Password-protected-EXE

[Mr. Justice 771]

ага. на любой exe вне списка известных файлов кричать "возможно вирус", вполне себе подход. в стиле.

Поведенческий анализатор "ругается" не на файлы, а на подозрительное поведение и как правило "по делу", по крайней мере если установить базовый вариант проактивной защиты.

хочешь сделаю что бы не ловил? причем не скрипт, а все что угодно. без скрипта. без ничего со стороны комостера пользователя? просто на apache с php или mod_perl? но тема совсем не интересная - ребенка любой обидеть сможет

Это обсуждалось уже не один раз. "Пробить" можно практически любую защиту.

[Z 0]

ага. на любой exe вне списка известных файлов кричать "возможно вирус", вполне себе подход. в стиле.

Поведенческий анализатор "ругается" не на файлы, а на подозрительное поведение и как правило "по делу", по крайней мере если установить базовый вариант проактивной защиты.

у Вас какое-то очень однобокое восприятие информации

хочешь сделаю что бы не ловил? причем не скрипт, а все что угодно. без скрипта. без ничего со стороны комостера пользователя? просто на apache с php или mod_perl? но тема совсем не интересная - ребенка любой обидеть сможет

Это обсуждалось уже не один раз. "Пробить" можно практически любую защиту.

я уже сказал, видимо для доходчивости нужно повторить тема совсем не интересная, не о чем говорить.

[Storm 0]

у Вас какое-то очень однобокое восприятие информации

Не могли бы Вы пояснить в чем "однобокость" восприятия

Mr. Justice?

[Mr. Justice 771]

у Вас какое-то очень однобокое восприятие информации

Не совсем понимаю Вас john. Эвристик и поведенческий анализатор - это не одно и то же.

я уже сказал' date=' видимо для доходчивости нужно повторить тема совсем не интересная, не о чем говорить.[/quote']

Но тем не менее Вы о ней говорите.

Добавлено спустя 3 минуты 50 секунд:

Не могли бы Вы пояснить в чем "однобокость" восприятия

Mr. Justice?

Storm наверное john имеет в виду, что динамическая эвристика (эмуляция) чем-то напоминает поведенческий анализ. Да это так. Но это не означает тожественность этих понятий.

[Z 0]

у Вас какое-то очень однобокое восприятие информации

Не совсем понимаю Вас john. Эвристик и поведенческий анализатор - это не одно и то же.

ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают) - лучший метод не допускать попадания файлов в систему из неоткуда, знать что там было вчера (я так думаю что смайлики строго обязательны, местный контингент сам не в состоянии распознать)

[Mr. Justice 771]

ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно. Следует также иметь в виду, что понятия "эвристика" и "поведенческий анализ" являются составными частями понятия "проактивная защита". Однако толкование этого понятия также имеет свои спорные моменты. В частности некоторые специалисты и пользвоатели под проактивной защитой понимают о поведенческий анализ.

- лучший метод не допускать попадания файлов в систему из неоткуда, знать что там было вчера (я так думаю что смайлики строго обязательны, местный контингент сам не в состоянии распознать)

К числу таких методов относится эвристический и поведенческий анализ. Согласны? Тогда о чем речь?.А на счет смайликов, да Вы правы 0 они не помешают, с учетом того, что Вы любите часто выражать свои мысли загадками. Не обижайтесь. Это - не критика...

[Z 0]

ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно.

не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна. поведение полностью идентичное. структура тоже. только эвристическими методами можно попытаться распознать что есть что. одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

[Mr. Justice 771]

не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна.

Если не учитывать вредоносные последствия, то результат действительно будет примерно одинаковым - произойдет инсталяция программы.

поведение полностью идентичное. структура тоже.

А вот поведение инсталятора легального ПО и троянской программы, полагаю, может существенно отличаться. В частности в отличие от легальной программы троянец, например, инсталирует вредоносный код скрытно и зачастую использует механизм внедрения кода в легальные процессы и rootkit - технологии и т.п.

только эвристическими методами можно попытаться распознать что есть что.

Вы сами себе противоречите john. Выше Вы говорили о том, что структура легального инсталятора и дроппера ничем не отличается.

Тогда каким образом эвристик распознает код? Может быть я опять что-нибудь недопонимаю?

одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Ну это характерно не только для постоянно критикуемого Вами творения. Более известный Вам продукт совсем недавно пытался распознать в инсталяторах известных антивирусов (KAV 5.0 и NAV 2006) backdoor. Справедливости ради отмечу, что это недоразумение довольно быстро устранили (потребовалось, если мне не изменяет память 1-2 недели. Кроме того, этот продукт продолжает очень часто неадекватно реагировать на другие легальные программы. Для того что бы убедится в этом достаточно пробежаться по известным Вам форумам. Кстати я не рассматриваю это как существенный недостаток этого продукта. Любая эвристика, как известно предполагает некоторое количество ложных срабатываний. Это - нормально явление.

По поводу критикуемого Вами продукта - ситуация аналогичная. Поведенческий анализатор то же может ошибаться. Поведенческий анализ реагирует на подозрительное поведение. Как Вы считатете может ли легальная программа подозрительно себя "вести"?

[Z 0]

одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Ну это характерно не только для постоянно критикуемого Вами творения. Более известный Вам продукт совсем недавно пытался распознать в инсталяторах известных антивирусов (KAV 5.0 и NAV 2006) backdoor. Справедливости ради отмечу, что это недоразумение довольно быстро устранили (потребовалось, если мне не изменяет память 1-2 недели. Кроме того, этот продукт продолжает очень часто неадекватно реагировать на другие легальные программы. Для того что бы убедится в этом достаточно пробежаться по известным Вам форумам. Кстати я не рассматриваю это как существенный недостаток этого продукта. Любая эвристика, как известно предполагает некоторое количество ложных срабатываний. Это - нормально явление.

По поводу критикуемого Вами продукта - ситуация аналогичная. Поведенческий анализатор то же может ошибаться. Поведенческий анализ реагирует на подозрительное поведение. Как Вы считатете может ли легальная программа подозрительно себя "вести"?

я уже говорил об однобокости восприятия? не нужно приписывать мне то что я не говорил.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер. вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

[Mr. Justice 771]

я уже говорил об однобокости восприятия? не нужно приписывать мне то что я не говорил.

john простите меня, но я не на протяжении всей нашей с Вами дискусии так и смог понять то, что Вы пытаетесь доказать или опровергнуть. По моему мы говорим с Вами на разных языках. Не исключаю, что в этом есть моя вина.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер.

Если принимать во внимание этимологию слова эвристика, то несомненно Вы правы. Eurisko - в переводе с древнегреческого - нахожу, открываю. Иными словами эвристика - это способность находить новое, неизведанное. Вместе с тем следует иметь в виду, что современное толкование этого термина несколько отличается от того, которое использовали в прошлом. О том, как понимается этот термин в современной практике антивирусной индустрии я писал выше.

вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

Того, что я написал разве недостаточно? Все критерии, я естественно не приведу. Этот вопрос следует адресовать специалистам.

[Z 0]

я уже говорил об однобокости восприятия? не нужно приписывать мне то что я не говорил.

john простите меня, но я не на протяжении всей нашей с Вами дискусии так и смог понять то, что Вы пытаетесь доказать или опровергнуть. По моему мы говорим с Вами на разных языках. Не исключаю, что в этом есть моя вина.

цитата: "они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают". с ней вы начали спорить.

речь шла о том, что принятие решения на основе анализа поведения носит исключительно эвристический характер.

Если принимать во внимание этимологию слова эвристика, то несомненно Вы правы. Eurisko - в переводе с древнегреческого - нахожу, открываю. Иными словами эвристика - это способность находить новое, неизведанное. Вместе с тем следует иметь в виду, что современное толкование этого термина несколько отличается от того, которое использовали в прошлом. О том, как понимается этот термин в современной практике антивирусной индустрии я писал выше.

всмысле у ЛК? это далеко не вся индустрия.

вернемся к инсталяции ПО. дайте об`ективные, не эмпирические, критерии по которым можно отличить инсталятор от дропера по его поведению. (сброс известного трояна вспоминать не нужно, это будет известно без всякого анализа поведения)

Того, что я написал разве недостаточно? Все критерии, я естественно не приведу. Этот вопрос следует адресовать специалистам.

ни одного критерия не увидил. но это, вобщем-то, совершенно не важно. помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

[TiX 0]

ну однозначно однобокое - причем тут эвристики, анализаторы (а они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают)

В корне неверно. Эвристический и поведенческий ананиз - разные вещи. Соглашусь с тем, что отнесение эмуляции к одной из эти технологий - вопрос весьма спорный (некоторые специалисты, по крайней мере считают, что эмуляцию следует рассматривать как самостоятельный метод детектирования вирусов (в широком смысле слова). Но статистический эвристик и поведенческий анализ - представляют собой абсолютно разные методы поиска новых вредоносных объектов. Статическая эвристика основана на анализе предполагаемого вредоносного кода, а поведенческий анализ - базируется на анализе подозрительного поведения потенциально вредоносного объекта. Я думаю, это Вам как квалифицированному специалисту должно быть известно.

