Retrospective/ProActive Test May 2008 and KIS v8 (proactive test)

[Dmitry Perets 30]

Но ведь получается, что для этого надо вирус запустить

И да, и нет. При простом сканировании в КИС действует эмулятор. При попытке запуска действует тот же эмулятор, но с более жёсткими настройками, + дополнительные скрипты, "эволюциирующие" из AVZ. В обоих случаях мы имеем дело с АНАЛИЗОМ КОДА. Т.е. всё это происходит ещё ДО запуска приложения. Лишь когда рейтинг опасности будет рассчитан и все проверки будут проведены, HIPS разрешит или не разрешит приложению запуститься.

После запуска приложения действует ЕЩЁ ОДИН компонент - Proactive Defense. Вот он уже анализирует поведение запущенного приложения.

Большое спасибо. Я не комментирую цифру в 68%, как низкую или высокую. Просто у меня создалось впечатление,что третий пункт этой фразы предполагает еще некий прирост результатов.

Это действительно так! 68% - это процент, который НЕ ВКЛЮЧАЕТ в себя зловредов, которые могли бы быть заблокированы модулем Proactive Defense. Ведь этот модуль, в отличие от всех остальных, действует уже после запуска приложения. Так что результирующий процент для пользователя KIS 2009 был бы выше 68%. На сколько - вот это сложно сказать.

Я тоже - о своем. Следует ли понимать, что эвристика на современном этапе достигла своего вероятностно-прогнозируемого максимума? И иной альтернативы, кроме поведенческих блокираторов, нет?

Защита должна быть многоуровневой. Это самый актуальный принцип сегодня, имхо. Ни сигнатуры, ни эмуляция, ни поведенческий анализ, ни whitelistening не дадут вам наилучшего результата, так как наилучший результат достигается их совокупностью.

Мы же говорим о защите, а не о ликвидации последствий в ее дырах?

Вот именно. И поэтому пока даже самый лучший на рынке эмулятор не способен дать выше 60-70% даже в тестах, отказываться от "сомнительного хипса" и "сомнительных ежечасных обновлений" не целесообразно имхо.

[bse 115]

имхо, общий результат проактивной защиты по совокупности:

1. эмулятор-лидер + "сложно сказать" сколько от поведенческого блокиратора = 70 + ?

2. эмулятор ниже среднего + сомнительный хипс + "сложно сказать" сколько от поведенческого блокиратора = 68 + ?

И поэтому пока даже самый лучший на рынке эмулятор не способен дать выше 60-70% даже в тестах, отказываться от "сомнительного хипса" и "сомнительных ежечасных обновлений" не целесообразно имхо

именно тем, кто из п.2, нецелесообразно, имхо.

Защита должна быть многоуровневой. Это самый актуальный принцип сегодня, имхо. Ни сигнатуры, ни эмуляция, ни поведенческий анализ, ни whitelistening не дадут вам наилучшего результата, так как наилучший результат достигается их совокупностью

именно тем, кто из п.1, это менее актуально, а конструкция проще, имхо.

Я хочу сказать, что тезис

хипс это один из трендов развития индустрии

может все-таки не так актуален, как это пытаются представить те, кто не может без него обойтись?

[Олег Гудилин 95]

может все-таки не так актуален, как это пытаются представить те, кто не может без него обойтись?

У меня простой вопрос: почему Вы считаете надежду только лишь на один эмулятор более актуальным направлением, чем развитие нескольких технологий одновременно (пусть и не все развиваются равномерно)?

2. эмулятор ниже среднего + сомнительный хипс + "сложно сказать" сколько от поведенческого блокиратора = 68 + ?

Честно говоря после этого желание беседовать несколько отпадает. 42% эмулятором это результат далеко не ниже среднего. Что сомнительного в хипсе тоже непонятно.

[bse 115]

извините, но все стремятся к 100%. середина - 50%. остальное - ниже (?). а у Вас математика какая?

у меня не хватает знаний что-либо считать. я просто задаю вопросы, основываясь на Ваших же словах и рассуждениях. в хипсе сомнительно само его присутствие. меньше элементов - проще управлять, и нет необходимости распыляться, и строить сложные конструкции.

мне казалось, что были комплексные пакеты на основе антивирусов, потом - на основе файерволов.

а КИС 2009 - пакет на основе хипса, первый в своем роде. а хипсу нужно периодически вправлять мозги. еще и для этого имеется отдельный инструмент. имхо, слишком все сложно при наличии простых путей.

[Олег Гудилин 95]

извините, но все стремятся к 100%. середина - 50%. остальное - ниже (?). а у Вас математика какая?

