Перейти к содержанию
Latin

Защита, а какая она?

Recommended Posts

Latin

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Тривиальный ответ - на всё сразу =) И чем оно лучше, тем защита надёжнее.

Самый главный метод - сигнатурный. Им пользуются файловый монитор, почтовый монитор, http-монитор и проч. Из них наиболее важный - файловый монитор. Большинство вирусов, с которыми пользователь сталкивается, ловится именно файловым монитором по сигнатурам. Самый важный - не значит, единственный нужный. Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя. Последняя новинка - http-монитор. Начал добавляться тогда, когда поняли, что есть зловреды, на которых файловый монитор среагирует, но слишком поздно: например, на заражённую картинку он среагирует уже после того, как она будет обработана браузером.

Но сигнатурный метод уже давно не достаточен, потому что вирусов много, а вирусная лаборатория одна (у конкретного антивируса) =) Поэтому когда-то давно в России придумали эвристик. Поначалу простой, но он подкручивался и совершенствовался. Эвристик - это очень хорошо, но он не обеспечивает желаемого уровня детекта. В лучшем случае, при использовании наиболее продвинутых сегодня эвристиков, получается ловить до 50-60 процентов неизвестных зловредов, что не является удовлетворительным результатом. В среднем же эвристики на рынке детектят лишь процентов 30, что ещё хуже.

Более новая технология - HIPS, поведенческий блокиратор. То, что называется проактивкой у ЛК. Он обычно обеспечивает более высокий уровень детекта, чем эвристик, так как существует меньше свободы её обойти. Грубо говоря, он меньше зависит от реализации зловреда, а больше - от того, что именно зловред в результате хочет сделать. Но зато если зловред захочет сделать что-то другое, чего не контроллирует HIPS, то HIPS промолчит. Эвристик же более умён в этом плане - он пытается найти участки кода, которые "напоминают" ему какого-нибудь зловреда. Кроме того, HIPS часто ругается на "хорошие программы", посему нужно придумывать какие-то технологии против этого.

Так что ни проактивка, ни эвристик не взаимозаменяемы. Приходится разрабатывать их обоих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Согласен с Дмитрием. Да, сигнатурное определение на сегодня-самое важное, да и во многих тестах современных антивирусов проверяют именно работу сигнатурного сканера. Что касается выбора между эвристическим и поведенческим анализаторами-то я считаю более перспективным именно поведенческий (чисто моё субъективное мнение). Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса. Если говорить о лжесрабатовании- то поведенческий много даёт алярмов (хотя их мона уменьшить соответствующими настройками анализатора), но и эвристика у некоторых продуктов даёт много алярмов (чем выше уровень эвристики, тем больше алярмов: исключение NOD32). Например мой родной VBA имеет очень мощную эвристику-пожалуй одну из самых мощных, но лже срабатываний-просто половина всех срабатываний.

Вывод:помимо сигнатурного анализатора (самый важный) должен быть HIPS модуль (с широкими возможностями настройки и с предустановленными вариантами для различных случаев).Эвристика тоже должна быть, но такая, чтобы лжесрабатываний было минимум(пускай и не самая мощная-равняться на NOD32). http-модуль в обязательном порядке (сигнатура +эвристика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса.

Нет, это не так. Эвристик тоже обновляемый. В частности, у ЛК он вообще не зависит от версии продукта. Целиком в вир.лабе разрабатывается.

С остальным согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Спасибо! но возникает несколько вопросов

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Поэтому когда-то давно в России придумали эвристик.

Что серьезно? :) Мы опять самые лучшие! :)

Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя.

Тогда что получается, что о проактивке задумались только совсем недавно? Ну а пример с regrun'ом который я привел? насколько я знаю проактивную защиты они сделали относительно давно. И почему только один антивирус имени фамили одного человека релиазовал это. А другие еще не поняли

что без них уже нельзя.
ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.
Эвристик тоже обновляемый.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Самый главный метод - сигнатурный
Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Тогда что получается, что о проактивке задумались только совсем недавно?

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.

Совершенно верно.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Эвристику обновлять можно. И "проактивные" алгоритмы тоже. Для уровня ведущих антивирусных вендоров это несложно. (Я тут говорю и про Доктора и про ЛК, заметьте).

vaber писал(а):

Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

Существуют технологии, которые призваны уменьшить нагрузку на машину. А увеличение количества багов, наверное следует считать закономерным явлением.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Категорически несогласен. Практика доказывает обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Как давний пользователь, действительно, общаюсь.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Существуют технологии, которые призваны уменьшить нагрузку на машину.

Согласен, что это возможно в принципе. Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

А увеличение количества багов, наверное следует считать закономерным явлением.

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Категорически несогласен. Практика доказывает обратное.

Приведите примеры из практики, доказывающие обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Как давний пользователь, действительно, общаюсь.

Надеюсь с представителями разных вендоров. В противном случае Ваше мнение нельзя признать обоснованным.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Давайте будем дискутировать последовательно. В первую очередь мне бы хотелось увидеть агрументы, обосновывающие Вашу позицию.

Согласен, что это возможно в принципе.

Это не только возможно. Это уже реализовано.

Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал :))

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Устранять недостатки (баги) конечно же необходимо, но это не означает, что нужно останавливаться на достигнутом в технологическом плане. Разве не так?

Приведите примеры из практики, доказывающие обратное.

Доказательством служат тесты Клименти и практика пользователей ЛК. Свои примеры привести не смогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Надеюсь с представителями разных вендоров.

Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Я говорил, что прикипел к одному вендору, хоть и имею лицензию на различные антивирусы (больше, в целях самообразования).

Это не только возможно. Это уже реализовано.

