Перейти к содержанию
Николай Терещенко

Смерть классического антивируса

Recommended Posts

FLY

впинципе - да=)

хреновая мысль, угадал?=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Если принять, что спам является вирусом (тогда это по теме), то в Каspersky Antyspam старые сигнатуры удаляются, что и как удалять решает вендор.

Это очень показательно, так как кол-во спамерских образцов очень велико (в еденицу времени), а время жизни их мало. Время жизни - величина априорно неизвестная, но зависит она прежде всего от типа спамерской рассылки.

Если идёт реклама точной акции, то рассылка продлится до даты акции и т п.

Как мне пояснили, хранить ВСЕ спамерские образцы не имеет смысла.. это и понятно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
хреновая мысль, угадал?=)

На самом деле мысль интересная, если учесть, что последнее время выходит множество продуктов по обеспечению соблюдения политик безопасности, которые изолирут непрошедшие проверку узлы сети + распределенные антивирусные вычисления все равно так или иначе будут применяться в будущем в рамках корп. среды, это позволило бы разгрузить наиболее узкие каналы, или наоборот - рабочие станции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY

угу=) Хванч тоже похвалил=) буду думать мысль дальше.

З.Ы. -может, копирайт на идею поставить?=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

любые распределённые вычисления упираются в скорость обработки запроса. В нашем случае на неё буду влиять параметры активного оборудования/пасивного сетевого оборудования и сервера/серверов, представляете по каждому объекту запрос будет уходить в сеть :).

Второй вопрос заключается в резервировании, а если один участник сети выключится?

но мысль здравая :)

Главное что-то РАСШИРИТЬ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY

при гигабитной локальной сети, я думаю, проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

FLY

Хех, я думаю ещё долго таких сетей не будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
угу=) Хванч тоже похвалил=) буду думать мысль дальше.

З.Ы. -может, копирайт на идею поставить?=)

C копирайтом у Вас ничего не выйдет :)

Добавлено спустя 14 минут 57 секунд:

М.б. антивирусные компании под шумок производят удаление старых вирусов из своих баз?

Нет не удаляются, так как всегда есть честь клиентов, для которых старые вирусы актуальны. С другой стороны, очевидно, что экстенсивный подход --- тупиковый. В последнем сканирующие модуле Trend Micro упомянуто, что он подерживает уменьшенные базы, но делати технолоиги не известны.

Мне видется выход в разлении базы сигнутур на части. В каждой среде, антивирус при старте должен определять, какие части базы актуальны для данной системы и загружать только их.

Интересная идея. Если я Вас правильно понял Вы, Михаил, тоже допускаете возможность отказа от использования части сигнатур в зависимости от используемой ОС (сервис паков). Ваша идея, видимо, более прогрессивна. Я предлагал "взвалить" всю ответственность на пользователя: пользователь сам выбирает какие базы ему использовать. Ваша идея, если не ошибаюсь, основывается на автоматизации выбора баз (части баз): выбор осуществляется .без участия пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Интересно.Кто-нибудь вообще пробовал Vista на то,пропускает ли она все "простые" и известные до неё вирусы (и проч.),или "для"

неё надо с нуля начинать?Вот все,наверное,будут смеяться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно.Кто-нибудь вообще пробовал Vista на то,пропускает ли она все "простые" и известные до неё вирусы (и проч.),или "для"

неё надо с нуля начинать?Вот все,наверное,будут смеяться.

Я подозреваю, что некоторые вирусы будут точно работать, троянов например, а вот те, что используют уязвимости существующих версий винды, очевидно не будут опасны. Но в тоже время после релиза появится куча спец. разработок для Vista :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
появится куча спец. разработок для Vista

Конечно появятся, тут Автор прав :)

обратите внимание, в настоящее время атаке подвергаются не системные модули, а клиентское программное обеспечение.

Например

Последняя очень серьёзная уязвимость (связанная с повышением привилегий) как раз ориентирована как и на некоторые модули системы, так и на работающие под управлением системы сервисы сторонних производителей.

Пользовательское ПО, мне кажется, станет основным рассадником уязвимостей. Причин тут несколько: 1. Некоторые типы ПО должны работать с максимальными привилегиями (Антивирусы ) 2. Как бы максимально Микрософт не пыталась оградить свою систему от сторонних разработок у неё это не выйдет (запрет на монополию).3. Уровень компьютерной грамотности повышается семимильными шагами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Интересная идея. Если я Вас правильно понял Вы, Михаил, тоже допускаете возможность отказа от использования части сигнатур в зависимости от используемой ОС (сервис паков). Ваша идея, видимо, более прогрессивна. Я предлагал "взвалить" всю ответственность на пользователя: пользователь сам выбирает какие базы ему использовать. Ваша идея, если не ошибаюсь, основывается на автоматизации выбора баз (части баз): выбор осуществляется .без участия пользователя.

Вы правы. Взваливать что-либо на пользователя нельзя, так как антивирунсый продукт функционирует в рамках своих внутренних категорий и пользователю (без пол литра) не сообразить, какую часть защиты можно отключить, и чем это грозит. Это знают только разработчики.