Не извиню. Лучший эвристик показал результат 70%, меньше 42% результат у 10 продуктов, лучше, исключая фолсящие, у 3. Это результат не ниже среднего. У меня математика такая.

КИС 2009 - пакет на основе хипса, первый в своем роде. а хипсу нужно периодически вправлять мозги. еще и для этого имеется отдельный инструмент. имхо, слишком все сложно при наличии простых путей.

Вправлять мозги хипсу надо, если Вы хотите получить результат обнаружения выше 68%. Результат 68% Вы получите в режиме домохозяйки, которому вправлять ничего не надо.

[Olegka-2007 0]

Это результат не ниже среднего.

Скажите пожалуйста, может Вы в курсе, когда планируется "расширение" баз по семействам? Ну не дело - заменили один символ, а вирус не детектится уже. И для каждого сэмпла нужна запись в базу. Насколько я знаю у конкурентов уже давно существует подобная технология. Помню как-то grnic говорил, что скоро эту технологию введут. Но мне кажется воз и ныне там.

[bse 115]

уровень ниже среднего - по степени обнаружения, а не по числу участников, у некоторых из которых он вообще нижайший. математика и в Африке - математика. речь не о ней. можете иметь свою собственную.

а вот если простые пути не доступны, "нормальные герои всегда идут в обход".

далее без иронии. желаю комплексному КИС 2009 работать, как часы, при всей своей сложности в конструкции никогда не давать сбоев, обеспечить самый лучший общий результат. желаю ЛК антивирусных успехов.

[Олег Гудилин 95]

уровень ниже среднего - по степени обнаружения, а не по числу участников, у некоторых из которых он вообще нижайший. математика и в Африке - математика. речь не о ней. можете иметь свою собственную.

Ну на мой взгляд в данном случае надо считать медиану и отталкиваться от нее, а не от 50%. Потому как если бы у всех проактивный детект был ниже 50%, то вряд ли про надетективших скажем 49% Вы бы сказали результат ниже среднего. Ну да не будем спорить.

далее без иронии. желаю комплексному КИС 2009 работать, как часы, при всей своей сложности в конструкции никогда не давать сбоев, обеспечить самый лучший общий результат. желаю ЛК антивирусных успехов.

Спасибо.

Скажите пожалуйста, может Вы в курсе, когда планируется "расширение" баз по семействам? Ну не дело - заменили один символ, а вирус не детектится уже. И для каждого сэмпла нужна запись в базу. Насколько я знаю у конкурентов уже давно существует подобная технология. Помню как-то grnic говорил, что скоро эту технологию введут. Но мне кажется воз и ныне там.

У нас детекты *.gen были, есть и будут. Будет больше. Кстати, например, наличие расширенной сигнатуры у конкурентов на семейство не означает, что новый зловред будет детектится этой сигнатурой. Эту сигнатуру часто переписывают при появлении новых экземпляров и только после этого появляется детект.

[Olegka-2007 0]

У нас детекты *.gen были, есть и будут. Будет больше. Кстати, например, наличие расширенной сигнатуры у конкурентов на семейство не означает, что новый зловред будет детектится этой сигнатурой. Эту сигнатуру часто переписывают при появлении новых экземпляров и только после этого появляется детект.

А у нас будет детектится? Просто ни разу не видел и не слышал про такой детект. Ну если так, то приклоняюсь перед вами - молодцы!

Может все-таки технологию купить и не мучатся. Этой как уровень детекта повысится сразу, если один эмулятор будет брать 70%. Хотя ЛК наверно на это не решится.

[Олег Гудилин 95]

А у нас будет детектится? Просто ни разу не видел и не слышал про такой детект. Ну если так, то приклоняюсь перед вами - молодцы!

А есть люди, которые слышали: http://www.google.ru/search?complete=1&amp...art=10&sa=N

[bse 115]

Ну на мой взгляд в данном случае надо считать медиану и отталкиваться от нее, а не от 50%. Потому как если бы у всех проактивный детект был ниже 50%, то вряд ли про надетективших скажем 49% Вы бы сказали результат ниже среднего

извините, имхо, стремитесь к 100!

и желаю Вам все 100!

зачем принижать планку до 70 текущего лидера?

реплика.

есть и еще классная цитата из детства - "поле чудес в стране дураков".

с недавних пор после приобретения мною одного антивирусного продукта, не обеспечивающего заявленный производителем функционал, главным критерием при оценке всех антивирусных решений я субъективно считаю "степень запудривания непродвинутых юзверских мозгов производителем", имхо.

прошу не обижаться, что придираюсь к словам.

+1, не будем спорить.

