Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Как работают алгоритмы оптимизации в продуктах ЛК

IStogov

Автор IStogov
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

IStogov Опытный

IStogov

Опубликовано
Опубликовано

Честно говоряэта информация будет полезна только очень дотошным людям и пишу я ее только затем, чтобы прекратились спекуляции на тему дырявости алгоритмов оптимизации у Касперского.

 

Подробное описание технологий IChecker и ISwift вы можете найти здесь http://support.kaspersky.ru/faq/?qid=180593876

Если кратко, то эти технологии позволяют антивирусу понимать изменился ли файл с прошлой проверки и при определенных условиях не проверять этот файл заново.

 

В интерфейсе продуктов Касперского есть следующие настройки:

 

1. В файловом антивирусе (мониторе, который постоянно в памяти) есть настройка "проверять только новые и измененные файлы"

 

2. В проверке на вирусе (сканере по требованию) есть настройки:

"проверять только новые и измененные файлы"

и

"включить технологии IChecker и ISwift"

 

 

Рассмотрим различные варианты использования этих настроек:

 

 

A.IChecker и ISwift выключены, галка “проверять только новые файлы” выключена

файл проверяется в любом случае, даже если базы не обновились

 

 

B. IChecker и ISwift включены, а галка “проверять только новые файлы” выключена:

1. в период до следующего обновления баз файл не проверяется

2. после того как базы обновились, в течении некоторого периода с момента первой проверки файла (для сканера - n1 дней, для монитора – n2 дня) файл будет проверяться в любом случае.

3.По истечению указанного периода файл будет проверяться по некоторому алгоритму (чем больше разница даты текущих антвирусных баз и баз при первой проверке файла, тем реже он проверяется).

Т.е.чем дольше файл лежит на диске без всяких изменений, тем больше к нему доверия. В начале доверия нет вообще.

 

 

C. IChecker и ISwift включены и Галка “проверять только новые файлы” включена

1.Проверяются только новые и измененные после последней проверки файлы.

2.Причем понятие новый и измененный трактуется широко: файлы, дата создания которых, отличается от текущей не более чем на n3 дня считаются новыми и проверяются также как и новые файлы.

3.Проверка новых и измененных файлов производиться в соответствии с алгоритмами ICheker и ISwift, описанными выше.

 

 

По умолчанию в продуктах Касперского технологии IChecker и ISwift включены.

Галка “проверять только новые и измененные файлы” в файловом антивирусе (мониторе) по умолчанию включена - т.е. монитор работатет по варианту С.

В проверке на вирусы (сканере) эта галка выключена, т.е. он работатет по варианту B.

post-13-1176132903_thumb.png post-13-1176132896_thumb.png post-13-1176132907_thumb.png

 

Такая комбинация позволяет позволяет ускорить работу антивирусного приложения работающего как в режиме постоянной защиты (файловый антивирус), так и в режиме проверки по требованию (проверка на вирусы). При этом не снижает боеспособность защиты. Рассмотрим классические кейсы, которые обычно приводят, пытаясь доказать, что алгоритмы оптимизации уязвимы и существенно снижают уровень безопасности:

 

1. Юзер скачал зловреда под видам картинки неопределенного содержания и запустил его. При этом в базах касперского этого зловреда не было, поэтому файловый антивирус не сработал, а реакцию проактивной защиты на зловреда пользователь проигнорировал. Все, компьютер уже заражен.

Дальше произошло обновление баз, сигнатура этого зловреда попала в базу. И при очередном сканировании системы или перезагрузке зараза будет поймана и обезврежена. В этом случае ни IChecker и ISwift, ни проверка только новых измененных никак не влияют на ситуацию.

 

2.Юзер скачал зловреда под видам картинки неопределенного содержания, но заподозрил неладное. При этом в базах касперского этого зловреда не было, поэтому файловый антивирус (монитор) молчит. Юзер проверил файл зловреда на вирусы (сканером), но так сигнатуры нет - нулевой результат.

Далее либо он его запускает, тогда пукт первый.

Либо ждет пока придет новое обновление баз в надежде, что там уже будет сигнатура этого зловреда (может быть юзер даже сам послал подозрительный файл в вирлаб на анализ).

Вот пришло обновление, в котором есть сигнатура зловреда.

Нормальный пользователь снова проверяет вирус сканером, в сканере включены только IChecker и ISwift (галка тока новые и измененные не стоит), поэтому т.к. призошло обновление баз, файл будет проверен и зловред пойман.

Больной на голову пользователь файл запустит, вроде бы в файловом антивирусе (мониторе) включена проверка тока новых и измененных и файл не будет проверен и случится заражение!! Но нет, помните что файл считается новым аж n3 дня.Так что все поймается, зловред погибнет.