Пример: Если антивирус стартует на компьютере без установленного MS Office, то сигнатуры для макро-вирусов можно не загружить. Можно и более уточенно, хотя это гораздо сложнее в реализации. Даже при установленном MS Office, не загружить сигнатуры макро-вирусов, которые не работают в той версии MS Office, которая установлена в системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Если антивирус стартует на компьютере без установленного MS Office, то сигнатуры для макро-вирусов можно не загружить.

Получается, что при каждом запуске обновления, антивирус обязан проверить список установленного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Если антивирус стартует на компьютере без установленного MS Office, то сигнатуры для макро-вирусов можно не загружить.

Получается, что при каждом запуске обновления, антивирус обязан проверить список установленного ПО.

Обновлять можно все, а вот в память загружать только часть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Обновлять можно все, а вот в память загружать только часть.

в какую память? тема как раз и была создана из-за неопределённости в способе хранения и обработки на локальной станции антивирусных баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Обновлять можно все, а вот в память загружать только часть.

в какую память? тема как раз и была создана из-за неопределённости в способе хранения и обработки на локальной станции антивирусных баз.

В оперативную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все таки мне не навится идея "избирательно" использования антивирусных баз, он концептуально не правильный. Нельзя у себя хранить вирусы на диске, даже если они именно для данной версии ОС не опасны.

Попробую на примере показать. Допустим у моего соседа по квартире (она у него не такая как у меня, не той версии :-)), живет куча насекомых и грызунов. Ему мешают насековые, которые его кусают, да и просто не нравятся они ему и все, а грызуны для него не опасны, потому как у него есть нечего просто, холодильник пуст, только на пол литра деньги есть. Соответственно он выведет насекомых, а грызуны от него будут делать набеги на меня. :(

Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей

По мотивам других веток, на эту реплику стоит ответить так:

Если на Вашем смартфоне с Symbian не установлен НАШ антивирус под смартфон - то это ВАШИ проблемы.

Vistu мы защищаем от вирусов для ВИСТЫ :) , а SYMBIAN от вирусов для Symbian.

:lol::lol::lol:

(из веток про проверки архивов)

моё личное мнение: Антивирус обязан обнаруживать любой вирус (не важно под что он) и сообщать о находке, а лечить конечно можно только те, которые опасны в данную секунду.

администратор/пользователь должен сам решать.. что ему делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Все таки мне не навится идея "избирательно" использования антивирусных баз, он концептуально не правильный. Нельзя у себя хранить вирусы на диске, даже если они именно для данной версии ОС не опасны.

Попробую на примере показать. Допустим у моего соседа по квартире (она у него не такая как у меня, не той версии :-)), живет куча насекомых и грызунов. Ему мешают насековые, которые его кусают, да и просто не нравятся они ему и все, а грызуны для него не опасны, потому как у него есть нечего просто, холодильник пуст, только на пол литра деньги есть. Соответственно он выведет насекомых, а грызуны от него будут делать набеги на меня. :(

Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей :-)

Вы правы, но увы вы забываете про эгоизм, который является частью человеческой натуры с каторой спорить бесполезно. Если мне предложат продукт, который такой же, как и все конкуренты, но требует памяти в несколько раз больше, то я его предпочту, даже если такой подход может создать угрозу кому-то еще.

Не отказываетесь же вы сами от Windows, а ведь ваша зараженная машина может заразить соседнюю. Часто и антивирус никто не ставит, пока свой коспьютер падать не начнет или какие-нибудь другие неприятности не случатся. Если он спам и вырусы рассылает, то это не моя забота (пока трафик бесплатен). Это не моя личная позиция, а мнение, которое я неоднократно слышал. Это мнение следствие человеческой природы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Это мнение следствие человеческой природы

неграмотности :(, с человеческими болезнями так же

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
моё личное мнение: Антивирус обязан обнаруживать любой вирус (не важно под что он) и сообщать о находке, а лечить конечно можно только те, которые опасны в данную секунду.

администратор/пользователь должен сам решать.. что ему делать

Вот вот, только решать все же давать пользователю выбор не всегда правильно, сейчас тренд такой, что персональный антивирусы вообще сами все делают, выводя юзеру только сообщение, что угроза ликвидирована. Помню меня этим Trend Micro PC-Cillin 2005 поразил.

Скачиваю EICAR, захожу в папку - его нет, думаю что за фигня ... опять скачиваю, опять иду в папку - нет файла и все, никаких сообщений, ничего, продукт все сам делал, обнаружил, удалил, записал в лог ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Все таки мне не навится идея "избирательно" использования антивирусных баз, он концептуально не правильный. Нельзя у себя хранить вирусы на диске, даже если они именно для данной версии ОС не опасны.