[Олег Гудилин 95]

"степень запудривания непродвинутых юзверских мозгов производителем"

Да, было бы полезно провести сравнительный анализ антивирусов по этому критерию, но боюсь такой анализ будет очень субъективным, кто бы его не проводил.

[Olegka-2007 0]

А есть люди, которые слышали: http://www.google.ru/search?complete=1&amp...art=10&sa=N

Понял, спасибо за ссылку.

[alexgr 556]

100% пока не достижимо ни одной технологией. Стремление слева всегда начинается от некоего стартового барьера, будет он взят 42 или 68 - не суть важно. Важна тенденция - роста результатов, полученных при применении не одной, а нескольких технологий на сегодня. Завтра прирост может оказаться еще более существенным... Пока идет отработка технологий, и ХИПС - одна из них. Сказать - где перспектива, а где нет - сразу никто не скажет. Эмулятор с 100% - это пока мечта, думаю, что недостижимая

[bse 115]

было бы полезно провести сравнительный анализ антвирусов по этому критерию

надеюсь, это не флуд.

как раз независимые эксперты и независимые тестеры независимого портала могли бы давать заключения.

метода проста.

максимум - 0 (ноль).

минимум - минус столько-то баллов. написал, к примеру, производитель в описании продукта на коробке (в рекламе, в интернет-магазине) 23 слова - каждое проверили и оценили. за каждое несоответствие минус один. итого минимум - минус 23.

и писать будут меньше, и отвечать за каждое слово.

или больше, но более ответственно.

имхо.

[Олег Гудилин 95]

Да нет, это не флуд, но офтоп. Развейте эту тему в отдельном топике.

[bse 115]

Я, как и Олег Гудилин, никак не могу согласиться с выражением "ниже среднего" и предложенным вами методом расчёта. То что вы описали (в сравнении со 100%) - это не "ниже среднего", это "меньше половины". Просто по-русски. Никакого маркетинга.

Спорить с производителем - дело не благодарное. Ни одна мамочка не даст свое дите в обиду при любом раскладе.

А вот спорить с экспертами очень даже интересно.

1. Хочет ли сказать эксперт, что при разных экспертизах он будет применять разные критерии? Cегодня число 100 = 70, а чему оно будет равно завтра?

2. Думаю, что про файерволлы здесь эксперт не будет продолжать? Особенно после постов ##36, 37...

Экспертное мнение http://www.anti-malware.ru/forum/index.php...9&st=0&

[Dmitry Perets 30]

Пардон, что в прошлый раз ответил в другой теме. Почему-то показалось, что тут это флуд, и мы переезжаем туда =) Раз нет, то прошу админов перенести мой пост в эту тему. Хотя не столь важно, ссылка на него выше есть в любом случае.

1. Хочет ли сказать эксперт, что при разных экспертизах он будет применять разные критерии? Cегодня число 100 = 70, а чему оно будет равно завтра?

Разумеется, да! Потому что "выше среднего" - это не "больше половины". "Больше половины" - это абсолютно статичное значение, равное ">50%". Оно не зависит ни от количества участников, ни от их результатов.

А "выше среднего" - это СРАВНИТЕЛЬНОЕ значение. Среднее значение зависит от показателей участников, а не от абсолютного идеала. Ну... так меня учили на уроках статистики, может они врали. Давайте проголосуем =) Лично я принимаю две возможных трактовки: либо вариант с расчётом медианы, как предложил Олег Гудилин, либо на худой конец простой average (имхо не особо показательно в данном случае, но всё равно лучше, чем ваш вариант).

2. Думаю, что про файерволлы здесь эксперт не будет продолжать? Особенно после постов ##36, 37...

Не совсем понимаю, причём тут эти посты. Поясните плиз. Про фаерволлы могу продолжить, но просто не хотелось бы расширять тему настолько, что в результате каждый будет спорить о чём-то своём =)

[bse 115]

Прошу Вас посмотреть на ситуацию под несколько другим углом.

1. Вы отозвалисть на обращение "эксперт".

Я, как и Олег Гудилин, никак не могу согласиться

Вы можете не согласиться со мной, но Вы не можете соглашаться с производителем. Производитель имеет право на интерпретации - он отстаивает свою позицию с максимальной для себя выгодой. Эксперт дает заключение. Без комментариев. Иначе Вы не эксперт, а фанат.

2. Мы обсуждаем конкретный продукт и его конкретные показатели, остальные нас не интересуют.

Среднее значение зависит от показателей участников, а не от абсолютного идеала

Сравнительный анализ - это сам тест.

3. Числа 42 и 68 изначально от чего посчитаны? От 100? Вы же не хотите сказать, что количественные показатели КИСы еще ниже? Вот от 100 и пляшем.

Остальное.

