Николай Терещенко

Смерть классического антивируса

В этой теме 107 сообщений

Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.
Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Очень интересно, получается, что ваша точка зрения более реальзуема на практике, что делает ее заведомо выигрышной.

Моя же, изложеная выше - скорее идеальная модель, но все же для варианта, скажем шлюза, лучше ловить все, придется ставить массивы серверов, можные процессоры и т.д.

Я имел ввиду, что методологической основой рационального подхода, в большинстве случаев, является компетентность. Верно и обратное: если подход, используемый в решении той или иной задачи рационален, то можно предположить, с большой степенью вероятности, что его автор и исполнитель компетентны (грамотны).

В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

Эта точка зрения не "более реализуема на практике", она, на мой взгляд, более рациональна. Я считаю, что Ваш подход, легче реализовать, поскольку вендор, при таком подходе, вряд ли столкнется с теми трудностями, с которыми он мог бы столкнуться при разработке дифферинцированной защиты (в зависимости от ОС, сервис паков, патчей и т.п.). Ваш подход проще, а дифферинцированный подход, как раз, более близок к рациональному идеалу.

Для шлюзов, серверов и т.п., возможно Вы правы, - ваша модель может быть более приемлима. Эта проблема требует отдельного обсуждения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

С точки зрения конечно пользователя, все верно, компьютер защищен, излишки ресурсов не используется, значит все в порядке, а с другой стороны пусть каждый сам забоиться о своей безопасности, немного эгоистично, но по сути верно. Т.е. для конечного пользователя Ваш подход рациональнее и лучше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

В байтах.

basesize.PNG

post-42-1142585964.png

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

Респект :pray:

Очень интересно, было бы круто собрать данные, как сейчас дела обстоят с базами у этих вот товарищей.

У кого какая инфа есть, выкладывайте :-)

Чего у Symantec такие базы огромные?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У тренда не намного меньше

Они там не только информацию о вирусах хранят - отсюда и размер

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Stout, информация сама по себе интересна. Жаль, что нет сведений об Eset. :(

Согласен с Сергеем. Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

Размер баз несложно замерить самому, если у кого стоит тот или иной антивирус - поделитесь плиз информацией, если есть такая возможность :thanks:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да график очень полезный!

TrendMicro, база 3.269.00 (16.03.2006) - 17 049 875 байт

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NOD 32 размер, по состоянию на 16 марта 2006 года - 9723 К

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да уж, у меня BitDefender с базой 344204 на 21.03.06

Видимо пора разделять на критические и НЕ критические, ЕСТЬ вирус и все работает либо НЕТ вируса и ничего не работает )

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у меня BitDefender с базой 344204 на 21.03.06

344204 Kb или чего?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
344204 Kb или чего?

Bit Defender. - Virus Signatures. Папка Plugins 6.06 MB. и текст такой в корне:

Update time: Tue Mar 21 11:43:57 2006

Signature number: 344204

Update time GMT: 1142927037

Version: 7.06061

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

эта тема мне кажется надумана - смерти не будет - будет эволюци и реинкарнация(но не после смерти) - яркий пример оружие - да конницы не стало, да появились танки, теперь говорят, что вертолеты - это души погибших танков - т.е. все смещается к вертолетам. Концепции меняются, но задача решается в любом раскладе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

У касперскийх всю жисть AVC были. PPL, это слегка модифицированные DLL файлы. Размер AVC сейчас 7,3 мега

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

ppl - не базы.. а плагины, расшифровывается наверное Prague Plugin L?? (loader? level? ...?)

базы - *.avc около 5 мб вроде

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
базы - *.avc около 5 мб вроде

Да, я в данном случае не то померил, каюсь :oops:

Спасибо, что поправили.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Здесь проблема в другом. Как антивирус поймёт, что данный файл -вирус, если его (вируса) сигнатура на др. компьютре или в другом месте. И про сетевое подключение надо забыть, вирус может успеть натворить много бед, пока ACK,SYN и тп. пройдут

Добавлено спустя 15 минут 42 секунды:

а про время (суточное) выхода баз - вообще отдельная история, относящая нас в географию :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно)

Да?

А вот на Физтехе недавно Юрий Булыгин защитился как раз по этому направлению - это был аналитик из Касперского - так механизмы все они из медицины берут и я думаю что не они одни.

Добавлено спустя 3 минуты 19 секунд:

Предлагайте тогда свой математический аппарат будем рады рассмотреть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как известно,апдейты ОС закрывают дыры,которыми до этого (да и после,кто не апдейтывается) пользовались многие вирусы и их разновидности.Интересно,если было бы возможно те сигнатуры в базах для ускорения отключать,без которых вирусы и так не пройдут на по последнему уровню апдейтованную систему,то насколько бы в процентном отношении уменьшились размер сигнатур?И повлияло бы это на то,как realtime-защита систему загружает или нет?Ускорился бы заметно скан по требованию?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох. Читать далее
    • PR55.RP55
      В программе:   BCUninstaller http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/ Есть такие интересные параметры:   <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
        <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource> т.е. путь откуда была установлена программа\компонент. Защищена программа: Да\нет. Путь до файлов. Зарегистрирован, или нет. Указан издатель\производитель\ЭЦП Сайт программы. Обновлялся компонент\программа, или нет. Возможность посмотреть доп. ( Инфо. ) по каждой программе. Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов ) --------- Это всё бы очень пригодилось.    
    • AM_Bot
      Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Читать далее
    • AM_Bot
      Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. Читать далее
    • AM_Bot
      Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Читать далее