Перейти к содержанию
Latin

Защита, а какая она?

Recommended Posts

_Stout
На самом деле проблема проактивной защиты (на мой взгляд) в том, что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...

Согласен частично. Согласен с тем, что квалифицированных пользователей очень мало. Не согласен с тем, что у всех вендоров их системы проактивной защиты расчитаны на подготовленного пользователя. И последнее -- Не всякая система расчитана и предназначена для чайника (aka нормальный пользователь сегодня). Есть т.н. экспертные системы, есть, предназначенные для системных администраторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

_Stout

Согласен. Но чайников-то БОЛЬШИНСТВО! Вот в чем проблема!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
_Stout

Согласен. Но чайников-то БОЛЬШИНСТВО! Вот в чем проблема!

Ну и что? Вы считаете что продукты должны выпускаться только для чайников?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Mr. Justice

Нет конечно. Но, с учетом большинства чайников стоит понимать, что стоящий дома у чайника комп представляет ту же угрозу всем остальным, что и зараженный комп на работе.

Поймите, я не призываю делать программы для чайников, но поскольку их слишком много, то обратить на это внимание. Ну не знаю, учить их что ли.

Элитные программы нужны элите, а сколько той элиты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Нет конечно. Но, с учетом большинства чайников стоит понимать, что стоящий дома у чайника комп представляет ту же угрозу всем остальным, что и зараженный комп на работе.

А причем тут проактивная защита? Она что оказывает негативное влияние?

Поймите, я не призываю делать программы для чайников, но поскольку их слишком много, то обратить на это внимание. Ну не знаю, учить их что ли.

Еще раз хотелось бы обратить внимание на то, что проактивная защита настраивается. Для этого есть мануал. Если его недостаточно можно пригласить специалиста. Если нет желания этого делать - можно отключить модуль проактивной защиты полностью или отключить его отдельные опции.

Элитные программы нужны элите, а сколько той элиты?

Если говорить о KAV/KIS 6.0, то эти программы расчитаны на широкий круг пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Ладно, я чувствую ваше нежелание подумать о тех, кто покупает программы. Я же, в силу работы, вынужден каждый день заниматься чайниками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ладно, я чувствую ваше нежелание подумать о тех, кто покупает программы. Я же, в силу работы, вынужден каждый день заниматься чайниками.

Прошу прощения. Может быть я действительно в чем-то не прав. И Вам как практику, работающему с клиентами виднее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Mr. Justice

Прошу правильно понять. Чайнику, который напуган, нужны грамотные пояснения, почему плохо то или иное действие и что делать! Иногда я сам пытаюсь понять при включенном KIS 6.0, что текущее сообщение - это опасность или нет. И не всегда могу решить верно. А теперь представьте чайника с параноидным отношением к безопасности. Да он же админа за неделю уложит в психушку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Mr. Justice

Прошу правильно понять. Чайнику, который напуган, нужны грамотные пояснения, почему плохо то или иное действие и что делать! Иногда я сам пытаюсь понять при включенном KIS 6.0, что текущее сообщение - это опасность или нет. И не всегда могу решить верно. А теперь представьте чайника с параноидным отношением к безопасности. Да он же админа за неделю уложит в психушку!

Разве таких много?

В таком случае, полагаю возможны следующие варианты:

1. Настроить проактивную защиту индивидуально под данного пользователя (в зависимости от решаемых им задач)

2. Отключить проактивную защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Mr. Justice

Разве таких много?

Представьте организацию, в которой 1000-1200 компьютеров. Даже 1% пользователей способен уложить админа безопасности насмерть. А поверьте, их ЗНАЧИТЕЛЬНО больше!

Отключить... Вариант. А где гарантии, что в какой-то интреесный момент времени админ не пожалеет о выключении?

Все намного сложнее, поверьте мне! Я не первый год работаю. И пришел к выводу что с каждым годом пользователи все глупее, а требования к ним все выше.