 

3.Юзер скачал зловреда под видам картинки неопределенного содержания

Файловый Антивирус молчит, так как нету сигнатуры. Юзер спешит и решил посмотреть картинку позже. Через какое-то время он возвращается. За время его отсутствия антивирус обновился и получил сигнатуру данного зловреда. Юзер открывает папку, и запускает файл. Вроде бы в файловом антивирусе (мониторе) включена проверка тока новых и измененных и файл не будет проверен и случится заражение!! Но нет, помните что файл считается новым аж n3 дня.Так что все поймается, зловред погибнет.

 

Нет конечно заражение может случится, если вы вдруг неожиданно вспомнили про этот файл через неделю. Но это уж простите совсем не жизненный случай. Для тех кто хочет застраховаться и от него существует уровень безопасности Высокий, который вы можете выставить в касперском и спать совсем спокойно.

 

Некоторые мне возразят: "нет нет этот случай вполне обычный, я постоянно так делаю. Скачаю бывалыча файл, а потом через месяц про него вспомню." Но друзья мои, почему вы тогда не ругаетесь, что в настройках по-умолчанию не стоит в файловом антивирусе проверка составных инсталляционных пакетов? Или же галка проверять Все файлы не стоит? Ведь существуют случаи, когда эти нестоящие галки могут привести к заражению, другой вопрос какова вероятность этих случаев. А она мала, так же как мала вероятность погореть из-за включенных алгоритмов оптимизации(IChecker и ISwift, проверка тока новых и измененных).

Эксперты ЛК считают, что эта вероятность находится в таких пределах, что можно рекомендовать пользователю использовать именно такие настройки (рекомендации эта выражена в настройках по умолчанию продуктов ЛК). Для тех, кто с рекомендацией не согласен: используйте уровень защиты Высокий или же задавайте настройки сами.

 

 

Теперь о случаях, когда юзер говорит: нет у меня этот файл все таки не детектится при повторной проверке, алгоритмы все же дырявые.Тогда совет такому юзеру таков:

1.Убедитесь, что вы используете настройки по умолчанию или по крайней мере не ослабили защиту своими эксперментами с настройками

2.Если все настройки выставлены, то это бага, но бага не в логике работы алгоритомов оптимизации, а в их реализации. Чтож от баг не застрахован никто, обращайтесь к разработчику и давайте максимум доступной вам информации по вашей ситуации. Разработчики готовы слушать: http://forum.kaspersky.com/index.php?showt...mp;#entry318603

Ссылка на комментарий
Поделиться на другие сайты
Pipkin Ветеран

Pipkin

Опубликовано
Опубликовано

1. Хороший материал. Осталось уточнить эффективность iChecker/iSwift при обновлениях, например, ежечасных.

2. Ну и рекомендаций. Например, наиболее предпочтителен вариант С, как наиболее оптимальный по соотношению надежность детекта—ресурсопотребление (тормоза). В таком роде.

3. Все это нужно в Хэлп к кисе пусть и мелким шрифтом (петитом).

Ссылка на комментарий
Поделиться на другие сайты
IStogov Опытный

IStogov

Опубликовано
  • Автор
Опубликовано
1. Хороший материал. Осталось уточнить эффективность iChecker/iSwift при обновлениях, например, ежечасных.

2. Ну и рекомендаций. Например, наиболее предпочтителен вариант С, как наиболее оптимальный по соотношению надежность детекта—ресурсопотребление (тормоза). В таком роде.

3. Все это нужно в Хэлп к кисе пусть и мелким шрифтом (петитом).

 

плохой материал раз есть такие вопросы

1.эффективность iChecker/iSwift высока так ка во-первых их данные проверка тока новых и измененных использует, чтоб понимать чего проверять, чего нет

2. как я уже говорил, но видно недостаточно четко, iChecker/iSwift работают так:

a.вы проверили файл

б.пока базы не обновяться или вы не ужесточите глубину проверки , сколько бы вы не кликали проверить файл он не будет в реальности проверяться

в.базы обновяться хотя бы один раз и после этого файл будет обязательно проверяться некоторое время (дни)

г.по истечении этого периода (дней) вне зависимости от обновления баз файл будет проверяться уже не всегда и причем чем дольше он лежит без изменений, тем реже проверяется

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Виталий Чебыкин
      Обновление продуктов KES
      Автор Виталий Чебыкин
      Добрый день!
      Может вопрос уже решался ранее но ответа на него я не нашел. В домене есть множество клиентов KES при обновлении который с версии 12.3 - 12.8. На множестве клиентах вышла ошибка при обновлении следующая: Kaspersky Endpoint Security для Windows (12.8.0) (12.8.0.505): Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Установка Kaspersky Endpoint Security для Windows не может быть выполнена, так как на компьютере установлено стороннее приложение: Eset Endpoint Antivirus 5.0.2214.7. Чтобы выполнить установку Kaspersky Endpoint Security для Windows, необходимо удалить стороннее приложение стандартными средствами Microsoft Windows или иными способами.)
      Подскажите почему сам инсталятор не удаляет Eset Endpoint Antivirus сам если при создании задачи в KSC я выбрал удалить все не совместимые продукты? Данные УЗ при инсталляции есть домена и локального админа. При этом если устанавливаешь вручную он дает поставить. Да и до этого стояла версия другая 12.3. Можно как то выяснить что конкретно KES проверяет при установке?
    • MiStr
      Оргвопросы по программе «Продвижение продуктов»
      Автор MiStr
      Здесь можно задать вопросы по программе «Продвижение продуктов».

