Перейти к содержанию
4rward

Странный ответ от viruslab Dr.web

Recommended Posts

4rward

Я хотел бы услышать комментарии по поводу неоднозначного отношения к сигнатурам у компании Dr.web.Никаких личных антипатий нет-дело чисто интереса.

Ситуация: Drweb 4.33 детектит файл как пинч (заелаб этот пинч, в самом деле) . Я файл скинул на virustotal - детект только у доктора.Это меня заинтересовало.Я отправил файл в вирлаб доктора.Далее переписка :

"Вск. Авг. 19 12:57:31 2007, 4rward@mail.ru писал:

> User comment: Здравствуйте

> Данный файл является повреждённым exe-файлом неспособным к запуску,но

> детектится как Pinch(Причём только Dr.web)

> Хотелось бы услышать ваши комментарии

> User language: ru

> User email: 4rward@mail.ru

> Original file name:

> E:utilsantivirusVirusLast_threatdetected_by_drweb3[1].exe

> File size: 3986

> MD5: a10d2af1fd0c2fc46b147784cd383425

>

Да, файл битый, но этого "огрызка" хватило чтобы опознать в нем

известный вирус. "

А теперь внимание вопрос - зачем детектить порванный файл ?

Между прочим , исходя из заявлений компании , особенностью сигнатурного детекта у доктора является обнаружение только полноценных вирусов( а не "различного мусора , имеющего отдалённое отношение к вирусам и лишь засоряющего антивирусные баз ,искусственно увеличивая тем самым вирусные записи и замедляющего работу антивируса , " прим.И.Д.) ,способных к запуску.Об этом неоднократно заявлял сам Данилов в своих интервью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

имхо.

если файл активно и широко распространен (-няется) его надо детектить, даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

все так делают и все детектят такие файлы.

Слова Данилова обсуждать не буду, все давно ясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

Согласен. Потом еще такие битые файлы попадают в базы тестеров, которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект.

Поэтому лучше уж детектить такие семплы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4rward
имхо.

если файл активно и широко распространен (-няется) его надо детектить' date=' даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

все так делают и все детектят такие файлы.

Слова Данилова обсуждать не буду, все давно ясно.[/quote']

Согласен. Потом еще такие битые файлы попадают в базы тестеров' date=' которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект. [/quote']

Поэтому лучше уж детектить такие семплы.

Хорошо- тогда объясните мне :

1) почему этот же файл посланный в вирлаб касперского( и не только ) был отвергнут ввиду его битостии и т.д.

2) почему только вирлаб доктора его детектит - хотя это уже довольно старый файл и не раз попадается ( и не через почту а как атач инсталляторов популярных программ)

Добавлено спустя 9 минут 21 секунду:

Блин , парни , я же не просто так спрашиваю , не нуб всё-таки , а то что вы ответили это в принципе предсказуеммммо,НО ФАКТЫ ВСЁ-ТАКИ РОЗНЯТЬСЯ

Добавлено спустя 54 секунды:

..........ссори , правильнее разнятся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Товарищи, товарищи, ну не надо в очередной раз делать из мухи слона.

Одно дело, когда мусор добавляется в базу сознательно в базу Касперского, а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

Разницу улавливаете?

Проблему видите?

Я не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Блин , парни , я же не просто так спрашиваю , не нуб всё-таки , а то что вы ответили это в принципе предсказуеммммо,НО ФАКТЫ ВСЁ-ТАКИ РОЗНЯТЬСЯ

Добавлено спустя 54 секунды:

..........ссори , правильнее разнятся

Ну смотрите, попытка заразить сей файл очевидно была. Но окончилась неудачей, файл битый. Далее файл попадает в разные вир.лабы, где сидят разные аналитики. Кто-то увидел, что файл битый и поэтому нет смысла его детектить. Кто-то просто увидел признаки пинча и тут же кинул в базы. Кто-то увидел признаки пинча, увидел и признаки битости, но решил как А. и всё равно кинул в базы. Здесь дело не столько в политике компании, сколько в политике конкретного аналитика. Я тут проблемы не вижу особой. Т.е. если бы какой-то аналитик обозвал троянцем чистый файл либо наоборот обозвал чистым небитого троянца, то была бы проблема. А в таких случаях имхо нет ничего страшного в том, что мнения разнятся... Файл точно не полезный, но и не вредный для юзера в силу битости...

