинго!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"Ложь" (с) Smile

всего лишь второй раз, Валерий, всего лишь второй раз. А Вы продолжаете обобщать и строить выводы на собственных домыслах Smile

http://antimalware.ru/phpbb/viewtopic.php?...700a15493#22419

http://antimalware.ru/phpbb/viewtopic.php?...dd80f1e20#22439

Слишком много повторов для одного топика, поэтому отпечаталось.

Не стоит Вам влезать в споры по техническим темам, в которых Вы не являетесь экспертом и не имеет опыта практической работы.

Что мне стОит делать, а что нет - решать только мне.

Вы мне не начальник и вообще никто.

У меня достаточно приличный опыт работы, чтобы участвовать в тех дискуссиях, которые мне интересны.

В этом своем утверждении Вы оперируете исключительно словами аналитика DrWeb из процитированного выше ответа. Вы не знаете какая именно часть файла отсутствует, Вы не знаете на какое именно место было сделано детектирование. Поэтому я и просил Вас подумать и спросить коллег. Про данный конкретный файл. Как именно он "убит" - у него повреждена точка входа, у него просто отрезан кусок (сверху, снизу, в центре) ? Вы этих ответов не знаете...

Именно поэтому я попросил либо файл, либо номер тикета из вирлаба.

Вы видать тоже, раз одно мое слово спровоцировало вас на написание столь обьемных и пространных постов ни о чем Smile

1. Мне надоели Ваши громкие сообщения, в которых конструктива на порядок меньше, чем самодовольства.

2. Я отвечал не только Вам.

Добавлено спустя 7 минут 37 секунд:

Кроме того, "бред" можно счесть за оскорбление.

бред (сущ м спец.)Симптом психического заболевания - расстройство мыслительной деятельности. бред (сущ м)Бессвязная речь больного, находящегося в бессознательном состоянии. Пример: больной в бреду бред (сущ м разг.)Нечто бессмысленное, вздорное, несвязное. Рассуждения его - сплошной бред.

(с) Толковый словарь.

Даже если Вы имели в виду последний смысл, то вряд ли Вы будете утверждать, что в моих словах совсем нет смысла, потому что я строю в своих сообщениях вполне прозрачные логические цепочки.

Если в них есть ошибки - добро пожаловать - обсуждайте.

Ошибки в логике - это не отсутствие логики.

Поэтому лучше поработайте над своим лексиконом, ибо всё же общаетесь с образованными людьми, не быдлом.

Добавлено спустя 5 минут 48 секунд:

Хотите провести исследование и с цифрами на руках доказать Ваше утверждение про "килограмм мусора" ? Нет ? Тогда прекратите бросаться словами.

Взаимно.

Когда у вас будет сопоставимое число пользователей, включая ОЕМ-партнеров, уровня F-Secure, Juniper, G-DATA и т.д. - тогда и поговорим у кого и почему такие запросы есть ...

Совсем не аргумент для обсуждаемой темы.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Насколько мне известно, проверяется. Как - не моя компетенция.

Valery Ledovskoy писал(а):

A. писал(а):

Слова Данилова обсуждать не буду, все давно ясно.

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Это Вы к чему написали ? Что вообще имелось в виду ?

Вот и я не пойму, что "давно ясно"?

Добавлено спустя 4 минуты 19 секунд:

В общем, далеко уже ушли от темы.

Ждём файлы.

А то неясно пока вообще, был ли мальчик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мда.

Валерий, примите мои извинения по поводу высказываний, которые показались Вам черезчур резкими и обидными, особенно если они были приняты Вами на свой счет.

Проблема в том, что разобраться в этой ситуации можно только обладая файлом и зная куда именно попал детект. Только так можно понять - был он сделан специально на этот битый файл или нет. С другой стороны - эта информация заведомо будет нести в себе некие данные о принципах и способах работы антивирусного движка DrWeb. Несмотря на то, что эти данные известны многим, я не уверен, что Вы уполномочены на разглашение подобных сведений.

Получается замкнутый круг - правды Вы сказать не сможете по корпоративным причинам, а неправду очень легко будет установить, чего тоже не хочется.

Поэтому предлагаю просто остановиться и прекратить дальнейшее обсуждение, уже переросшее в взаимные личные нападки.

Причины по которым KAV детектирует некоторые битые файлы - я озвучил. О случаях когда детектирование делается на рабочий файл, но заодно детектирует битые - я даже не говорю, это бывает у всех антивирусных программ и это нормально.

Ваше утверждение (не прямым текстом, но Вы ведь это имели в виду?), что в базах DrWeb гарантировано нет ни одного специального детекта для битых файлов - я понял и принял к сведению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как вы однако рано встаете Валера...

Чтобы успеть всё, приходится.

особенно если они были приняты Вами на свой счет.

Ну, если обращено лично ко мне, то сложно не отнести его на свой счёт. Я просто на будущее - выбирайте слова. Этот форум уже не тот, что был в начале его существования (респект его создателям за).

Проблема в том, что разобраться в этой ситуации можно только обладая файлом и зная куда именно попал детект.

Да, да, да. Ждём файл.

Но обсуждать проблему в целом это не мешает.

Получается замкнутый круг - правды Вы сказать не сможете по корпоративным причинам, а неправду очень легко будет установить, чего тоже не хочется.

Вердикт сказать можно и, не нарушая коммерческую тайну, поэтому не надо.

Другое дело, что путь, которым этот вердикт был получен, действительно оглашать не стОит.

Правда, боюсь, за этим всем флудом топикстартер покинул уже это место :)

Добавлено спустя 2 минуты 30 секунд:

Ваше утверждение (не прямым текстом, но Вы ведь это имели в виду?), что в базах DrWeb гарантировано нет ни одного специального детекта для битых файлов - я понял и принял к сведению.

Как Вы верно выразились, я не могу ничего гарантировать в данном случае. Но мне неизвестно о том, что в базу сознательно добавлялись битые образцы. По крайней мере, во многих наших материалах это утверждается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
.е. антивирусы не для пользователей, а для тестов?

Вы меня вообще убиваете.

А ещё более удручает, что это мнение большинства.

А ещё больше не радует, что к таким горе-тестерам прислушиваются многие.

Прислушиваются, а как еще? Миллионы людей читают газеты и смотрят телек, впитывая каждое слово диктора, не все же имеют хорошее высшее образование и аналитический склад ума. Я не говорю, что все вокруг - вранье, но стоит все же больше ориентироваться на то, как тот или или иной факт увидят окружающие, как его правильно преподнести. Особенно в бизнесе, это задача PR.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Точно также у тесторов нет времени тестировать каждый из 100 тысяч семплов на работоспособность. И думаю никогда не будет.

Сработать детектирование на таком файле могло только в случае, если детект был сделан по пакованному коду, а не по коду самого Пинча.

Наш тест антивирусов на поддержку упаковщиков, как я помню, показал, что многие вендоры не гнушаются детектом по пакованному коду. А некоторые, типа F-Prot мне еще доказывали, что это правильно.

использовать эту незначительную техническую деталь как средство позиционирования на рынке (а заявления Данилова - это позиционирование) - довольно смешно.

На позиционирование не тянет, скорее на отмазку в контексте меньшего количества записей в антивирусной базе данных, чем у конкурентов. Именно так оно и было. Тоже ход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не говорю, что все вокруг - вранье, но стоит все же больше ориентироваться на то, как тот или или иной факт увидят окружающие, как его правильно преподнести. Особенно в бизнесе, это задача PR.

Так и используется эта позиция в PR (по поводу недобавления мусора). И люди прислушиваются, и получаются из них потом постоянные пользователи. А как же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На позиционирование не тянет, скорее на отмазку в контексте меньшего количества записей в антивирусной базе данных, чем у конкурентов. Именно так оно и было. Тоже ход.

Сергей, насколько я знаю, количество записей вообще имеет не много общего с количеством детектируемых вирусов. Потому как у каждого продукта все по разному устроено, у кого одной сигнатурой 1 вирь покрывается , а у кого 10.

А вот такую отмазку я слышал много раз: "В тестовых коллекциях Клименти (AV-Comparatives.org) и Маркса (AV-Test.org) огромное количество мусора, детект которого такие как Касперский специально добаляют в базы. Именно по этому Касперский один из лидеров по детекту в этих тестах. Мы же (Доктор Веб) мусор не детектим, поэтому в этих тестах и занимаем низкие позиции. Но эти тесты к реальной жизни не имеют отношения, т.к. в реальной жизни детектить мусор незачем"

Теперь мы видим, что случается, что мусор таки детектится :D

Но конечно он дететктится непроизвольно, тогда как нехороший касперский детектит мусор специально, чтоб тесты выигрывать. Падла такая :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Теперь мы видим, что случается, что мусор таки детектится Very Happy

Это скорее исключение из правила. Да и файла пока нет, чтоб пощупать.

Но конечно он дететктится непроизвольно, тогда как нехороший касперский детектит мусор специально, чтоб тесты выигрывать. Падла такая Laughing

Правда, приятно поругаться в прямом эфире? :)

Никто плохого про Касперского не говорил в данном контексте.

Были озвучены 2 противоположные позиции, не более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да ладно Валера, вот ваши слова как раз о том, что я сказал. Вы обвиняете Касперского в сознательном детекте мусора.

Одно дело, когда мусор добавляется в базу сознательно в базу Касперского, а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

Разницу улавливаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да ладно Валера, вот ваши слова как раз о том, что я сказал.

Да, в приведённой цитате написано, что одно дело, когда сознательно, а другое дело, когда так получается спонтанно.

Т.е. два разных подхода.

Я не ругался, как Вы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файл от камрада 4rward был получен и тщательно проанализирован.

Итог: детект сделан по нормальному файлу, но в данном случае так получилось, что сингатура оказалась и в этом куске.

Вопрос, полагаю, исчерпан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Файл от камрада 4rward был получен и тщательно проанализирован.

Итог: детект сделан по нормальному файлу, но в данном случае так получилось, что сингатура оказалась и в этом куске.

Вопрос, полагаю, исчерпан.

пришлите файл мне пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...