так меня учили на уроках статистики

Это мне понятно. Спасибо. Лингвистика и статистика - хорошие науки.

Не совсем понимаю, причём тут эти посты. Поясните плиз. Про фаерволлы могу продолжить

Обсуждая проактивную защиту здесь, Вы в другом месте упомянули про утечки и про файерволлы. Именно потому, что не вижу связи, продолжать и не прошу.

Экскурс в историю. А здесь Вы какие медианы проведете?

[Иван 290]

но Вы не можете соглашаться с производителем.

вот это сильное замечание: эксперт не может соглашаться с производителем

надо запомнить

[Dr.Golova 55]

Ммм, сколько мнений... Можно я свое добавлю?

1) Эвристика - безсигнатурный детект малвары. На данный момент, это может быть (читай: я понимаю как работает) - а) Совсем дубовый детект по известным пакерам (авира, и все остальные), детект по заголовкам/характеристикам секций РЕ файла (панда, авира, нод, макафе, каспер, и все остальные). б) Статический детект по ошметкам кода (дрвеб, авира, вба32, каспер, и некоторые остальные). с) Статический детект с трассировкой codeflow (дрвеб, каспер, битдефендер,...). д) Динамическая трассировка на эмуляторе (нод, битдефендер, каспер, вба32). е) true generic - трассировка на эмуляторе + поведенческие эвристики (нод, каспер, битдефендер). Содержимое скобок я писал только тогда, когда был полностью уверен, так что можете дописывать (да и методы тоже можно дополнять)

Итого: а,б,с,д - это в первую очередь сигнатурные методы, хотя и эвристические - они так или иначе базирутся на уже известных малварах.

е - читстая эвристика, именно по этому она будет просасывать в detection-rate по сравнению с а,б,с,д.

2) PDM - ловит подозрительные действия. Например запись в авторан и раскладывание своих копий по шарам - это p2p.worm. PDM это поймает только после окончания критический действий - "раскладка по шарам + запись в авторан". Тут показывается красный алерт, и юзеру дается выбор (зря!). А дальше самое главное - грамотный откат малварных изменений. Вот по этому поводу жалоб на продукты LK не поступало - все откатывается великолепно =)

Итого плюсы эвристики 1.е - гибкость и независимость от баз. Минусы - медленно работает. Плюсы PDM - работает моментально. Минусы - не все может (если кто-то меняет файл внутри виртуальной файловой системы эмулятора, то это однозначно файловый вирус, а если PDM это детектит, то это может быть и апдейтер винды, ставящий очередной сервиспак).

3) ХИПС - гибрид двух предыдущих техногий. Сначала приложение работает в виртулизированном пространстве. Если оно ничего критического не изменило за это время, оно отпускается в реальную систему, и отдается под контроль PDM.

Про рейтинги спецально писать не буду.

UPD:> Для любителей комментировать - не забывайте, что я дебил. Оранжевого телепузика на аваторке зовут "ПО". Ему так же как и мне все по....

[bse 115]

Dr.Golova, большое спасибо за разъяснения.

не забывайте, что я дебил.

Я прежде обратил внимание на Ваш орден, а того, чего не знал, забыть не мог. Теперь все же забуду.

Dmitry Perets, если у Вас нет новых комментариев цифр, предлагаю прекратить взаимные комментарии слов.

Еще раз всем спасибо.

[EYE 59]

UPD:> Для любителей комментировать - не забывайте, что я дебил. Оранжевого телепузика на аваторке зовут "ПО". Ему так же как и мне все по....

...Иногда мне кажется, что такую концентрацию людей, со столь тонким чувством юмора,

можно встретить только на antimalware.ru =)))

[Dmitry Perets 30]

1. Вы отозвалисть на обращение "эксперт".

Я отозвался на вопрос, касающийся моих постов. Как вы при этом меня назвали и насколько серъёзны в тот момент были, меня мало волнует, честно говоря =0

Вы можете не согласиться со мной, но Вы не можете соглашаться с производителем.

Я соглашаюсь с любым человеком, с которым я согласен. Иван, имхо эта цитата тоже достойна!

Dmitry Perets, если у Вас нет новых комментариев цифр, предлагаю прекратить взаимные комментарии слов.

Согласен. Имхо я уже всё прокоментировал.

(если кто-то меняет файл внутри виртуальной файловой системы эмулятора, то это однозначно файловый вирус, а если PDM это детектит, то это может быть и апдейтер винды, ставящий очередной сервиспак).

Кстати, а почему? Это я не в качестве спора, я действительно не знаю ответа.

[bse 115]

вот это сильное замечание

Иван, имхо эта цитата тоже достойна!

Я могу поинтересоваться, что имеется ввиду по поводу моих слов?