Ну а в целом я согласен с А., если в битом файле просматривается троянец, почему бы не положить его в базы. Подумайте так: если пользователь увидит, что его антивирус не детектит то, что детектится кем-то другим, то он вполне естественно начнёт волноваться, поскольку он-то не уверен, бит файл или нет. Ни к чему нервировать пользователся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Или вы хотите, чтобы детект конкретного битого образца убрали?

Ну так это глупости. Т.к. мы снова вернёмся к изначальной проблеме - добавление в базу записей, которые на этот раз НЕ детектят каждый конкретный мусор, который определяется основной сигнатурой.

Это же не ложное срабатывание как-никак, т.е. файл-то этот полезным никогда не станет...

В общем, думаю, я довольно подробно логику изложил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

"Бред" (с)

Валерий, смотрите внимательней:

> File size: 3986

а теперь думайте

еще думайте

спросите более опытных коллег

еще раз подумайте

потом напишите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
"Бред" (с)

Вы слишком часто и слишком многим в последнее время пишете это слово. Так часто, что оно превратилось в слово-паразит и вызывает только улыбку.

А теперь скажите:

Файл полезный? Нет.

Сигнатура писалась по битому файлу? Нет.

Ситуация отличается от того, когда добавляется изначально битый образец? Отличается.

Да, на размер файла я не обратил внимание. Он не слегка битый, от него остался достаточно небольшой кусок. Но его хватило, чтобы сигнатура сработала.

Коллег я спрашиваю. И думаю. И не бросаюсь импульсивными фразами по любому поводу. А Вам надо бы в отпуск - слишком много повторов во фразах, слишком много злобы. Поверьте, этот файл не стОит того :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
если файл активно и широко распространен (-няется) его надо детектить, даже несмотря на "битость". хотя бы потому что нет никакого смысла позволять ему гулять в почтовом трафике (если по почте проспамили), нет никакого смысла тратить кучу времени и ресурсов на обьяснения юзерам - почему вы не детектите, а вот другие детектят.

Это мнение одной из компаний. Но это не значит, что оно единственно верное.

На самом деле запросов про недетект битых файлов не так уж и много (вернее, их почти нет).

И не надо писать, что я не обладаю информацией на этот счёт. Я обладаю статистикой по запросам в нашу техподдержку.

И тут стОит задуматься, стОит ли игра свеч? Ведь весь этот мусор содержится в базе, а база занимает ресурсы компьютера каждого пользователя. Или когда рассылка битых файлов проходит, их удаляют из базы? Это было бы логичным, но этого же нет, насколько я понимаю?

Может быть, стОит ответить на пару запросов в месяц, чем добавлять каждый же месяц килограмм мусора в базу?

все так делают и все детектят такие файлы.

А если все начнут с крыши прыгать?

Конкуренция на антивирусном рынке во многом потому и сохраняется, что каждый из вендоров имеет несколько (а иногда и сильно) разные взгляды на одни и те же (для некоторых) прописные истины.

Слова Данилова обсуждать не буду, все давно ясно.

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Поэтому отвечу Вашими словами, господин A. - думайте, думайте и ещё раз думайте, прежде чем что-то писать, советуйтесь с более квалифицированными сотрудниками, будьте более добрым и менее категоричным в своих суждениях.

Добавлено спустя 13 минут 7 секунд:

Согласен. Потом еще такие битые файлы попадают в базы тестеров, которые естественно каждый семпл на работоспособность не проверяют, и предется еще отмазываться почему такой низкий детект.

Поэтому лучше уж детектить такие семплы.

Т.е. антивирусы не для пользователей, а для тестов?

Вы меня вообще убиваете.

А ещё более удручает, что это мнение большинства.

А ещё больше не радует, что к таким горе-тестерам прислушиваются многие.

Добавлено спустя 29 минут 24 секунды:

Ну смотрите, попытка заразить сей файл очевидно была. Но окончилась неудачей, файл битый.

