Mag3d

Антивирус Stocona?

В этой теме 34 сообщений

> Нафига его вобще эмулировать? Запустил в виртуальной среде..

> посмотрел что процесс делает и зделал вывод.

А виртуальная среда - это не эмулятор разве :)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А я слышал, что у них интересные технологии (новые)

по обнаружению интерпретируемых вирусов (Word, ...).

Я согласен, с _Stout рассматривать отдельно защиту от макровирусов сейчас не имеет смысла, да и по сути угроза от этого класса вредоносов сейчас мала, их время по сути уже прошло.

Может быть есть в этом антивирусе что-то другое заслуживающее внимание?

Поддерживаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А виртуальная среда - это не эмулятор разве :)

Среда эмулирована Ж) а код не эмулируется Ж)

А что такое: базой чистых файлов, строкам в коде, и т.д?

Если можно поясните.

База чистых файлов - файлы которые точно не вирусы а легальный софт (так олег устранаяет фалсы на подозрения на кейлогерр)

Сткоки в коде еще проще - путь в реестре до ключа Ран, строки для работы с СМТП сервером (протокол), Строки протокола ИРЦ (боты..)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы пишите:

1. AVP Office Guard появился в 2000 году. Делал тоже, что и стокона, но несколько раньше.

Так то оно так, но механизм у стоконы поинтересней и по-эффективней (возможно), мне и интересно насколько это так.

Насколько я знаю: у касперского поведенческий блокиратор, а у стоконы механизм обнаружения с предвыполнением.

А аналитические данные были относительно известных вирусов.

Мне же интересены данные относительно обнаружения новых, модифицированных, упакованных, полиморфных вирусов.

У стаконы БД не содержатся сигнатур (в чистом понимании).

Если будет время протестируйте, плиз.

Кроме у стоконы в стандартной комплектации идут и поведенческие модели: файловый монитор, реестра и еще чего-то.

Сразу говорю, этот продукт далеко не лучший тем не менее интересно насколько эффективны их оригинальные алгоритмы

AVP Office Guard не содержит никаких сигнатур. И за 6 лет он (алгоритимически) не менялся. За это время ни один макро вирус не обошел защищу AVPOG. Хотя, по словам разработчиков, теоретически, существует вариант обхода.

Вариант с предвыполнение кода (если там действительно так, хотя раньше они говорили именно про поведенческий блокиратор во время исполнения) мне кажется спорным, хотя и не спорю интересным. Но как я уже сказал -- это не актуально.

Реестр, и прочее это уже интереснее. Но дело в том, что пользователи (те, кто покупает, а не те, кто обсуждает продукты в форумах) хотят иметь интегрированную защиту, а не набор из 10-ти разных продуктов. Поэтому коммерческие перспективы такого продукта я не вижу. Да, технология интересна, но денег это может принести только если эту технологию продать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я понял Mag3d'a,он хотел бы получить оценку продукта по имеющимся пунктам,а не по неимеющимся.И только технологии,а не шансов продать.Другими словами,если этот продукт защищает не по 10-и,а по 5-и пунктам,то нужна и оценка 5-и имеющихся и может быть даже теоретическая оценка преимущественности технологии.Если это не наша область,то другое его не интересует,я думаю.А там остаётся только лучшего пожелать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Inkogn

Данный продукт интересен для рассмотрения.. И не только в качестве тестирования. А вот непосредственно провести тестирование данного продукта сложно, так как он узкоспециализирован. Современные макровирусы надо ещё поискать, особенно редкие и никому неизвестные.. :)

А вот обнаружит ли он самописный вредоносный макрос :) вопрос открытый

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Среда эмулирована Ж) а код не эмулируется Ж)

Насколько я понимаю:

1) среда во всех эвристических антивирусах в любом случае эмулируется, а вот код эмулируется только для раскручивания полиморфного кода, не так ли?

2) база чистых файлов и строки в файле ни какого отношения к нейросети не имеет (я могу заблуждаться, т.к. ни когда более менее нормальных реализаций нейросетей в антивирусах не видел). - А лишь уточняет результаты работы нейросети.

3) Учет семантики в данной реализации нейросети НЕТ (или все таки есть)?

Но учесть семантику без дезассемблирования невозможно,

покрайне мере чтобы вероятность правильной интерпретации данных смысла данных/кода была большой (при большом желании можно, типа по импорту, и т.п.).

4) Какую модель нейросети вы выбрали? Возможно ли самообучение?

5) А вот все же, если можно то, по-подробнее об 150 признаках входного слоя нейросети ...

6) А сколько слоев на выходе?

У меня есть идеи как учесть семантику при построении нейросети, в этом случае (по-идеи) качество системы должно улучшиться.

Добавлено спустя 17 минут 18 секунд:

Inkogn правильно говорит мне не интересно: можно что-то продать или нет, мне интересно знать насколько эффективен тот или иной механизм обнаружения вирусов и программных закладок, особенно в части "интеллектуальных". А по продажам: на то есть соответствующие органы, отделы и т.д. :)

А по поводу Олега Зайцева: прочитал док-цию с сайта, он обнаруживает только программные закладки (с ними немного легче, хотя если ПЗ разрабатывалась на этапе проектирования ПО, то ни какая нейросеть не поможет).

А как с вирусами то быть? Какие можно придумать признаки для оценки вредоносности, чтобы их можно было измерить и подать на вход нейросети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.