Перейти к содержимому


Фотография

Количество сигнатур

Правила раздела

В данном разделе форума Евгений Касперский отвечает на корректно оформленные вопросы, не касающиеся сугубо личной жизни.

Перед тем, как задать вопрос, обязательно ознакомьтесь с правилами данного раздела! Их незнание не освобождает от ответственности!

Внимание! Евгений Касперский не оказывает техническую поддержку.

Все вопросы о проблемах с антивирусом (установка | настройка | обновление | ключи) и вирусами (лечение | удаление), пожалуйста,

пишите только в разделы помощь по продуктам и уничтожение вирусов, соответственно. Нарушители будут наказаны.


Вопросы, жалобы, предложения, связанные с партнёрской программой, дистрибьюторской деятельностью и другими видами коммерческого сотрудничества с "Лабораторией Касперского" в данном разделе форума не рассматриваются и будут удалены! Всю необходимую информацию и контакты вы можете найти на официальном сайте компании.

Запрещается отвечать на вопрос до ответа Евгения Касперского.

Участникам официального форума "Лаборатории Касперского" (forum.kaspersky.com) и другим гостям необходимо зарегистрироваться.

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 21

#1 OFF   Vitaliy69

Vitaliy69

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 19 Декабрь 2006 - 13:41

У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования? Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах.

Складывается такая странная ситуация... У платного Касперского на данный момент в базе насчитывается около 250 000 записей, а в бесплатном продукте AVIRA AnriVIR их более 600 000. Выходит, Касперский будет пропускать некоторые виды вирусов?

Или это субъективный параметр, так как один антивирус может посчитать, например, 2 вируса как модификацию одного, а другой - как 2 разных. В качестве доказательства мне приводили пример, когда брали простой троян и упаковывали его UPX. Тот же Касперский прекрасно его продолжал детектировать как зверя, а AntiVIR уже замолчал. Лишь только после отправки в антивирусную лабораторию AVIRA он стал определяться как вирус... Но уже другой... Не знаю, верить ли этой легенде... Но тогда как объективно рассчитать количество вирусных записей в каждом антивирусном продукте? Сейчас для меня это очень важный вопрос, когда стоит выбор перед покупкой лицензии на KAV или остаться пользователем AntiVIR.

Сообщение отредактировал Pipkin: 12 Февраль 2007 - 09:38

  • 0
Платон мне друг, но истина дороже...
Чем ниже падения, тем выше подъёмы...

#2 OFF   E.K.

E.K.

    E.K.

  • Команда ЛК
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 229

Отправлено 19 Декабрь 2006 - 14:18

У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования?

Нет не может. Качество детектирования обеспечивается _одновременно_ несколькими технологиями: сигнатуры, распаковщики, эвристики, процедуры поиска "похожих" зловредов ("generic" detection), что еще забыл?

Но, насколько я понимаю, интерес представляет не "качество детектирования" зловредов - а "качество защиты" компьютера от внешних атак. Тогда к списку необходимо приплюсовать качество поведенческого блокиратора (behaviour blocker, в 6-ке это PDM), возможность продукта защищать все возможные "дырки", сквозь которые может незаметно пролезть зловредство, скорость реакции вир-лабов на эпидемии, частоту выпуска апдейтов и т.д.

Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах.

Так по тексту уже был пример с UPX? Сиё есть доказательство того, что сигнатуры - это мало. Без поддержки множества пакеров не обойтить никак.

Конкретно про Авиру. Похоже, что они добавляют новые вирусы/трояны [полу-]автоматом не разбираясь что к чему. Новые образцы берут из различных коллекций (вот потому у них и такие хорошие результаты в тестах). Но в реальной жизни это означает, что минимально модифицированный/упакованный троян - и всё. Плюс ложные срабатывания, поскольку в коллекциях частенько встречаются чистые файлы, попавшие туда по ошибке.
  • 0

#3 OFF   Falco

Falco

    Постоялец

  • Новички
  • Pip
  • Cообщений: 26

Отправлено 10 Февраль 2007 - 19:28

Евгений Валентинович, полностью с Вами согласен. Вспоминаю Ваши золотые слова: "Антиврус это не продукт, а сервис". Так вот этот сервис у ЛК на высшем уровне. С ЛК приятно работать, потому что получаешь быстрый и оперативный ответ. Обновления баз выходит также оперативно. На все найденые баги также быстро выходит обновление.