Насколько я понимаю, Trojan.PSW.LDPinch не заражает файлы. Или это просто к примеру было написано?

Подумайте так: если пользователь увидит, что его антивирус не детектит то, что детектится кем-то другим, то он вполне естественно начнёт волноваться, поскольку он-то не уверен, бит файл или нет. Ни к чему нервировать пользователся...

Когда кажется, нужно креститься.

Когда непонятно - нужно спрашивать.

Поддержка для лицензионных пользователей бесплатна.

И спрашивают часто, если разница в детекте. Но чтобы в результате оказалось, что это битый файл - это достаточно редко получается.

Но это психология поведения лицензионного пользователя.

Другое дело, что пока больше нелицензионных пользователей, чем лицензионных, но это уже другая (и даже больше их самих) проблема.

Пользователи же пиратских копий/ключей/лицензий действительно прыгают по движению ветра с одного антивируса на другой, но для них ли мы стараемся?

В общем, проблема сложная и достаточно неоднозначная, поэтому у неё вполне может быть несколько приемлемых решений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

4rward, можно ли получить либо сам файл, либо номер тикета нашего вирлаба?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Вы слишком часто и слишком многим в последнее время пишете это слово. Так часто' date=' что оно превратилось в слово-паразит и вызывает только улыбку.

[/quote']

"Ложь" (с) :)

всего лишь второй раз, Валерий, всего лишь второй раз. А Вы продолжаете обобщать и строить выводы на собственных домыслах :)

Сигнатура писалась по битому файлу? Нет.

Это может знать только аналитик' date=' который добавлял детектирование. Это может знать человек, который имеет доступ к описанному файлу и доступ к базе антивирусных записей (исходной).

Вы, этими людьми, не являетесь, поэтому утверждать "Нет" никак не можете.

Отсюда и моя реакция на эти Ваши утверждения. Валерий, давайте все-таки будет как-то дифференцировать знания и источники, ага ? Не стоит Вам влезать в споры по техническим темам, в которых Вы не являетесь экспертом и не имеет опыта практической работы. У Вас гораздо лучше получается совсем другое.

Да, на размер файла я не обратил внимание. Он не слегка битый, от него остался достаточно небольшой кусок. Но его хватило, чтобы сигнатура сработала.

В этом своем утверждении Вы оперируете исключительно словами аналитика DrWeb из процитированного выше ответа. Вы не знаете какая именно часть файла отсутствует, Вы не знаете на какое именно место было сделано детектирование. Поэтому я и просил Вас подумать и спросить коллег. Про данный конкретный файл. Как именно он "убит" - у него повреждена точка входа, у него просто отрезан кусок (сверху, снизу, в центре) ? Вы этих ответов не знаете...

Обьясняю свою мысль - Пинч, на 99.9%, упакованпокриптован. Если файл битый - он не распакуется. Сработать детектирование на таком файле могло только в случае, если детект был сделан по пакованному коду, а не по коду самого Пинча.

Коллег я спрашиваю. И думаю. И не бросаюсь импульсивными фразами по любому поводу. А Вам надо бы в отпуск - слишком много повторов во фразах' date=' слишком много злобы. Поверьте, этот файл не стОит того :)[/quote']

Бростье, Валерий - мы тут целый месяц молчали, я прям соскучился. Вы видать тоже, раз одно мое слово спровоцировало вас на написание столь обьемных и пространных постов ни о чем :)

Добавлено спустя 15 минут 32 секунды:

Это мнение одной из компаний. Но это не значит' date=' что оно единственно верное.

[/quote']

Не одной. Многих. Скажем так - я знаю только одну компанию, которая считает иначе. Конечно "сто тысяч леммингов" могут ошибаться, но вот использовать эту незначительную техническую деталь как средство позиционирования на рынке (а заявления Данилова - это позиционирование) - довольно смешно. Хотя бы потому что факты показывают другое. И если мне Вы еще сможете обьяснить (сможете ведь?) как такое происходит, то пользователям - вряд ли :) Пример - весь этот топик.

На самом деле запросов про недетект битых файлов не так уж и много (вернее' date=' их почти нет).

И не надо писать, что я не обладаю информацией на этот счёт. Я обладаю статистикой по запросам в нашу техподдержку.