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал Smile)

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Доказательством служат тесты Клименти

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

и практика пользователей ЛК.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Добавлено спустя 3 минуты 19 секунд:

Re: Защита, а какая она?

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

PS В Aidstest никогда, никогда НИКОГДА не было ни намека на эвристику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Причем тут я? Это Вы утверждаете, что

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт
.
Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит.

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод. С этим я полностью согласен. Но использовать лишь этот подход было бы неверным. В современых условиях необходимо развивать проактивные технологии. Это мое мнение.

Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Какой подход Вы бы предложили в ответ на увеличение, так называемых вредоносных объектов zero day? Возможности реактивного методы небезграничны. Или Вы не согласны?

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

Тесты бывают разные.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Goudron писал(а):

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Возможности реактивного методы небезграничны. Или Вы не согласны?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Тесты бывают разные.

Любой тест субъективен.

Goudron писал(а):

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Все люди похожи.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

На чём основано данное утверждение? На материалах ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Что то с логикой не то.

Вы считаете, что технология является правильной, только если ее использовал лидер отрасли ?

Встречный вопрос: считаете ли Вы, что не-лидеры могут стать лидерами в результате использования перспективных технологий, которых еще нет у лидера ?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Не забудьте только свериться с существующими патентами в данной области. Ага ?

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе.

В каком, если не секрет ? Может быть ваша выборка нерепрезетативна ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Возможности реактивного методы небезграничны. Или Вы не согласны?
Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Проактивная защита включает в себя как поведенческий анализ, так и эвристику. Развивать нужно то и другое.

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Полагаю, что этого явно недостаточно, чтобы сделать правильный вывод.

На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

:)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Добавлено спустя 12 минут 32 секунды:

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

>Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик)

Эвристики очень просто обойти всякими анти-отладочными трюками. Поведенческий анализатор так не обманешь.

>пока только думает об этом

Не думает а активно разрабатывает Ж)

> но, на мой взгляд, более перспективно

Нет т.к см первый ответ Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

Спасибо за ссылку. Чертовски интересно. Да, наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье.

]

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков. (Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

И я так понимаю Goudron имел в виду реализацию в том виде как она сделана в avp. Тогда вопрос в чем сомнения? В методе реализации, взаимодействии с пользователем или еще чем-то?

Вообще говоря, поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед). Конечно, это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) . Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том, что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону. Но таких срабатований, особенно на начальном этапе, достаточно много. И данная ситуация, на мой взгляд, решается введением пресетов. Конечно это требует определенных затрат времени и средств, но с другой стороны исключит ситуацию когда данный компонент попросту отключают со всеми вытекающими отсюда последствиями и сделает "технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя" (с)«Лаборатория Касперского».

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Во всяком случае больше половины тех, кого я знаю.

Сергей Ильин писал(а):

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Присоединяюсь

Goudron писал(а):

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод.

А не складывается ли у вас мнение, что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Вопрос не в его классе, а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет. А вобще -- в каждом АВ свой порядок, более того порядок обработки может меняться в зависимости от.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет.

Блин, жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Коллега Latin позвольте полюбопытствовать -- к чему такие вопросы? Если есть желание разработать что-то свое, по быстрее научиться что-то делая и анализируя неудачи. Если это праздное любопытство, то информации с форума вполне хватит. Надеюсь, что Гудрон подскажет, другие причины?

Добавлено спустя 7 минут 31 секунду:

]На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

ЛК, конечно ведет статистику, но внутренняя статистика несколько субъективна и может говорить только о пользователях продуктов ЛК. Говорить за весь регион можно имея результаты независимого и объективного исследования, проведенного независимым агенством.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

На самом деле проблема проактивной защиты (на мой взгляд) в том, что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо за ссылку. Чертовски интересно. Да' date=' наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье. [/quote']

Как я уже указывал выше, понятие проактивная защита включает в себя как поведенческий, так и эвристический анализ. Однако следует иметь ввиду, что этот термин иногда понимается и в "узком" смысле (чаще всего среди пользователей KAV/KIS), то есть отождествляется с поведенческим анализом.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков.

Да' date=' почти у всех в том или ином виде.

(Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

Не понял о чем идет речь.

Вообще говоря' date=' поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед).[/quote']

Согласен.

Конечно' date=' это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) .[/quote']

Верно.

Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том' date=' что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону.[/quote']

У меня проактиваня защита реагировала на Punto Switcher. Это нормально. Как вы правильно заметили проактивную защиту можно настроить. Это не так уже и сложно и занимает не очень много времени. Для тех кто не умеет - есть неплохой мануал, можно так же воспользоваться помощью специалиста. Для тех кто не желает этого делать предусмотрена возможность отключения модуля проактивной защиты.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Степень субъективизма может быть разной.

А не складывается ли у вас мнение' date=' что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.[/quote']

Не совсем понятна Ваша позиция по данному вопросу.

Вопрос не в его классе' date=' а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)[/quote']

Но эти идеи (принципы) не сразу получили распространение. Может дело в их несвоевременности, неактуальности на расматриваемом этапе развития?

Добавлено спустя 6 минут 59 секунд:

Блин' date=' жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.[/quote']

Если Вам интересна реализация указанного механизма в Dr. Web, то лучше обратиться за помощью к nowbody@nowhere (aka john). Но он что-то в последнее время не очень "балует" нас своим присутствием на форуме. :(

Добавлено спустя 5 минут 3 секунды:

На самом деле проблема проактивной защиты (на мой взгляд) в том' date=' что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...[/quote']

Судя по всему ЛК учитывает интересы и возможности как подготовленных пользователей, так и начинающих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
×