не соглашусь. инсталлятор любого ПО ничем не отличается от дропера трояна. поведение полностью идентичное. структура тоже. только эвристическими методами можно попытаться распознать что есть что. одно небезизвестное творение постоянно ругается на другие, еще более известные, творения Руссиновича.

Отличается в 1 параметре кардинально в 99% дропперов.

В каком публично сказать немогу.

[Mr. Justice 771]

цитата: "они, действительно, не совсем одно и тоже, эвристик это более широкое понятие, куда и BB всяческие попадают". с ней вы начали спорить.

Если быть точным, то дискуссия началась ранее.

всмысле у ЛК? это далеко не вся индустрия.

Согласен, что в указанные выше понятия могут интерпретироваться по-разному. Я говорил о том, как чаще всего понимаются эти термины. Если я Вас правильно понял в Dr. Web под эвристикой понимают любые превентивные меры, а поведенческий анализ следует понимать как разновидность эвристики. Хм...подход оригинальный...буду иметь это в виду.

ни одного критерия не увидил. но это, вобщем-то, совершенно не важно.

Какие критерии Вам нужны? Что Вы понимаете под объективными критериями? ОК, оставим это.

помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

Категорически не согласен!

[Z 0]

Какие критерии Вам нужны? Что Вы понимаете под объективными критериями? ОК, оставим это.

помоему мы уже договорились что анализ поведения это исключительно эвристический анализ основаный исключительно на домыслах и догадках?

Категорически не согласен!

тогда не оставим. хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

[TiX 0]

john - просто прикинь сам Ж) Ты ведь в вирьлабе работаешь и софт ставишь.. Одно основное отличие - только называть его ненадо (плохо может кончится для пользователей)

[Mr. Justice 771]

тогда не оставим. хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

Я считал что таких критериев, по крайней мере на данный момент не существует. Но TiX заставил меня усомниться в моей позиции. Боюсь что моих знаний на сегодняшний день недостаточно чтобы дать однозначный ответ на Ваш вопрос.

[Z 0]

тогда не оставим. хочу услышать критерии по которым можно однозначно сказать что это дропер, а это инсталятор. что они приносят - нам не ведомо по определению задачи.

Я считал что таких критериев, по крайней мере на данный момент не существует. Но TiX заставил меня усомниться в моей позиции. Боюсь что моих знаний на сегодняшний день недостаточно чтобы дать однозначный ответ на Ваш вопрос.

правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

[TiX 0]

А я говорю - Джон еще раз прикинть Ж) Есть 99 процентный метод отличить инсталятор от дроппера включая TrojanDownloader от Web-Install

[Mr. Justice 771]

правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

Я бы не стал называть это домыслами. Это предположения, основанные на определенных обстоятельствах (фактах).

[TiX 0]

for Mr. Justice - PM прочитали?

[Mr. Justice 771]

for Mr. Justice - PM прочитали?

Прочитал. Вы абсолютно правы. В подавляющем большинстве случаев этот критерий дейстительно будет иметь решающее значение. Кстати....ладно продолжать не буду. Если Вы считаете что обсуждать это публично не стоит, то промолчу...

P.S. О личных сообщениях узнаю через почту. Поэтому отвечаю не сразу.

[TiX 0]

Надеюсь что джон тоже до этого дойдет и мы сможет обсуждать "ЭТО"

[Mr. Justice 771]

Надеюсь что джон тоже до этого дойдет и мы сможет обсуждать "ЭТО"

Будем надеятся....Догадаться в принципе несложно...

[TiX 0]

Намек кстати от вас был на предидущей странице Ж)

Пост от Ср Сен 20, 2006 4:33 pm

3тья строка блин раз Джону так трудно Ж)

Даже детект пдм называется в точности "HiddenInstall"

[Z 0]

правильно, не существует. значит решение принимается исходя из домыслов не основанных на фактах. и как это назвать одним словом?

Я бы не стал называть это домыслами. Это предположения, основанные на определенных обстоятельствах (фактах).

жонглирование словами. бесполезный разговор...