Даже не только пользователи. Гордым именем админ теперь называются те, кто знает как в винде флажки расставить! породили поколение эникейщиков, теперь расхлебываемся!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

VladB

А у чайников базовая проактивка или интерактивная?

Базовая должна гораздо меньше сообщений вываливать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Базовая. Но учтите, кое-где бестолковые админы не закрывают доступ к настройкам антивируса. Соответственно, попадаются гвардейцы (не у меня, я своих давно построил), которые ставят себе интерактивную. И работа превращается в АД!

Далее, не мешало бы досточтимым писателям более качественно описывать чем грозит то или иное действие. Согласитесь, так вопросов будет меньше и жить легче!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Отключить... Вариант. А где гарантии, что в какой-то интреесный момент времени админ не пожалеет о выключении?

Поэтому я и пишу, что нужно учитывать конкретную ситуацию. Администратору в некоторых случаях придется выбирать.

Можете "взять на вооружение" методику которую использует Dmitry Perets http://anti-malware.ru/phpbb/viewtopic.php...ac961d23cd5b3f4

Все намного сложнее, поверьте мне! Я не первый год работаю. И пришел к выводу что с каждым годом пользователи все глупее, а требования к ним все выше.

Даже не только пользователи. Гордым именем админ теперь называются те, кто знает как в винде флажки расставить! породили поколение эникейщиков, теперь расхлебываемся!

C этим спорить не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Вопрос не в его классе, а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)

Тогда в пример лучше ставить ProcessGuard / RegistryGuard ot Daemond CS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Что то с логикой не то.

Вы считаете' date=' что технология является правильной, только если ее использовал лидер отрасли ? [/quote']

Нет, я как раз так не считаю. Как раз наоборот. Хотя по чём считать "лидерство в отрасли", конечно.

Встречный вопрос: считаете ли Вы' date=' что не-лидеры могут стать лидерами в результате использования перспективных технологий, которых еще нет у лидера ? [/quote']

Не исключаю.

Не забудьте только свериться с существующими патентами в данной области. Ага ?

Патенты рассказывают об алгоритмах до определённой детализации. Полностью используемые механизмы никто рассказывать не будет. Соответственно' date=' если получится что-то похожее получить при независимой разработке, то доказать что-то будет сложно. В патенте часто описываются лишь общие принципы. Кстати, патенты - это отдельная история. Мелкие производители ПО возмущаются всё чаще в последнее время по поводу того, что крупные производители ПО патентуют слишком общие принципы программирования, оставляя мелких производителей ПО без куска хлеба и большинства возможностей. Но это отвлечение.

В каком, если не секрет ? Может быть ваша выборка нерепрезетативна ? Smile

Извините, снять маску я пока не готов. Регион достаточно репрезентативен по России, ибо ярко выраженных особенностей, присущих некоторым регионам, лишён.

Вы неправы. Если технология (подход' date=' метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать. [/quote']

И тут возникает снова вопрос про патенты, корректность таких действий и т.д.

Проактивная защита включает в себя как поведенческий анализ' date=' так и эвристику. Развивать нужно то и другое. [/quote']

Вы говорите про проактивную защиту в терминах ЛК. Для различных производителей ПО же определение этого термина колеблется от "вообще непонятно, что это такое" до "это абсолютная истина" (про данное Вами определение. И что _нужно_ развивать, каждый из производителей антивирусов решает по-своему. И именно поэтому на антивирусном рынке такая конкуренция.

Goudron писал(а):

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

...и для какого продукта. Все продукты часто равны' date=' но некоторые "равнее". "Спонсором сегодняшнего тестирования является..." ;)

Добавлено спустя 8 минут 31 секунду:

Такая идея чучхе, мы пойдем свои путем Smile

В данном случае на эту мысль наводит существование патентов и возможные заявления "вы у нас слямзили что-то".

Поэтому приходится делать примерно одно и то же, но действует и выглядит оно по-разному.

Пользователю от этого только лучше - больше выбор из различных решений.

Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том' date=' что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону. Но таких срабатований, особенно на начальном этапе, достаточно много. И данная ситуация, на мой взгляд, решается введением пресетов. Конечно это требует определенных затрат времени и средств, но с другой стороны исключит ситуацию когда данный компонент попросту отключают со всеми вытекающими отсюда последствиями и сделает "технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя" (с)«Лаборатория Касперского». [/quote']

Т.е. опять же возвращаемся к тому, что пользователь, пользующийся возможностями поведенческого анализатора, должен быть грамотным. Но налицо обратная тенденция. В "пятёрке" судя по всему Доктор собирается этой тенденции угодить, упростив интерфейс и сведя его наконец в одну кучу.

Ну и что? Вы считаете что продукты должны выпускаться только для чайников?

Но и для чайников тоже нужны продукты' date=' ибо количество разума на Земле - величина постоянная, а население растёт ;)

Если нет желания этого делать - можно отключить модуль проактивной защиты полностью или отключить его отдельные опции.

И получить эвристик, работающий на 25%, который как раз и призван пристраховать поведенческий анализатор.

Если говорить о KAV/KIS 6.0' date=' то эти программы расчитаны на широкий круг пользователей.[/quote']

Слово "подготовленных" всё же забыли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>И получить эвристик, работающий на 25%, который как раз и призван пристраховать поведенческий анализатор

Тут все сложнее.

Проактивка у каспа - это большой набор под-модулей.

Основной алгоритм - анализ поведения с выводом конкретного подозрения на тип вируса (как у обычьного эвристика) - "анализ активности приложений" работает как в обычном так и в интерактивном режиме.

Другое дело - перехват дейтвий во время их совершения - HIPS - нет анализа последовательности действий - действия вроде "программа пытается записать в реестр" или "программа пытается инжектнутся во что-то" - эти опции скорее для профи. т.к требуют активного участия человека и включаются при выборе интерактивного режима работы модуля проактивной защиты.

Тоесть домохозяйка при выборе не интерактивного режима будет получать сообщения от проактивки на 90++% по делу. Остальной % - ложные срабатывания. Такие же как у обычьного эвристика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Патенты рассказывают об алгоритмах до определённой детализации. Полностью используемые механизмы никто рассказывать не будет.

Патент получать необязательно с точки зрения закона. Программа охраняется авторским правом с момента ее создания в той или иной объективной форме.

В патенте часто описываются лишь общие принципы.

Общие принципы не охраняются авторским правом вообще.

Кстати, патенты - это отдельная история. Мелкие производители ПО возмущаются всё чаще в последнее время по поводу того, что крупные производители ПО патентуют слишком общие принципы программирования, оставляя мелких производителей ПО без куска хлеба и большинства возможностей. Но это отвлечение.

Это неправда. По крайней мере это неправомерно.

И тут возникает снова вопрос про патенты, корректность таких действий и т.д.

Вопросы, конечно могут возникать, но это не повод для отказа от того, чтобы учиться на чужом опыте.

Вы говорите про проактивную защиту в терминах ЛК.

Я использую понятие "проактивная защита" в широком смысле. Многие пользователи продукции ЛК используют этот термин в узком смысле (см. выше).

Для различных производителей ПО же определение этого термина колеблется от "вообще непонятно, что это такое" до "это абсолютная истина" (про данное Вами определение. И что _нужно_ развивать, каждый из производителей антивирусов решает по-своему. И именно поэтому на антивирусном рынке такая конкуренция.

Это связано с тем, что разными вендорами механизм проактивной защиты реализуется по разному. Но это не дает нам основание отказываться от широкого определения понятия "проактивная защита". Проактивная защита - это превентивная защита (не требующая обновлений

антивирусных баз, то есть реакции вендора). Реактивная защита - это защита от вредоносного объекта, которая требует реакции вендора, путем, например, выпуска соответствующей сигнатуры в ответ на возникновения новой угрозы.

...и для какого продукта. Все продукты часто равны, но некоторые "равнее". "Спонсором сегодняшнего тестирования является..." ;)

Это абсолютно предвзятое мнение.