Сообщение отредактировал Max_Novak: 10 Февраль 2007 - 19:29

  • 0

#4 OFF   CbIP

CbIP

    Police Officer

  • Основатели
  • PipPipPipPipPip
  • Cообщений: 888

Отправлено 10 Февраль 2007 - 22:29

Я тоже согласен - особенно со сложившейся в современном мире ситуацией, когда многие системы уже способны частично заменить мышление человека (экспертные системы) - почему бы часть работы по обнаружению вирусоы не переложить на несегнатурный поиска - эвристики :( Конечно, это ни сколько не умаляет достоинства службы боддержки ЛК! :)))))))))))
  • 0

Сделаю юзербар. Ask me to make userbar.
Press any key - означает нажмите RESET
[md5]72dfdb13d1b60b9620fb5f1f9b163b74[/md5]


#5 OFF   Falco

Falco

    Постоялец

  • Новички
  • Pip
  • Cообщений: 26

Отправлено 10 Февраль 2007 - 22:41

Могу поспорить. Эвристика легко обойти да и ложных детектов будет больше.
  • 0

#6 OFF   CbIP

CbIP

    Police Officer

  • Основатели
  • PipPipPipPipPip
  • Cообщений: 888

Отправлено 10 Февраль 2007 - 22:47

Я же не сказал заменить полностью - Вы не внимательны... Однако, возможнести эвристика нельзя недооценивать!
  • 0

Сделаю юзербар. Ask me to make userbar.
Press any key - означает нажмите RESET
[md5]72dfdb13d1b60b9620fb5f1f9b163b74[/md5]


#7 OFF   Falco

Falco

    Постоялец

  • Новички
  • Pip
  • Cообщений: 26

Отправлено 11 Февраль 2007 - 10:45

Как сказал на официальном форуме p2u, нужно исследовать не файлы, а процессы. ЛК молодцы - вместо работы над эвристиком, система которого все равно очень не совершеннна, они взялись за проактивные технологии. Возможности эвритиска перед проактивкой мягко говоря скромны. Пример по теме. Вот не давно AVZ благодаря своей эвристики определил *.doc файл как возможный троян.псв. Эвристик будет давать множество ложных тревог и тем самым возрастет нагрузка на пользователя и вир. лаб, у которого и так хватает работы. По нашему тяжелому времени смысла в эвритиске нет, но зато есть смысл в проактивной защите. Пройдет ещё не много времени и проактивная защита достигнет совершенства и уже вытеснит сигнатурный анализ. Это произойдет не сегодня и не завтра, но будет такое точно. Уже сейчас скорость распространения вирусов больше скорости выхода обновлений.
  • 0

#8 OFF   CbIP

CbIP

    Police Officer

  • Основатели
  • PipPipPipPipPip
  • Cообщений: 888

Отправлено 11 Февраль 2007 - 12:11

Я же не говорил, что он совершенен! См пред. пост! Однако, имхо, в конце концов он сможет с высокой долей вероятности правильно определять вири!
  • 0

Сделаю юзербар. Ask me to make userbar.
Press any key - означает нажмите RESET
[md5]72dfdb13d1b60b9620fb5f1f9b163b74[/md5]


#9 OFF   Falco

Falco

    Постоялец

  • Новички
  • Pip
  • Cообщений: 26

Отправлено 11 Февраль 2007 - 13:15

И с высокой долей верятности детектить чистые файлы, что будет больше чем истинных зловредов.
  • 0

#10 OFF   Vsoft

Vsoft

    Программист

  • Забаненные
  • PipPipPip
  • Cообщений: 466

Отправлено 11 Февраль 2007 - 14:22

Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты
20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое !
  • 0
Revenge this fascination

ИзображениеЮра Хой - мы тебя помним...

#11 OFF   Pipkin

Pipkin

    Old pepper

  • Основатели
  • PipPipPipPipPipPipPip
  • Cообщений: 1 590

Отправлено 11 Февраль 2007 - 14:47

Верные мысли насчет проактивки.
Кстати, они посетили меня еще несколько м-цев назад
http://forum.kaspers...a...tach&id=355
  • 1

#12 OFF   Michel

Michel

    Kaspersky FC, Israel

  • Основатели
  • Золотые бета-тестеры
  • PipPip
  • Cообщений: 170

Отправлено 12 Февраль 2007 - 03:48

Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты
20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое !


Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614.

Слово за ЛК.
  • 0

#13 OFF   i.b.

i.b.

    Опытный

  • Участники
  • PipPipPip
  • Cообщений: 375

Отправлено 12 Февраль 2007 - 07:20

Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614.

Кстати, почему бы ЛК не купить пинча? Разобрались бы как оно работает, а потом и КИСу подкрутили...
  • 0

#14 OFF   Pipkin

Pipkin

    Old pepper

  • Основатели
  • PipPipPipPipPipPipPip
  • Cообщений: 1 590

Отправлено 12 Февраль 2007 - 08:36

А почему бы не прикрутить пароль на подтверждение нажатия на «Пропустить»? Или злобный пинч и пароль вынюхает?
И второе — а как пинч в комп попал, черт такой?
  • 0

#15 OFF   Falco

Falco

    Постоялец

  • Новички
  • Pip
  • Cообщений: 26

Отправлено 12 Февраль 2007 - 10:13

1) В ЛК и так каждый день поступает новая версия пинча
2) Давно разобрались что пинч нажимает с помощью WinApi
3) Если все будет запороленно, то юзер снесет все к чертовой матери и будет выходить в сеть вообще без ничего
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных