Смерть классического антивируса

[Mr. Justice 771]

Классический антивирус основывается на правиле:разрешено всё,что не запрещено.С математической точки зрения возможности,которые не ограничены - бесконечны,а любая ограниченная область явлется не равной нулю и не больше.Любой,использующий эти возможности,неважно с какой целью и как конкретно,является в преимуществе:что сосед,для которого грызуны - не его угроза,который из-за слабых возможностей возьмёт того,кто защищает только от насекомых,или вообще никого,чтобы хоть чем-то пользоваться,что тот,кто знает,как твою фирму завалить,хотя у него есть своя."Дружественных" возможностей - бесконечно.По желанию использовать их мы все равны,оказавшись в той или иной ситуации.Это правило (разрешено всё,что не запрещено) слишком хорошо.При сегодняшней тенденции любой антивирус (и ОС через него),работающий по этому правилу,окажется задавленым собственными сигнатурами.Если в Vistа ничего от Longhorn'а не осталось,то она имеет очень хороший шанс быть последней ОС,которую продал Microsoft.

Рациональный подход в условиях безграмотности в большинстве случаев нереален. А рациональный падход диктует соразмерность защиты нападению, дабы не тратить лишние ресурсы впустую. они могут пригодиться для решения других задач. Ну а далее простейший силлогизм. В отношении человеческих болезней - умозаключение по аналогии.

Очень интересно, получается, что ваша точка зрения более реальзуема на практике, что делает ее заведомо выигрышной.

Моя же, изложеная выше - скорее идеальная модель, но все же для варианта, скажем шлюза, лучше ловить все, придется ставить массивы серверов, можные процессоры и т.д.

Я имел ввиду, что методологической основой рационального подхода, в большинстве случаев, является компетентность. Верно и обратное: если подход, используемый в решении той или иной задачи рационален, то можно предположить, с большой степенью вероятности, что его автор и исполнитель компетентны (грамотны).

В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

Эта точка зрения не "более реализуема на практике", она, на мой взгляд, более рациональна. Я считаю, что Ваш подход, легче реализовать, поскольку вендор, при таком подходе, вряд ли столкнется с теми трудностями, с которыми он мог бы столкнуться при разработке дифферинцированной защиты (в зависимости от ОС, сервис паков, патчей и т.п.). Ваш подход проще, а дифферинцированный подход, как раз, более близок к рациональному идеалу.

Для шлюзов, серверов и т.п., возможно Вы правы, - ваша модель может быть более приемлима. Эта проблема требует отдельного обсуждения.

[Сергей Ильин 1538]

В данной ситуации рациональность проявляется в соразмерности защиты нападению (это моя точка зрения). Следовательно, если решение рассматриваемой проблемы опирается на принцип соразмерности защиты нападению, то оно является грамотным. Проще говоря, если антивирус при минимально возможных затратах ресурсов обеспечивает надлежащий уровень защиты для конкрентного пользователя - то это грамотное решение проблемы. Если антивирус при высоких затратах ресурсов обеспечивает тот же самый уровень защиты для конкретного пользователя - то это неправильное решение проблемы, которое основано на нерациональном использовании ресурсов.

С точки зрения конечно пользователя, все верно, компьютер защищен, излишки ресурсов не используется, значит все в порядке, а с другой стороны пусть каждый сам забоиться о своей безопасности, немного эгоистично, но по сути верно. Т.е. для конечного пользователя Ваш подход рациональнее и лучше.

[_Stout 131]

А вот меня всегда мучил вопрос... Количество вирусов растет с каждым днем, антивирусные компании их постоянно добавляют в базы. По идее, базы должны были достаточно вырасти.

Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

В байтах.

[Сергей Ильин 1538]

Статистика от Маркса. Изменение размера баз за 9 месяцев 2004 года

Респект :pray:

Очень интересно, было бы круто собрать данные, как сейчас дела обстоят с базами у этих вот товарищей.

У кого какая инфа есть, выкладывайте :-)

Чего у Symantec такие базы огромные?

[Lex 25]

У тренда не намного меньше

[Andrew 0]

У тренда не намного меньше

Они там не только информацию о вирусах хранят - отсюда и размер

[Mr. Justice 771]

Stout, информация сама по себе интересна. Жаль, что нет сведений об Eset.

Согласен с Сергеем. Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

[Сергей Ильин 1538]

Неплохо было бы видеть более современные данные, если они вообще существуют и общедоступны.