Но и для чайников тоже нужны продукты, ибо количество разума на Земле - величина постоянная, а население растёт ;)
И получить эвристик, работающий на 25%, который как раз и призван пристраховать поведенческий анализатор.

Приходится выбирать. Если пользователь не умеет настраивать проактивную защиту и не желает пригласить специалиста, то может быть имеет смысл отключить проактивную защиту или воспользоваться ее базовым вариантом, который дает меньше ложных срабатываний и намного реже "тревожит" пользователя. А что эвристик, который "кричит" на вполне "безобидные" программы по лучше? (я не имею в виду эвристический анализатор KAV/KIS)/

Слово "подготовленных" всё же забыли.

Под широким кругом я понимаю как "подготовленных", так и неопытных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Не удается на поговорить в реал тайм :( .Ладно будем последовательны.

Если это праздное любопытство, то информации с форума вполне хватит.

Уважаемый _Stout заботу о своей безопасности навряд ли можно расценивать как праздное любопытство. Вы согласны? А более глубокое понимание механизмов взаимодействия в работе инструментов призванных обеспечить безопасность дает уверенность в том, что они (инструменты) действительно обеспечивают эту безопасность. А так как этот форум позиционирует себя как "Форумы по информационной безопасности, защите от вирусов, спама и шпионских программ" поэтому здесь и задаются эти вопросы. Тем более что здесь присутствуют люди близко связанные с разработчиками этих инструментов.

только разработчики движка (или близкие к ним люди) таких здесь нет

Кажется, здесь проскальзывала информация, что Вы кажется, непосредственно связаны с этими разработчиками. Ага, вот

И эта статистика известна Stout как маркетологу
В таком случае вопрос адресуется и к Вам.
Если Вам интересна реализация указанного механизма в Dr. Web, то лучше обратиться за помощью к nowbody@nowhere (aka john).
Спасибо. Надеюсь, он заглянет сюда и сможет помочь в этом вопросе.

Добавлено спустя 7 минут 12 секунд:

Latin писал(а):

(Правда, я не встретил упоминания об одном из отечественном разработчике. )

Не понял о чем идет речь.

В статье говориться о реализации превентивных мер у различных разработчиков, и как одна из мер рассматривается эвристика. На сколько я знаю у Dr.Web'a нахваливают как раз это, вот об этом и речь.

Степень субъективизма может быть разной.
Речь шла о возможности доверия сертификатам и тестам, и г-н Goudron высказался, что им нельзя полностью доверять. Вы же со своей стороны высказались, что они достаточно объективны. Так вот, субъективная сторона присутствует всегда и не суть важно какая у нее степень.
Не совсем понятна Ваша позиция по данному вопросу.
Дело в том, что изначальные предпосылки могли строиться как раз на превентивных мерах противодействия как основной составляющей антивирусной защиты, а не на лечении уже зараженных файлов. На деюсь теперь понятно :)
Но эти идеи (принципы) не сразу получили распространение. Может дело в их несвоевременности, неактуальности на расматриваемом этапе развития?
Как раз и речь о том, что эти принципы стоило поставить во главе угла. См. ответ выше.
Тогда в пример лучше ставить ProcessGuard / RegistryGuard ot Daemond CS
К сожалению не знаком с этими продуктами :( Обязательно посмотрю.
Приходится выбирать. Если пользователь не умеет настраивать проактивную защиту и не желает пригласить специалиста, то может быть имеет смысл отключить проактивную защиту или воспользоваться ее базовым вариантом, который дает меньше ложных срабатываний и намного реже "тревожит" пользователя. А что эвристик, который "кричит" на вполне "безобидные" программы по лучше? (я не имею в виду эвристический анализатор KAV/KIS)/

Вопрос в том, что "чайниковсть" пользователей каждый трактует по своему и не один "чайник" не признает что он "чайник". И как раз для того, что бы учесть все нюасы этой "чайниковости" (ну по крайне мере большую их часть) я и говорил о том, что лучшим вариантом было бы сразу же включение определенных предустановок. Например, мы все знаем, что, допустим, Punto внедряется в процессы других приложений, так вот сразу делается предустановка, что этому процессу разрешается это делать. Соответственно остается возможность по расширенной настройке, где можно более тонко настроить реакцию на соответствующее действие, или вообще исключить какое либо приложение из доверенной зоны.

