Закрытые темы

[Maratka 30]

Зачем в машине на спидометре написано 240, если реально по дороге до работы больше 90 ездить нельзя? Нет детекта на этом семпле - будет на другом. Семпл аналитики изучат, выпустят апдейт модуля эвристики и появится детект. И он будет до тех пор, пока вирмейкеры не обратят на это внимание и не почистят пакер. Никакая эвристика не дает 100% детекта. Чем выше детект - тем выше риск увеличить процент f/p. Именно по этому кроме сигнатур, эвристиков есть еще женерики, хипс, песочницы и проч. Чтобы в случае, если не сработает один компонент - спасет другой. Видите - даже наличие урла в блэк листе спасает пользователя. Это тоже одна из ступеней защиты.

vaber, Yen-Jasker - это как Виталег, только хуже.

Виталег помешан на конкретном вендоре - антивирусописателе, ну в конце концов это тематика этого форума...

а у Yen-Jasker'а все гораздо запущеннее - он помешан на мировом заговоре маркетологов, ни больше, ни меньше

В данном случае маркетологи виноваты в плохой работе эмулятора - они заставили Yen-Jasker'а заплатить за эмулятор, но не предупредили его, что эмулятор не всесилен, и по определению не может детектить всЕ.

Теоритический продел продвинутого эмуля в индустрии уже достигнут - и мы с Вами, равно как и большинсово других нормальных пользователей это знаем (детект порядка 60-75%) от общего кол-ва зловредов в зависимости от предпочтений коллекционера.

Но Yen-Jasker'у это понять не дано - ему нужно все по максимуму, и так, чтобы не было ни единой баги...

При случае - раз Вы уже зарегистрировались на http://kltest.org.ru/index.php , спросите там про этого человека... много интересного узнаете.

[Yen-Jasker 265]

В данном случае Вы спутали эммулятор с проактивной защитой.

Проактивная защита - это такая штука, которая смотрит на поведенеи прогораммы в реальной системе, и по некоторым ключевым событиям срабатывает. В данном случае срабатывание было на попытку ФАРа самоскопирываться на сетевой ресурс - чем и занимаются черви. Пояснять что такое черви я с Вашего позволения не буду.

Я разве спрашивал что такое проактивная защита и как она работает ?

Я могу рассказать это Вам, но Вы не поверите.

Впрочем попытаюсь....

Итак - если некий эвристик станет безошибочно детектить 100% зловредов без единого фалса, то

1) Это приведент к тому, что все остальные технологии, как то: сигнатуры, ПДМ, ХИПС станут неактуальными.

2) Это совершенно не устроит вирусописателей, ибо им за то деньги и платят, чтобы обходить антивири. И они свою работу делают. Потому этот эвристик рано или поздно будет обойден.

3) Что приведет к мировому коллапсу -ведь индустрия антвивирусописателей уже отказалась от ХИПСа и сигнатур.

Дошло?

Не дошло. Вместо длинного сообщения достаточно было написать что создать нефолсящий эвристик нереально.

Мировой коллапс вы нафантазировали - никто и никогда не откажется от сигнатур, а к ХИПСу еще не все пришли.

А если индустрия антивирусописателей откажется от маркетинга и фаллометрии на тестах - тогда наступит коллапс .

В чуствительности, и скорости. Повышая чувствительность, мы увеличиваем количество продетекченных объектов и садим скорость.

На сколько отличаются уровни эвристики по этим показателям в скине по-умолчанию? Это можно было описать в Справке?

Если она у Вас не детектит реальные зловреды - то безуслово стОит отключить. Вы получите несколько бОльшую скорость проверки объектов.

Не у меня она не детектит, а у всех. Возьмите зловреды из этой темы и проверьте их с максимальным уровнем эвристики в скине по-умолчанию.

При случае - раз Вы уже зарегистрировались на http://kltest.org.ru/index.php , спросите там про этого человека... много интересного узнаете.

Лучше спросите как Марат там организовывал подставной опрос .

[vaber 350]

Ползунок эвристики с тремя уровнями - тоже маркетинг.

Вам виднее

Если аналитики изучат этого зловреда - они просто добавят его в базу, и апдейт модуля эвристики не будет нужен. После выхода новой модификации эвристика опять ничего не покажет.

ОТкуда такая уверенность, что сделают аналитики? Вы работали аналитиком, чтобы такое утверждать? Они могут положить сигнатуру - чтобы максимально быстро доставить пользователю апдейт. Накачают несколько десятков инсталляков и положат женерик. Или подправят модуль эвристика - и его выпустят. Но на это нужно много больше времени, чем положить сигнатуру. да, после выхода новой модификации малвары есть вероятность, что детект отвалится. Вы можете предложить способ детекта, чтобы детектить файлы этой малвары, чтобы там ни делали ее авторы?

