Перейти к содержанию
Mag3d

Антивирус Stocona?

Recommended Posts

Mag3d

> Нафига его вобще эмулировать? Запустил в виртуальной среде..

> посмотрел что процесс делает и зделал вывод.

А виртуальная среда - это не эмулятор разве :)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
А я слышал, что у них интересные технологии (новые)

по обнаружению интерпретируемых вирусов (Word, ...).

Я согласен, с _Stout рассматривать отдельно защиту от макровирусов сейчас не имеет смысла, да и по сути угроза от этого класса вредоносов сейчас мала, их время по сути уже прошло.

Может быть есть в этом антивирусе что-то другое заслуживающее внимание?

Поддерживаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А виртуальная среда - это не эмулятор разве :)

Среда эмулирована Ж) а код не эмулируется Ж)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

База чистых файлов - файлы которые точно не вирусы а легальный софт (так олег устранаяет фалсы на подозрения на кейлогерр)

Сткоки в коде еще проще - путь в реестре до ключа Ран, строки для работы с СМТП сервером (протокол), Строки протокола ИРЦ (боты..)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вы пишите:

1. AVP Office Guard появился в 2000 году. Делал тоже, что и стокона, но несколько раньше.

Так то оно так, но механизм у стоконы поинтересней и по-эффективней (возможно), мне и интересно насколько это так.

Насколько я знаю: у касперского поведенческий блокиратор, а у стоконы механизм обнаружения с предвыполнением.

А аналитические данные были относительно известных вирусов.

Мне же интересены данные относительно обнаружения новых, модифицированных, упакованных, полиморфных вирусов.

У стаконы БД не содержатся сигнатур (в чистом понимании).

Если будет время протестируйте, плиз.

Кроме у стоконы в стандартной комплектации идут и поведенческие модели: файловый монитор, реестра и еще чего-то.

Сразу говорю, этот продукт далеко не лучший тем не менее интересно насколько эффективны их оригинальные алгоритмы

AVP Office Guard не содержит никаких сигнатур. И за 6 лет он (алгоритимически) не менялся. За это время ни один макро вирус не обошел защищу AVPOG. Хотя, по словам разработчиков, теоретически, существует вариант обхода.

Вариант с предвыполнение кода (если там действительно так, хотя раньше они говорили именно про поведенческий блокиратор во время исполнения) мне кажется спорным, хотя и не спорю интересным. Но как я уже сказал -- это не актуально.

Реестр, и прочее это уже интереснее. Но дело в том, что пользователи (те, кто покупает, а не те, кто обсуждает продукты в форумах) хотят иметь интегрированную защиту, а не набор из 10-ти разных продуктов. Поэтому коммерческие перспективы такого продукта я не вижу. Да, технология интересна, но денег это может принести только если эту технологию продать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Как я понял Mag3d'a,он хотел бы получить оценку продукта по имеющимся пунктам,а не по неимеющимся.И только технологии,а не шансов продать.Другими словами,если этот продукт защищает не по 10-и,а по 5-и пунктам,то нужна и оценка 5-и имеющихся и может быть даже теоретическая оценка преимущественности технологии.Если это не наша область,то другое его не интересует,я думаю.А там остаётся только лучшего пожелать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Inkogn

Данный продукт интересен для рассмотрения.. И не только в качестве тестирования. А вот непосредственно провести тестирование данного продукта сложно, так как он узкоспециализирован. Современные макровирусы надо ещё поискать, особенно редкие и никому неизвестные.. :)

А вот обнаружит ли он самописный вредоносный макрос :) вопрос открытый

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mag3d

> Среда эмулирована Ж) а код не эмулируется Ж)

Насколько я понимаю:

1) среда во всех эвристических антивирусах в любом случае эмулируется, а вот код эмулируется только для раскручивания полиморфного кода, не так ли?

2) база чистых файлов и строки в файле ни какого отношения к нейросети не имеет (я могу заблуждаться, т.к. ни когда более менее нормальных реализаций нейросетей в антивирусах не видел). - А лишь уточняет результаты работы нейросети.

3) Учет семантики в данной реализации нейросети НЕТ (или все таки есть)?

Но учесть семантику без дезассемблирования невозможно,

покрайне мере чтобы вероятность правильной интерпретации данных смысла данных/кода была большой (при большом желании можно, типа по импорту, и т.п.).

4) Какую модель нейросети вы выбрали? Возможно ли самообучение?

5) А вот все же, если можно то, по-подробнее об 150 признаках входного слоя нейросети ...

6) А сколько слоев на выходе?

У меня есть идеи как учесть семантику при построении нейросети, в этом случае (по-идеи) качество системы должно улучшиться.

Добавлено спустя 17 минут 18 секунд:

Inkogn правильно говорит мне не интересно: можно что-то продать или нет, мне интересно знать насколько эффективен тот или иной механизм обнаружения вирусов и программных закладок, особенно в части "интеллектуальных". А по продажам: на то есть соответствующие органы, отделы и т.д. :)

А по поводу Олега Зайцева: прочитал док-цию с сайта, он обнаруживает только программные закладки (с ними немного легче, хотя если ПЗ разрабатывалась на этапе проектирования ПО, то ни какая нейросеть не поможет).

А как с вирусами то быть? Какие можно придумать признаки для оценки вредоносности, чтобы их можно было измерить и подать на вход нейросети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

Отличный пост..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×