И именно по этому я задавал вопрос о взаимодействии различных компонентов. Ведь возможна ситуация когда зловред инжектиться к доверенному процессу и от его имени совершает деструктивные действия.

Такие пресеты минимизируют случаи, когда проактивка будет отключена. Ведь ее отключение сводит на нет все затраты вложенные разработчиками в ее создание и повышает риски.

Согласитесь, что не все домашние пользователи будут прибегать к услугам администратора (они сами по умолчанию администраторы :) ), или повышать свой проффессианализм путем разбирательства во взаимодействиях программ и процессов в своем компьютере. (если б все были профи кого бы тогда ругали админы :) ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Создание предустановок для известных внедряющихся легитимных программ облегчило бы конечно жизнь. Но по какому признаку он будет определять эти программы? Имя процесса и CRC? Сколько версий придется заносить? И не сможет ли вредонос под видом того же Punto внедриться в систему, если будут такие предустановки? Наверно пока это не решили, потому и не сделали...

Насчет сертификатов - они позволяют отсеивать при анализе новичков рынка, поэтому их надо получать. По отношению к грандам они ничего не показывают.

Дело в том, что изначальные предпосылки могли строиться как раз на превентивных мерах противодействия как основной составляющей антивирусной защиты, а не на лечении уже зараженных файлов.

Вы имеете в виду фаги? Не знаю почему от них отказались, наверно были причины...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Согласен. Но чайников-то БОЛЬШИНСТВО! Вот в чем проблема!

Согласен на 100%. Именно поэтому когда ставилось задание на разработку Proactive Defence Module в KAV6 было особо выделено -- меньше вопросов пользователю. Подход ЛК -- поведенческий блокиратор для чайников. Возможно в первой версии это сделано не на 100%, но к тому идут.

Добавлено спустя 15 минут 55 секунд:

Не удается на поговорить в реал тайм :( .Ладно будем последовательны.
Если это праздное любопытство, то информации с форума вполне хватит.

Уважаемый _Stout заботу о своей безопасности навряд ли можно расценивать как праздное любопытство. Вы согласны?

Ну почему же. Что бы знать как работает пассивная безопасность в автомобилях не надо становиться металлургом и знать все тонкости сплавов, из которых сделн каркас безопасности. Если вам хочется найти для себя оптимальный АВ с точки зрения защиты от IT угроз, то обладать знаниями об алгоритмах работы не нужно. Более того знания алгоритмов работы вам ничего не скажут т.к. только опыт разработчика АВ систем может подсказать, что тот или иной нюанс хорош или плох.

А более глубокое понимание механизмов взаимодействия в работе инструментов призванных обеспечить безопасность дает уверенность в том, что они (инструменты) действительно обеспечивают эту безопасность.

Не соглашусь. Если я вам скажу, что поведенческий блокиратор в продукте А анализирует 23 параметра, а в продукте Б -- 36, то не значит, что продукт Б однозначно лучше. Из этих 36 параметров значимыми могут быть 10. Абсолютно не важно в каком порядке сработают модули АВ движка при обработке того или иного файла. От этого вердикт не изменится. И даже не важно как работает эвристик -- они у всех примерно одинаковые. Если вы знакомы с программированием, то сделать эвристик сможете сами :P

А так как этот форум позиционирует себя как "Форумы по информационной безопасности, защите от вирусов, спама и шпионских программ" поэтому здесь и задаются эти вопросы. Тем более что здесь присутствуют люди близко связанные с разработчиками этих инструментов.

Я не против, скорре за :) Любопытство очень хорошее качество. Особенно, если потом делиться своими знаниями с окружающими. Но судя по первому посту, вы не очень хорошо разбираетесь в вопросе. Может быть имеет смысл обсудить не только Hi-Tech технологии, но и базовые?