[/quote']

Когда у вас будет сопоставимое число пользователей, включая ОЕМ-партнеров, уровня F-Secure, Juniper, G-DATA и т.д. - тогда и поговорим у кого и почему такие запросы есть ...

И тут стОит задуматься' date=' стОит ли игра свеч? Ведь весь этот мусор содержится в базе, а база занимает ресурсы компьютера каждого пользователя. [/quote']

Вас послушать, так прямо этот "мусор" занимает десятки гигабайт и жрет оперативку тоннами :) Нет с этим проблем, понимаете. Нет.

Во-первых, его немного, правда немного, не более пары записей в месяц.

Во-вторых, даже если бы его было на порядок больше - на скорости работы это бы не отразилось. Ну вот так вот сделан движок KAV :)

Или когда рассылка битых файлов проходит' date=' их удаляют из базы? Это было бы логичным, но этого же нет, насколько я понимаю?[/quote']

Есть, причем это обычная практика. Записи для распространенных, но битых файлов, имеют идентификатор варианта .dam

Mydoom.dam, например.

А может вы хотите поговорить еще о том, зачем нужны в базах дос-вирусы ;)

Может быть' date=' стОит ответить на пару запросов в месяц, чем добавлять каждый же месяц килограмм мусора в базу?[/quote']

Хотите провести исследование и с цифрами на руках доказать Ваше утверждение про "килограмм мусора" ? Нет ? Тогда прекратите бросаться словами.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Слова Данилова обсуждать не буду' date=' все давно ясно.[/quote']

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Это Вы к чему написали ? Что вообще имелось в виду ?

В общем' date=' проблема сложная и достаточно неоднозначная, поэтому у неё вполне может быть несколько приемлемых решений.[/quote']

Бинго!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
"Ложь" (с) Smile

всего лишь второй раз, Валерий, всего лишь второй раз. А Вы продолжаете обобщать и строить выводы на собственных домыслах Smile

http://antimalware.ru/phpbb/viewtopic.php?...700a15493#22419

http://antimalware.ru/phpbb/viewtopic.php?...dd80f1e20#22439

Слишком много повторов для одного топика, поэтому отпечаталось.

Не стоит Вам влезать в споры по техническим темам, в которых Вы не являетесь экспертом и не имеет опыта практической работы.

Что мне стОит делать, а что нет - решать только мне.

Вы мне не начальник и вообще никто.

У меня достаточно приличный опыт работы, чтобы участвовать в тех дискуссиях, которые мне интересны.

В этом своем утверждении Вы оперируете исключительно словами аналитика DrWeb из процитированного выше ответа. Вы не знаете какая именно часть файла отсутствует, Вы не знаете на какое именно место было сделано детектирование. Поэтому я и просил Вас подумать и спросить коллег. Про данный конкретный файл. Как именно он "убит" - у него повреждена точка входа, у него просто отрезан кусок (сверху, снизу, в центре) ? Вы этих ответов не знаете...

Именно поэтому я попросил либо файл, либо номер тикета из вирлаба.

Вы видать тоже, раз одно мое слово спровоцировало вас на написание столь обьемных и пространных постов ни о чем Smile

1. Мне надоели Ваши громкие сообщения, в которых конструктива на порядок меньше, чем самодовольства.

2. Я отвечал не только Вам.

Добавлено спустя 7 минут 37 секунд:

Кроме того, "бред" можно счесть за оскорбление.

бред (сущ м спец.)Симптом психического заболевания - расстройство мыслительной деятельности. бред (сущ м)Бессвязная речь больного, находящегося в бессознательном состоянии. Пример: больной в бреду бред (сущ м разг.)Нечто бессмысленное, вздорное, несвязное. Рассуждения его - сплошной бред.

(с) Толковый словарь.

Даже если Вы имели в виду последний смысл, то вряд ли Вы будете утверждать, что в моих словах совсем нет смысла, потому что я строю в своих сообщениях вполне прозрачные логические цепочки.

Если в них есть ошибки - добро пожаловать - обсуждайте.

Ошибки в логике - это не отсутствие логики.