ХИПС защищает, но зачем нужно три уровня эвристики - чтобы тормозила и давала повод троллям кричать "КИС - тормоз"?

Вероятно потому, что другие вредоносные программы могут детектироваться на минимальном уровне эвристике, другие на максимальном. Как-тоо так. Логика понимаете.

Если эвристика плохо ловит

Вы по единственному случаю делаете такие глубокомысленные выводы?

http://www.virustotal.com/analisis/324b639...1751-1246347934

Это что? Работает? Значит нужна.

[Maratka 30]

Вот в том и фокус активного ESS4 увидит в памяти как Win32/Rootkit.Agent.ODG или Win32/Agent.ODG ,и эту штуку вирусопесателем не обойти проверено временем!!!

А Качпер2009-10 только опукается и нечего не увидить) Как минемум пока он в база не попадеть но из тем тогоже вирус инфо он удалить не могет и file.sys не увидить , а уж таких накриптуют автоматом...

иди спать, дети все уже в кроватке, и тебе пора....

[Yen-Jasker 265]

Виталег помешан на конкретном вендоре - антивирусописателе, ну в конце концов это тематика этого форума...

а у Yen-Jasker'а все гораздо запущеннее - он помешан на мировом заговоре маркетологов, ни больше, ни меньше

Марат, если я, как вы, начну ставить диагнозы, то вы и здесь поднимите вопрос "или я ухожу, или забаньте его".

Не лезьте туда где вы ничего не понимаете.

[vaber 350]

vaber, Yen-Jasker - это как Виталег, только хуже.

Ясно Но попытку объяснить что-то я сделал =)

[Yen-Jasker 265]

ОТкуда такая уверенность, что сделают аналитики? Вы работали аналитиком, чтобы такое утверждать? Они могут положить сигнатуру - чтобы максимально быстро доставить пользователю апдейт. Накачают несколько десятков инсталляков и положат женерик.

Пошлите зловреда в вирлаб и проверим .

Вероятно потому, что другие вредоносные программы могут детектироваться на минимальном уровне эвристике, другие на максимальном. Как-тоо так. Логика понимаете.

Вероятно. А реальные примеры будут ?

Вы мне привели детект на вируслисте, а я могу привести ошибочный детект двух зловредов в антивирусной базе, которые аналитики ЛК нарисовали с потолка.

У всех продуктов есть ошибки и везде маркетологи пиарятся, но это не значит что тот кто знает об этих ошибках - тролль.

[Maratka 30]

Вы по единственному случаю делаете такие глубокомысленные выводы?

http://www.virustotal.com/analisis/324b639...1751-1246347934

Это что? Работает? Значит нужна.

Супер!

Я уже и забыл, когда видел детект эмуля "семерки", думал что ее уже все обходят... Ан нет!

Спасибо!

Марат, если я, как вы, начну ставить диагнозы, то вы и здесь поднимите вопрос "или я ухожу, или забаньте его".

Не лезьте туда где вы ничего не понимаете.

Ну коли я чего-то там не понимаю, то поясните что именно. Может другие пользователи нас с Вами рассудят?

[vaber 350]

Пошлите зловреда в вирлаб и проверим smile.gif

Мне проверять не надо - я знаю что это так

Вероятно. А реальные примеры будут smile.gif?

Вы хотите, чтобы я с целью утолить Ваше любопытство буду сейчас ставить Касперского и гонять его по семплам дергая ползунок? Наивно

[Yen-Jasker 265]

иди спать, дети все уже в кроватке, и тебе пора....

Плохо что эти дети становятся сотрудниками ЛК и пытаются обвинять других в троллизме.

Вы хотите, чтобы я с целью утолить Ваше любопытство буду сейчас ставить Касперского и гонять его по семплам дергая ползунок? Наивно

Нет, я хочу, чтобы фича, три уровня эвристики, была нормально описана в Справке к продукту.

[Danilka 678]

А реальные примеры будут ?

http://www.anti-malware.ru/proactive_test_2009

[Maratka 30]

Не у меня она не детектит, а у всех. Возьмите зловреды из этой темы и проверьте их с максимальным уровнем эвристики в скине по-умолчанию.

Вот отличная ссылочка, Vaber подкинул:

http://www.virustotal.com/analisis/324b639...1751-1246347934

Оказывается древний эмуль в КАВ7 и то способен на детект.

[Yen-Jasker 265]

http://www.anti-malware.ru/proactive_test_2009

Меня интересуют примеры из реальной жизни, а не из тестов. Потому что у каждого производителя найдется свой тест, где он - лучший.