только разработчики движка (или близкие к ним люди) таких здесь нет

Кажется, здесь проскальзывала информация, что Вы кажется, непосредственно связаны с этими разработчиками. Ага, вот

И эта статистика известна Stout как маркетологу
В таком случае вопрос адресуется и к Вам.

Слова Mr Justice можно трактовать по-разному :) Маркетолог не значит наличия связи с разработчиками, но и не отрицает такой связи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Но по какому признаку он будет определять эти программы? Имя процесса и CRC?
Да, это один из вариантов (для наиболее распространенных). Так же можно по сигнатуре. Наверняка есть и еще.
И не сможет ли вредонос под видом того же Punto внедриться в систему
По этому я спрашивал, как построено взаимодействие составляющих защиты: проактивка->эвристика->сигнатурный анализ. Но к сожалению, г-н _Stout забеспокоился с какой целью я этим интересуюсь, и не шпиён ли я :) .Ведь даже сейчас внеся определенное приложение в доверенную зону и тем самым исключив ее из поля зрения поведенческого анализатора, создается определенный риск. Согласны? Необходимо провести небольшой мониторинг самых распространенных приложений выполняющих какие-то действия подозрительные с точки зрения этого самого анализатора, но на самом деле безвредных и соответственно помещенные в траст зону приинжектиться к данному процессу и пошло поехало.
Насчет сертификатов - они позволяют отсеивать при анализе новичков рынка, поэтому их надо получать. По отношению к грандам они ничего не показывают.

Пожалуй, самое верное определение.

наверно были причины...
а какие ведь было наверно здорово.[/b]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
меньше вопросов пользователю.

А за счет чего это происходит? Каким образом Proactive Defence Module принимает то или иное решение? На что он полагается если не получает подтверждение от пользователя?

Что бы знать как работает пассивная безопасность в автомобилях не надо становиться металлургом и знать все тонкости сплавов' date=' из которых сделан каркас безопасности.[/quote'] Не надо :) Надо знать принцип и механизм работы. Какие узлы за что отвечают и что может произойти в той или иной ситуации.
Если вам хочется найти для себя оптимальный АВ с точки зрения защиты от IT угроз
На данном витке истории мой выбор уже сделан.
то обладать знаниями об алгоритмах работы не нужно.

А какими?

Более того знания алгоритмов работы вам ничего не скажут т.к. только опыт разработчика АВ систем может подсказать' date=' что тот или иной нюанс хорош или плох. [/quote'] Серьезно? Вообще то вопрос состоял в следующем
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический' date=' и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможны вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.[/quote'] а не в выискивании хорош или плох какой ни будь нюанс.
Если я вам скажу' date=' что поведенческий блокиратор в продукте А анализирует 23 параметра, а в продукте Б -- 36, то не значит, что продукт Б однозначно лучше. Из этих 36 параметров значимыми могут быть 10.[/quote'] А остальные 13 или 26 параметров тогда зачем? Маркетинговые уловки :)
Абсолютно не важно в каком порядке сработают модули АВ движка при обработке того или иного файла.
Важно сработают ли они вообще.
Но судя по первому посту' date=' вы не очень хорошо разбираетесь в вопросе.[/quote']

На сколько я помню я ни где не говорил, что профи.

Может быть имеет смысл обсудить не только Hi-Tech технологии' date=' но и базовые?[/quote']

А Вы считаете, что затронутые здесь вопросы относятся к таким уж высоким технологиям? Базовые? давайте и о базовых это я думаю, будет интересно многим посетителям.

Маркетолог не значит наличия связи с разработчиками' date=' но и не отрицает такой связи.[/quote']

Ну что ж предположение основывалось еще и на этом

ЛК' date=' конечно ведет статистику, но внутренняя статистика несколько субъективна и может говорить только о пользователях продуктов ЛК. [/quote'] если предпосылки были не верны что ж не взыщите, а если верны

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
меньше вопросов пользователю.

А за счет чего это происходит? Каким образом Proactive Defence Module принимает то или иное решение? На что он полагается если не получает подтверждение от пользователя?