Поэтому лучше поработайте над своим лексиконом, ибо всё же общаетесь с образованными людьми, не быдлом.

Добавлено спустя 5 минут 48 секунд:

Хотите провести исследование и с цифрами на руках доказать Ваше утверждение про "килограмм мусора" ? Нет ? Тогда прекратите бросаться словами.

Взаимно.

Когда у вас будет сопоставимое число пользователей, включая ОЕМ-партнеров, уровня F-Secure, Juniper, G-DATA и т.д. - тогда и поговорим у кого и почему такие запросы есть ...

Совсем не аргумент для обсуждаемой темы.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Насколько мне известно, проверяется. Как - не моя компетенция.

Valery Ledovskoy писал(а):

A. писал(а):

Слова Данилова обсуждать не буду, все давно ясно.

Легко, наверное, обсуждать (ну да, необсуждать) человека, который не участвует на этом форуме и поэтому не ответит?

Это Вы к чему написали ? Что вообще имелось в виду ?

Вот и я не пойму, что "давно ясно"?

Добавлено спустя 4 минуты 19 секунд:

В общем, далеко уже ушли от темы.

Ждём файлы.

А то неясно пока вообще, был ли мальчик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

как вы однако рано встаете Валера...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Мда.

Валерий, примите мои извинения по поводу высказываний, которые показались Вам черезчур резкими и обидными, особенно если они были приняты Вами на свой счет.

Проблема в том, что разобраться в этой ситуации можно только обладая файлом и зная куда именно попал детект. Только так можно понять - был он сделан специально на этот битый файл или нет. С другой стороны - эта информация заведомо будет нести в себе некие данные о принципах и способах работы антивирусного движка DrWeb. Несмотря на то, что эти данные известны многим, я не уверен, что Вы уполномочены на разглашение подобных сведений.

Получается замкнутый круг - правды Вы сказать не сможете по корпоративным причинам, а неправду очень легко будет установить, чего тоже не хочется.

Поэтому предлагаю просто остановиться и прекратить дальнейшее обсуждение, уже переросшее в взаимные личные нападки.

Причины по которым KAV детектирует некоторые битые файлы - я озвучил. О случаях когда детектирование делается на рабочий файл, но заодно детектирует битые - я даже не говорю, это бывает у всех антивирусных программ и это нормально.

Ваше утверждение (не прямым текстом, но Вы ведь это имели в виду?), что в базах DrWeb гарантировано нет ни одного специального детекта для битых файлов - я понял и принял к сведению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
как вы однако рано встаете Валера...

Чтобы успеть всё, приходится.

особенно если они были приняты Вами на свой счет.

Ну, если обращено лично ко мне, то сложно не отнести его на свой счёт. Я просто на будущее - выбирайте слова. Этот форум уже не тот, что был в начале его существования (респект его создателям за).

Проблема в том, что разобраться в этой ситуации можно только обладая файлом и зная куда именно попал детект.

Да, да, да. Ждём файл.

Но обсуждать проблему в целом это не мешает.

Получается замкнутый круг - правды Вы сказать не сможете по корпоративным причинам, а неправду очень легко будет установить, чего тоже не хочется.

Вердикт сказать можно и, не нарушая коммерческую тайну, поэтому не надо.

Другое дело, что путь, которым этот вердикт был получен, действительно оглашать не стОит.

Правда, боюсь, за этим всем флудом топикстартер покинул уже это место :)

Добавлено спустя 2 минуты 30 секунд:

Ваше утверждение (не прямым текстом, но Вы ведь это имели в виду?), что в базах DrWeb гарантировано нет ни одного специального детекта для битых файлов - я понял и принял к сведению.

Как Вы верно выразились, я не могу ничего гарантировать в данном случае. Но мне неизвестно о том, что в базу сознательно добавлялись битые образцы. По крайней мере, во многих наших материалах это утверждается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
.е. антивирусы не для пользователей, а для тестов?

Вы меня вообще убиваете.

А ещё более удручает, что это мнение большинства.

А ещё больше не радует, что к таким горе-тестерам прислушиваются многие.

Прислушиваются, а как еще? Миллионы людей читают газеты и смотрят телек, впитывая каждое слово диктора, не все же имеют хорошее высшее образование и аналитический склад ума. Я не говорю, что все вокруг - вранье, но стоит все же больше ориентироваться на то, как тот или или иной факт увидят окружающие, как его правильно преподнести. Особенно в бизнесе, это задача PR.

Кстати, скажите мне, в DrWeb КАЖДЫЙ поступающий на обработку файл - проверяется на работоспособность ? Если да, то каким образом ?

Точно также у тесторов нет времени тестировать каждый из 100 тысяч семплов на работоспособность. И думаю никогда не будет.

Сработать детектирование на таком файле могло только в случае, если детект был сделан по пакованному коду, а не по коду самого Пинча.

Наш тест антивирусов на поддержку упаковщиков, как я помню, показал, что многие вендоры не гнушаются детектом по пакованному коду. А некоторые, типа F-Prot мне еще доказывали, что это правильно.

использовать эту незначительную техническую деталь как средство позиционирования на рынке (а заявления Данилова - это позиционирование) - довольно смешно.

На позиционирование не тянет, скорее на отмазку в контексте меньшего количества записей в антивирусной базе данных, чем у конкурентов. Именно так оно и было. Тоже ход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я не говорю, что все вокруг - вранье, но стоит все же больше ориентироваться на то, как тот или или иной факт увидят окружающие, как его правильно преподнести. Особенно в бизнесе, это задача PR.

Так и используется эта позиция в PR (по поводу недобавления мусора). И люди прислушиваются, и получаются из них потом постоянные пользователи. А как же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
На позиционирование не тянет, скорее на отмазку в контексте меньшего количества записей в антивирусной базе данных, чем у конкурентов. Именно так оно и было. Тоже ход.

Сергей, насколько я знаю, количество записей вообще имеет не много общего с количеством детектируемых вирусов. Потому как у каждого продукта все по разному устроено, у кого одной сигнатурой 1 вирь покрывается , а у кого 10.

А вот такую отмазку я слышал много раз: "В тестовых коллекциях Клименти (AV-Comparatives.org) и Маркса (AV-Test.org) огромное количество мусора, детект которого такие как Касперский специально добаляют в базы. Именно по этому Касперский один из лидеров по детекту в этих тестах. Мы же (Доктор Веб) мусор не детектим, поэтому в этих тестах и занимаем низкие позиции. Но эти тесты к реальной жизни не имеют отношения, т.к. в реальной жизни детектить мусор незачем"

Теперь мы видим, что случается, что мусор таки детектится :D

Но конечно он дететктится непроизвольно, тогда как нехороший касперский детектит мусор специально, чтоб тесты выигрывать. Падла такая :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Теперь мы видим, что случается, что мусор таки детектится Very Happy

Это скорее исключение из правила. Да и файла пока нет, чтоб пощупать.

Но конечно он дететктится непроизвольно, тогда как нехороший касперский детектит мусор специально, чтоб тесты выигрывать. Падла такая Laughing

Правда, приятно поругаться в прямом эфире? :)

Никто плохого про Касперского не говорил в данном контексте.

Были озвучены 2 противоположные позиции, не более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

да ладно Валера, вот ваши слова как раз о том, что я сказал. Вы обвиняете Касперского в сознательном детекте мусора.

Одно дело, когда мусор добавляется в базу сознательно в базу Касперского, а другое дело, когда сигнатура, добавленная по небитому образцу определяет ещё и слегка битый образец.

Разницу улавливаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
да ладно Валера, вот ваши слова как раз о том, что я сказал.

Да, в приведённой цитате написано, что одно дело, когда сознательно, а другое дело, когда так получается спонтанно.

Т.е. два разных подхода.

Я не ругался, как Вы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dup

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Файл от камрада 4rward был получен и тщательно проанализирован.

Итог: детект сделан по нормальному файлу, но в данном случае так получилось, что сингатура оказалась и в этом куске.

Вопрос, полагаю, исчерпан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Файл от камрада 4rward был получен и тщательно проанализирован.

Итог: детект сделан по нормальному файлу, но в данном случае так получилось, что сингатура оказалась и в этом куске.

Вопрос, полагаю, исчерпан.

пришлите файл мне пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×