[Maratka 30]

Нет, я хочу, чтобы фича, три уровня эвристики, была нормально описана в Справке к продукту.

Опять козни маркетологов... Нет, ну так жить нельзя! Даже справку под заказ написать не могут...

приходится читать вместо этого что-то вроде:

[Danilka 678]

Yen-Jasker- так возьми и проведи тест сам,раз не веришь. А мы посмотрим и прокомментируем.

[Yen-Jasker 265]

Оказывается древний эмуль в КАВ7 и то способен на детект.

Тогда почему нет детекта от KIS 8?

У вас при проверке объектов, со скином по-умолчанию, эвристикой на максимуме и углубленном поиске руткитов, этот зловред обнаруживается?

[Skeptic 235]

И хочется, и колется как говорится...

А можно спросить: зачем лично вам-то этот монстр на компе при правильно настроенной системе?

[Maratka 30]

Меня интересуют примеры из реальной жизни, а не из тестов. Потому что у каждого производителя найдется свой тест, где он - лучший.

А кто сказал что мы тут лучшие?

У нас меньше процент детекта, чем у Авиры, и больше фалсов чем у Симентика...

Тогда почему нет детекта от KIS 8?

У вас при проверке объектов, со скином по-умолчанию, эвристикой на максимуме и углубленном поиске руткитов, этот зловред обнаруживается?

У меня не обнаруживается. Ибо он есть у Vaber'а, но не у меня.

В довесок - включенность поиска руткитов вообще и "углубленного поиска" в частности тут роли не играют. Кроме того, уверен, что КИС9 сожрет этого виря эмулем на среднем уровне, более того - даю процентов 80 вероятности, что и на минимальном.

[Yen-Jasker 265]

Опять козни маркетологов... Нет, ну так жить нельзя! Даже справку под заказ написать не могут...

приходится читать вместо этого что-то вроде:

Вы правильно сказали "что-то вроде". В Справке не описана разница между уровнями эвристика. Я знаю, Справка писалась для домохозяек .

Лучше откройте раздел справки КИС 2010 "Значок в области уведомлений" .

[Danilka 678]

Дайте мне тушку- скажу. У меня как раз 506 сборка стоит.

[Yen-Jasker 265]

Дайте мне тушку- скажу. У меня как раз 506 сборка стоит.

Я спутал нумерацию, КИС 2010 я назвал КИС 8. Но эксперимент интересный, сейчас вышлю тебе тушку.

[Maratka 30]

Дайте мне тушку- скажу. У меня как раз 506 сборка стоит.

А нафига?

В восьмерке и девятке в общем то тот же скелет эмуля, но за счет некоторых ухищрений эмуль работает на 2 порядка быстрее. Потому ему очень часто не нужны высокие уровни для детекта чего-то там, что детектит КИС7 на максимальной настройке.

Вы правильно сказали "что-то вроде". В Справке не описана разница между уровнями эвристика. Я знаю, Справка писалась для домохозяек .

Для знающих русский язык описано.

Или Вы не понимаете разницу между понятиями "детально/глубого" и "поверхностно"?

[Guest MVRoot]

Вот тема полутше KIS2009, там чегото про кав было)

http://virusinfo.info/showthread.php?t=45433

это я намекаю что такие есть(Эти-же) которые грохоют его вместе с самозашитой, а вообше КИС чаше работает но не чего не видит(у меня 2010 пропустила и хипся прозивала -а кис нечего не видела и неувидит), видно те вирусопесатели знают не меньше, а больше меня)

[Ingener 150]

А можно спросить: зачем лично вам-то этот монстр на компе при правильно настроенной системе?

Просто хочу себе в дополнение к Avira PSS9 подобрать какой-нибудь hips, который бы реально защищал и работал автоматически не задавая лишних вопросов - пока лучше DW я ничего не нашел...

[Yen-Jasker 265]

Для знающих русский язык описано.

Или Вы не понимаете разницу между понятиями "детально/глубого" и "поверхностно"?

Для знающих русский язык домохозяек этого достаточно.

Меня интересует конкретная разница, в цифрах. Насколько "глубокий" уровень отличается от "минимального" - в два раза меньше скорость или в 0,2 раза, какие технологии анализа применяются или не применяются на каждом из уровней?

Что значит "минимальный", "средний" и "глубокий" уровень в понимании ЛК и чем они отличаются?

ЛК писала Справку для домохозяек, но домохозяйки ее не читают, а для недомохозяек в Справке недостаточно информации .

Хуже, недомохозяйки видят, что целый раздел Справки ЛК скопировала из КИС 2009 ("Значок в области уведомлений") и этот раздел вообще не актуален.

Но тестеры ЛК наверное тоже не читают Справку и никого не интересует какую старую неактуальную галиматью там увидит клиент.