Vitaliy69 1 Опубликовано 19 декабря, 2006 Share Опубликовано 19 декабря, 2006 (изменено) У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования? Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах. Складывается такая странная ситуация... У платного Касперского на данный момент в базе насчитывается около 250 000 записей, а в бесплатном продукте AVIRA AnriVIR их более 600 000. Выходит, Касперский будет пропускать некоторые виды вирусов? Или это субъективный параметр, так как один антивирус может посчитать, например, 2 вируса как модификацию одного, а другой - как 2 разных. В качестве доказательства мне приводили пример, когда брали простой троян и упаковывали его UPX. Тот же Касперский прекрасно его продолжал детектировать как зверя, а AntiVIR уже замолчал. Лишь только после отправки в антивирусную лабораторию AVIRA он стал определяться как вирус... Но уже другой... Не знаю, верить ли этой легенде... Но тогда как объективно рассчитать количество вирусных записей в каждом антивирусном продукте? Сейчас для меня это очень важный вопрос, когда стоит выбор перед покупкой лицензии на KAV или остаться пользователем AntiVIR. Изменено 12 февраля, 2007 пользователем Pipkin Цитата Ссылка на сообщение Поделиться на другие сайты
E.K. 10 226 Опубликовано 19 декабря, 2006 Share Опубликовано 19 декабря, 2006 У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования?Нет не может. Качество детектирования обеспечивается _одновременно_ несколькими технологиями: сигнатуры, распаковщики, эвристики, процедуры поиска "похожих" зловредов ("generic" detection), что еще забыл? Но, насколько я понимаю, интерес представляет не "качество детектирования" зловредов - а "качество защиты" компьютера от внешних атак. Тогда к списку необходимо приплюсовать качество поведенческого блокиратора (behaviour blocker, в 6-ке это PDM), возможность продукта защищать все возможные "дырки", сквозь которые может незаметно пролезть зловредство, скорость реакции вир-лабов на эпидемии, частоту выпуска апдейтов и т.д. Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах. Так по тексту уже был пример с UPX? Сиё есть доказательство того, что сигнатуры - это мало. Без поддержки множества пакеров не обойтить никак. Конкретно про Авиру. Похоже, что они добавляют новые вирусы/трояны [полу-]автоматом не разбираясь что к чему. Новые образцы берут из различных коллекций (вот потому у них и такие хорошие результаты в тестах). Но в реальной жизни это означает, что минимально модифицированный/упакованный троян - и всё. Плюс ложные срабатывания, поскольку в коллекциях частенько встречаются чистые файлы, попавшие туда по ошибке. Цитата Ссылка на сообщение Поделиться на другие сайты
Falco 0 Опубликовано 10 февраля, 2007 Share Опубликовано 10 февраля, 2007 (изменено) Евгений Валентинович, полностью с Вами согласен. Вспоминаю Ваши золотые слова: "Антиврус это не продукт, а сервис". Так вот этот сервис у ЛК на высшем уровне. С ЛК приятно работать, потому что получаешь быстрый и оперативный ответ. Обновления баз выходит также оперативно. На все найденые баги также быстро выходит обновление. Изменено 10 февраля, 2007 пользователем Max_Novak Цитата Ссылка на сообщение Поделиться на другие сайты
CbIP 102 Опубликовано 10 февраля, 2007 Share Опубликовано 10 февраля, 2007 Я тоже согласен - особенно со сложившейся в современном мире ситуацией, когда многие системы уже способны частично заменить мышление человека (экспертные системы) - почему бы часть работы по обнаружению вирусоы не переложить на несегнатурный поиска - эвристики Конечно, это ни сколько не умаляет достоинства службы боддержки ЛК! )))))))))) Цитата Ссылка на сообщение Поделиться на другие сайты
Falco 0 Опубликовано 10 февраля, 2007 Share Опубликовано 10 февраля, 2007 Могу поспорить. Эвристика легко обойти да и ложных детектов будет больше. Цитата Ссылка на сообщение Поделиться на другие сайты
CbIP 102 Опубликовано 10 февраля, 2007 Share Опубликовано 10 февраля, 2007 Я же не сказал заменить полностью - Вы не внимательны... Однако, возможнести эвристика нельзя недооценивать! Цитата Ссылка на сообщение Поделиться на другие сайты
Falco 0 Опубликовано 11 февраля, 2007 Share Опубликовано 11 февраля, 2007 Как сказал на официальном форуме p2u, нужно исследовать не файлы, а процессы. ЛК молодцы - вместо работы над эвристиком, система которого все равно очень не совершеннна, они взялись за проактивные технологии. Возможности эвритиска перед проактивкой мягко говоря скромны. Пример по теме. Вот не давно AVZ благодаря своей эвристики определил *.doc файл как возможный троян.псв. Эвристик будет давать множество ложных тревог и тем самым возрастет нагрузка на пользователя и вир. лаб, у которого и так хватает работы. По нашему тяжелому времени смысла в эвритиске нет, но зато есть смысл в проактивной защите. Пройдет ещё не много времени и проактивная защита достигнет совершенства и уже вытеснит сигнатурный анализ. Это произойдет не сегодня и не завтра, но будет такое точно. Уже сейчас скорость распространения вирусов больше скорости выхода обновлений. Цитата Ссылка на сообщение Поделиться на другие сайты
CbIP 102 Опубликовано 11 февраля, 2007 Share Опубликовано 11 февраля, 2007 Я же не говорил, что он совершенен! См пред. пост! Однако, имхо, в конце концов он сможет с высокой долей вероятности правильно определять вири! Цитата Ссылка на сообщение Поделиться на другие сайты
Falco 0 Опубликовано 11 февраля, 2007 Share Опубликовано 11 февраля, 2007 И с высокой долей верятности детектить чистые файлы, что будет больше чем истинных зловредов. Цитата Ссылка на сообщение Поделиться на другие сайты
Vsoft 13 Опубликовано 11 февраля, 2007 Share Опубликовано 11 февраля, 2007 Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты 20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое ! Цитата Ссылка на сообщение Поделиться на другие сайты
Pipkin 403 Опубликовано 11 февраля, 2007 Share Опубликовано 11 февраля, 2007 Верные мысли насчет проактивки. Кстати, они посетили меня еще несколько м-цев назад http://forum.kasperskyclub.com/index.php?a...tach&id=355 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Michel 15 Опубликовано 12 февраля, 2007 Share Опубликовано 12 февраля, 2007 Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты 20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое ! Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614. Слово за ЛК. Цитата Ссылка на сообщение Поделиться на другие сайты
i.b. 14 Опубликовано 12 февраля, 2007 Share Опубликовано 12 февраля, 2007 Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614. Кстати, почему бы ЛК не купить пинча? Разобрались бы как оно работает, а потом и КИСу подкрутили... Цитата Ссылка на сообщение Поделиться на другие сайты
Pipkin 403 Опубликовано 12 февраля, 2007 Share Опубликовано 12 февраля, 2007 А почему бы не прикрутить пароль на подтверждение нажатия на «Пропустить»? Или злобный пинч и пароль вынюхает? И второе — а как пинч в комп попал, черт такой? Цитата Ссылка на сообщение Поделиться на другие сайты
Falco 0 Опубликовано 12 февраля, 2007 Share Опубликовано 12 февраля, 2007 1) В ЛК и так каждый день поступает новая версия пинча 2) Давно разобрались что пинч нажимает с помощью WinApi 3) Если все будет запороленно, то юзер снесет все к чертовой матери и будет выходить в сеть вообще без ничего Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.