Перейти к содержанию
Николай Терещенко

Смерть классического антивируса

Recommended Posts

Mr. Justice
Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.
Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Очень интересно, получается, что ваша точка зрения более реальзуема на практике, что делает ее заведомо выигрышной.

Моя же, изложеная выше - скорее идеальная модель, но все же для варианта, скажем шлюза, лучше ловить все, придется ставить массивы серверов, можные процессоры и т.д.

Я имел ввиду, что методологической основой рационального подхода, в большинстве случаев, является компетентность. Верно и обратное: если подход, используемый в решении той или иной задачи рационален, то можно предположить, с большой степенью вероятности, что его автор и исполнитель компетентны (грамотны).

В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

Эта точка зрения не "более реализуема на практике", она, на мой взгляд, более рациональна. Я считаю, что Ваш подход, легче реализовать, поскольку вендор, при таком подходе, вряд ли столкнется с теми трудностями, с которыми он мог бы столкнуться при разработке дифферинцированной защиты (в зависимости от ОС, сервис паков, патчей и т.п.). Ваш подход проще, а дифферинцированный подход, как раз, более близок к рациональному идеалу.

Для шлюзов, серверов и т.п., возможно Вы правы, - ваша модель может быть более приемлима. Эта проблема требует отдельного обсуждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

С точки зрения конечно пользователя, все верно, компьютер защищен, излишки ресурсов не используется, значит все в порядке, а с другой стороны пусть каждый сам забоиться о своей безопасности, немного эгоистично, но по сути верно. Т.е. для конечного пользователя Ваш подход рациональнее и лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

В байтах.

basesize.PNG

post-42-1142585964.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

Респект :pray:

Очень интересно, было бы круто собрать данные, как сейчас дела обстоят с базами у этих вот товарищей.

У кого какая инфа есть, выкладывайте :-)

Чего у Symantec такие базы огромные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

У тренда не намного меньше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
У тренда не намного меньше

Они там не только информацию о вирусах хранят - отсюда и размер

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Stout, информация сама по себе интересна. Жаль, что нет сведений об Eset. :(

Согласен с Сергеем. Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

Размер баз несложно замерить самому, если у кого стоит тот или иной антивирус - поделитесь плиз информацией, если есть такая возможность :thanks:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Да график очень полезный!

TrendMicro, база 3.269.00 (16.03.2006) - 17 049 875 байт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

NOD 32 размер, по состоянию на 16 марта 2006 года - 9723 К

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

да уж, у меня BitDefender с базой 344204 на 21.03.06

Видимо пора разделять на критические и НЕ критические, ЕСТЬ вирус и все работает либо НЕТ вируса и ничего не работает )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
у меня BitDefender с базой 344204 на 21.03.06

344204 Kb или чего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon
344204 Kb или чего?

Bit Defender. - Virus Signatures. Папка Plugins 6.06 MB. и текст такой в корне:

Update time: Tue Mar 21 11:43:57 2006

Signature number: 344204

Update time GMT: 1142927037

Version: 7.06061

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kisttan

эта тема мне кажется надумана - смерти не будет - будет эволюци и реинкарнация(но не после смерти) - яркий пример оружие - да конницы не стало, да появились танки, теперь говорят, что вертолеты - это души погибших танков - т.е. все смещается к вертолетам. Концепции меняются, но задача решается в любом раскладе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
J
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

У касперскийх всю жисть AVC были. PPL, это слегка модифицированные DLL файлы. Размер AVC сейчас 7,3 мега

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

ppl - не базы.. а плагины, расшифровывается наверное Prague Plugin L?? (loader? level? ...?)

базы - *.avc около 5 мб вроде

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
базы - *.avc около 5 мб вроде

Да, я в данном случае не то померил, каюсь :oops:

Спасибо, что поправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kisttan

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
J
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
J
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
X3ro
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Здесь проблема в другом. Как антивирус поймёт, что данный файл -вирус, если его (вируса) сигнатура на др. компьютре или в другом месте. И про сетевое подключение надо забыть, вирус может успеть натворить много бед, пока ACK,SYN и тп. пройдут

Добавлено спустя 15 минут 42 секунды:

а про время (суточное) выхода баз - вообще отдельная история, относящая нас в географию :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kisttan
Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно)

Да?

А вот на Физтехе недавно Юрий Булыгин защитился как раз по этому направлению - это был аналитик из Касперского - так механизмы все они из медицины берут и я думаю что не они одни.

Добавлено спустя 3 минуты 19 секунд:

Предлагайте тогда свой математический аппарат будем рады рассмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Как известно,апдейты ОС закрывают дыры,которыми до этого (да и после,кто не апдейтывается) пользовались многие вирусы и их разновидности.Интересно,если было бы возможно те сигнатуры в базах для ускорения отключать,без которых вирусы и так не пройдут на по последнему уровню апдейтованную систему,то насколько бы в процентном отношении уменьшились размер сигнатур?И повлияло бы это на то,как realtime-защита систему загружает или нет?Ускорился бы заметно скан по требованию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×