Хмм.. на тоже на что и обычьный эвристик Ж)

Опять народ не разделяет поведенческий анализатор(блокиратор) от тупого блокиратора.

Первый анализирует множество действий и затем выдает запрос. Пример - появилась первая запись в реестре.. затем вторая затем анализатор понимает что 2 записи в сумме свойственны зловреду и выдает алерт. - Умное решение - поведенческий анализатор. (режим пользователя)

Второй выдает запрос перед тем как действие совершается. Пример - перед тем как запись появится в реестре - у юзера спросят. Не умное решение - монитор-защита рееста. (режим эксперта)

Я понятно обьяснил суть?

Добавлено спустя 5 минут 23 секунды:

>Серьезно? Вообще то вопрос состоял в следующем

>а не в выискивании хорош или плох какой ни будь нюанс.

в любом - термин не применим к движку ЛК. Но проактивка в термине ЛК отработает после запуска файла тоесть после отработки сигнатурного+эвристического анализа.

>Важно сработают ли они вообще.

Если они включены - они сработают всегда. Вопрос только в том какой они выдадут вердикт.

>А остальные 13 или 26 параметров тогда зачем? Маркетинговые уловки

Например случай - когда не контролирование 1 параметра стивит под угрозу обработку остальных Ж) Скажем не защитились от убийства процесса.. и пусть там хоть 250 параметров будет Ж) Анти-вирус убьют и они окажутся неважными ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
то обладать знаниями об алгоритмах работы не нужно.

А какими?

Какими знаниями нужно обладать? Знаниями результата. Согласитесь, что знать "как" не всегда нужно, необходимо знать "что".

Может быть имеет смысл обсудить не только Hi-Tech технологии, но и базовые?

А Вы считаете, что затронутые здесь вопросы относятся к таким уж высоким технологиям? Базовые? давайте и о базовых это я думаю, будет интересно многим посетителям.

База это старый добрый сигнатурный движок.

если предпосылки были не верны что ж не взыщите, а если верны

То что?

Полагаю, что TiX ответил на ряд вопросов.[/b]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Latin,

Давно меня тут не было, так что комментировать почти ничего не буду =) Только подчеркну несколько моментов касательно проактивки, которые вроде бы никто до меня не подчеркнул (бегло прошёлся - не нашёл).

1. О терминологии. Вообще проактивная защита - это любая защита от новых вирусов. Т.е. всё, что не сигнатурно. Эвристик, поведенческий блокиратор (он же поведенческий анализатор) - что угодно. Но здесь этот термин используется часто в значении "поведенческий блокиратор", потому что именно так его использует ЛК. Т.е. "проактивка" в КАВКИС 6.0 - это именно набор технологий поведенческого анализа. Эвристик у них тоже есть, но его они не называют частью проактивки. Согласен, это вносит путаницу в дискуссию...

2. Поведенческий блокиратор - это не разработка ЛК. И ЛК далеко не единственная, которая эту технологию продвигает. Из отечественных разработок - Safe'n'Sec от Starforce, DefenseWall от Ильи Рабиновича. Из зарубежных - Panda TruPrevent, будущая версия McAffee, BitDefender. Реализация разная, но концепция та же.

3. Лично мне совершенно очевидно, что поведенческий блокиратор станет следующим компонентом в списке тех, на которые все поголовно переходят. Кто-то раньше, кто-то позже. Кто-то будет сначала долго кричать о его бесполезности... Факты остаются фактами: 1) процент детекта наилучшего на рынке эвристика не достаточен для эффективной ловли новых вирусов; 2) обход эвристика проще обхода поведенческого анализатора; 3) процент детекта поведенческим блокиратором выше, чем у эвристика. Значит, в этом направлении нужно капать. А капать есть куда - проблем у концепции поведенческой блокировки тоже масса.

Напоследок: ещё один линк касательно этой самой "бесполезности" поведенческих анализаторов: http://www.zdnet.com.au/blogs/securifythis...39264249,00.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×