Размер баз несложно замерить самому, если у кого стоит тот или иной антивирус - поделитесь плиз информацией, если есть такая возможность :thanks:

[Николай Терещенко 0]

Да график очень полезный!

TrendMicro, база 3.269.00 (16.03.2006) - 17 049 875 байт

[Mr. Justice 771]

NOD 32 размер, по состоянию на 16 марта 2006 года - 9723 К

[Сергей Ильин 1538]

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

[Tampon 0]

да уж, у меня BitDefender с базой 344204 на 21.03.06

Видимо пора разделять на критические и НЕ критические, ЕСТЬ вирус и все работает либо НЕТ вируса и ничего не работает )

[Сергей Ильин 1538]

у меня BitDefender с базой 344204 на 21.03.06

344204 Kb или чего?

[Tampon 0]

344204 Kb или чего?

Bit Defender. - Virus Signatures. Папка Plugins 6.06 MB. и текст такой в корне:

Update time: Tue Mar 21 11:43:57 2006

Signature number: 344204

Update time GMT: 1142927037

Version: 7.06061

[kisttan 0]

эта тема мне кажется надумана - смерти не будет - будет эволюци и реинкарнация(но не после смерти) - яркий пример оружие - да конницы не стало, да появились танки, теперь говорят, что вертолеты - это души погибших танков - т.е. все смещается к вертолетам. Концепции меняются, но задача решается в любом раскладе.

[J 0]

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

У касперскийх всю жисть AVC были. PPL, это слегка модифицированные DLL файлы. Размер AVC сейчас 7,3 мега

[TiX 0]

В Касперский Internet Security 2006 размер баз (новые формат ppl) - 6648 Kb.

Но мне почему-то кажется, что у Kaspersky Anti-virus должно быть меньше.

ppl - не базы.. а плагины, расшифровывается наверное Prague Plugin L?? (loader? level? ...?)

базы - *.avc около 5 мб вроде

[Сергей Ильин 1538]

базы - *.avc около 5 мб вроде

Да, я в данном случае не то померил, каюсь :oops:

Спасибо, что поправили.

[kisttan 0]

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

[J 0]

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

[Lex 25]

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

[J 0]

Я не верю в подобную методику. Что-то мне подсказывает, что не стоит проводить аналогии между медициной и компьютероной вирусологией.

А почему нет?... В медицине были шаманы, которые лечили локально. Так и тут были. Потом массовая медицина с вакцинацие и т.п. Ну так и тут есть.

Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно).

[X3ro 0]

Вопрос обсуждался на конференции

Предполагаю следующее (по аналогии с фармацевтикой):

1) Будет небольшая база на машине или эвристический модуль (аптечка первой помощи)

2) По требованию база докачивается ( требования на основе модели угроз).

Считаю что ничего так просто не умрет - ну не бывает в жизни однозначных решений.

Король умер, Да здравствует король.

Здесь проблема в другом. Как антивирус поймёт, что данный файл -вирус, если его (вируса) сигнатура на др. компьютре или в другом месте. И про сетевое подключение надо забыть, вирус может успеть натворить много бед, пока ACK,SYN и тп. пройдут

Добавлено спустя 15 минут 42 секунды:

а про время (суточное) выхода баз - вообще отдельная история, относящая нас в географию

[kisttan 0]

Природа вирусов разная. Скорости эпидемий разные. Нет возможности локализовать компьютерную эпидемию в каких-либо территориальных пределах. Прививку от компьютерных вирусов сделать невозможно (или очень сложно)

Да?

А вот на Физтехе недавно Юрий Булыгин защитился как раз по этому направлению - это был аналитик из Касперского - так механизмы все они из медицины берут и я думаю что не они одни.

Добавлено спустя 3 минуты 19 секунд:

Предлагайте тогда свой математический аппарат будем рады рассмотреть.

[Inkogn 0]

Как известно,апдейты ОС закрывают дыры,которыми до этого (да и после,кто не апдейтывается) пользовались многие вирусы и их разновидности.Интересно,если было бы возможно те сигнатуры в базах для ускорения отключать,без которых вирусы и так не пройдут на по последнему уровню апдейтованную систему,то насколько бы в процентном отношении уменьшились размер сигнатур?И повлияло бы это на то,как realtime-защита систему загружает или нет?Ускорился бы заметно скан по требованию?