Попробую на примере показать. Допустим у моего соседа по квартире (она у него не такая как у меня, не той версии :-)), живет куча насекомых и грызунов. Ему мешают насековые, которые его кусают, да и просто не нравятся они ему и все, а грызуны для него не опасны, потому как у него есть нечего просто, холодильник пуст, только на пол литра деньги есть. Соответственно он выведет насекомых, а грызуны от него будут делать набеги на меня. :(

Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей :-)

В приведенном Вами примере, соседу, которого кусают насекомые нужна защита от насекомых, а поскольку грызуны его не трогают, защита от них ему не нужна. Если Вас замучили грызуны, а насекомые обходят стороной - боритесь с грызунами, а не с насекомыми, НЕЧЕГО ТРАТИТЬ НА НИХ ВРЕМЯ И СИЛЫ. В итоге получим необходимый результат - ни вас, ни Вашего соседа насекомые и грызуны трогать не будут.

Добавлено спустя 4 минуты 53 секунды:

Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей

По мотивам других веток, на эту реплику стоит ответить так:

Если на Вашем смартфоне с Symbian не установлен НАШ антивирус под смартфон - то это ВАШИ проблемы.

Vistu мы защищаем от вирусов для ВИСТЫ :) , а SYMBIAN от вирусов для Symbian.

:lol::lol::lol:

(из веток про проверки архивов)

моё личное мнение: Антивирус обязан обнаруживать любой вирус (не важно под что он) и сообщать о находке, а лечить конечно можно только те, которые опасны в данную секунду.

администратор/пользователь должен сам решать.. что ему делать

Давайте broker внимательно прочитаем то, о чем говорилось в соседней ветке. Там предлагалось проверять архивы сканером по требованию, если Вы считаете необходимым проявить альтруистические наклонности. Выбор за Вами - либо Вы заботитесь только о себе, либо еще думаете о ком-то.

P.S. Ваш пример, на мой взгляд, неудачен. Это разные ситуации, хотя и в них есть нечто общее.

Добавлено спустя 2 минуты 23 секунды:

Все таки мне не навится идея "избирательно" использования антивирусных баз, он концептуально не правильный. Нельзя у себя хранить вирусы на диске, даже если они именно для данной версии ОС не опасны.

Попробую на примере показать. Допустим у моего соседа по квартире (она у него не такая как у меня, не той версии :-)), живет куча насекомых и грызунов. Ему мешают насековые, которые его кусают, да и просто не нравятся они ему и все, а грызуны для него не опасны, потому как у него есть нечего просто, холодильник пуст, только на пол литра деньги есть. Соответственно он выведет насекомых, а грызуны от него будут делать набеги на меня. :(

Так же и с вирьем, для Vista они не будут опасны, а когда к ней подключится смартфон на Symbian - ему придется плохо. Это же будет клондайк для вирусописателей :-)

Вы правы, но увы вы забываете про эгоизм, который является частью человеческой натуры с каторой спорить бесполезно. Если мне предложат продукт, который такой же, как и все конкуренты, но требует памяти в несколько раз больше, то я его предпочту, даже если такой подход может создать угрозу кому-то еще.

Не отказываетесь же вы сами от Windows, а ведь ваша зараженная машина может заразить соседнюю. Часто и антивирус никто не ставит, пока свой коспьютер падать не начнет или какие-нибудь другие неприятности не случатся. Если он спам и вырусы рассылает, то это не моя забота (пока трафик бесплатен). Это не моя личная позиция, а мнение, которое я неоднократно слышал. Это мнение следствие человеческой природы.

Согласен. Вот только насчет человеческой природы не все так однозначно. Существуют разные точки зрения. Применительно к данному случаю можно сказать, что общественное бытие определяет общественное сознание. Но это уже философия.

Добавлено спустя 2 минуты 35 секунд:

Это мнение следствие человеческой природы

неграмотности :(, с человеческими болезнями так же

Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Добавлено спустя 5 минут 31 секунду:

Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.

Верно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.
Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Очень интересно, получается, что ваша точка зрения более реальзуема на практике, что делает ее заведомо выигрышной.

Моя же, изложеная выше - скорее идеальная модель, но все же для варианта, скажем шлюза, лучше ловить все, придется ставить массивы серверов, можные процессоры и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Все мы рады иметь себе хорошее,даже если у нас сил (возможностей или пр.) нету.Хорошо иметь хорошие

школы,больницы,защищённость и гарантии,что не пропадёшь и возьмут с собой.Это - налоги.Получив это всё хорошее и даже если

больше,когда был зависим и мал,кто не захочет облегчить себе,став независимым?И эту возможность не поищет?И не найдёт?И не

использует?Это проявляется в любой области.Любой хочет себе больше хорошего,чем другому,а тому - больше нести,что и

делаем,всё больше все "выигрывая".По результатам - идеал должен иметь другие плоды,которые происходят от других

дел.Принуждать - это действие тоже ведёт в другую сторону от идеала.Остаётся:зная себя,буду ли я думать о другом,или,если в том

или ином роде выгода или облегчение,только о себе?На этот вопрос вы ответ знаете.Остаётся это признать.Я имею ввиду не то,что

б мы посчитали идеал плохим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×