      Запрещается обсуждение и обнародование самих вознаграждений. В этой теме принимаются только вопросы по программе. Обсуждение вознаграждения возможно только в специальном закрытом разделе.
    • GlibZabiv
      Не работает поиск Unity AssetStore
      Автор GlibZabiv
      Здравствуйте, При попытке искать что-либо в Unity Asset Store результаты не прогружаются, видно только то, что на фото ниже. Все функции сайта, кроме поиска, работают. VPN, прокси отсутствуют. Проблем с интернет-соединением нет. По 2ip.ru входящая скорость ~60 мбит/c. Проблема есть как в Яндекс браузере, так и в Chrome. Очистка кеша не помогла.

    • reliance
      Оперативная память (DDR5) не работает на 6000Mhz
      Автор reliance
      День назад компьютер начал выключаться после заставки windows, в биос мог спокойно заходить и проблем никаких не было. Пробовал заходить в помощник устранения проблем виндовс через флешку и спустя минут 5 ПК сам отключался. Как итог я переустановил винду и проблема исчезла, но появилась другая проблема - оперативная память не хотела работать на 6000Mhz (ПК при запуске сразу выключается, а потом сбрасывает частоту у оперативной памяти в сток). В стоке 2400Mhz работает стабильно. В материнской плате 2 слота под оперативную память, пробовал по 1 вставлять в разные слоты и все работает на 6000Mhz. Вместе почему-то отказываются работать на 6000Mhz. Компьютер новый и работал до этого 2-3 месяца без проблем (скачков электроэнергии не было). Скриншоты ниже о системе приложил. Можно ли починить или только новую покупать? 

       
       
    • MiStr
      Программа «Консультант по продуктам»: помогай и получай вознаграждение!
      Автор MiStr
      Знаешь о продуктах «Лаборатории Касперского» всё и даже больше? Любишь помогать и быть полезным? Не можешь пройти мимо, когда у кого-то из знакомых и не очень людей возникают проблемы с компьютером или телефоном? Желаешь приобрести новые знания и опыт? Не веришь, что можно совместить полезное (оказание помощи) с приятным (получение вознаграждения)? Тогда это для тебя!
      «Лаборатория Касперского» приглашает к участию в программе поддержки пользователей продуктов компании во Всемирной Паутине «Консультант по продуктам»!
       
      Суть программы
      Задачей программы является консультация и оказание помощи по продуктам «Лаборатории Касперского» на обширных просторах не только Рунета, но и ресурсах на любом языке – социальные сети, сайты, форумы, блоги, сервисы типа «Вопрос-Ответ» и другие общедоступные площадки, на которых пользователям персональных и корпоративных продуктов и сервисов «Лаборатории Касперского» требуется консультация или помощь. Исключениями являются все ресурсы, принадлежащие «Лаборатории Касперского» (включая официальный форум, форум клуба), и официальные сообщества компании и Службы технической поддержки в социальных сетях.
       
      Кто может участвовать в программе
      Участниками программы могут стать участники клуба (т. е. зарегистрированные на forum.kasperskyclub.ru или kasperskyclub.com), за исключением пользователей групп «Новички» и «Участники». Каждый участник программы обязан пройти испытательный период сроком до 3 месяцев, после чего успешно сдать тест и получить сертификат, дающий право дальнейшего участия в программе.
       
      По каким продуктам помогать
      В программе участвуют все персональные и корпоративные продукты и сервисы «Лаборатории Касперского», которые опубликованы на официальном сайте компании www.kaspersky.ru (www.kaspersky.com), включая бесплатные и для мобильных устройств!
       
      Вознаграждение
      За консультации и успешно решённые проблемы (далее – кейсы) участники программы получают баллы.
      В «зачёт» идут только кейсы, связанные исключительно с техническими аспектами работы персональных и корпоративных продуктов и сервисов «Лаборатории Касперского». Под «техническими» понимаются кейсы, связанные с невозможностью обновления баз, установкой продукта, консультации по вопросам работы тех или иных функций, ошибки в работе продукта и т. п. В «зачёт» не идут нетехнические кейсы, коими являются вопросы и проблемы, связанные с ценообразованием, выбором и приобретением продуктов, нюансами участия в различных акциях, проводимых «Лабораторией Касперского», и т. п.
      За полученные баллы участник вправе выбрать любое вознаграждение на свой вкус. Список вознаграждений, размещённый в специальном закрытом разделе форума для участников программы, будет постоянно пополняться!
       
      Где узнать подробности и как принять участие в программе
      Вторая часть правил с более подробной информацией о программе, в том числе об уровнях участия в ней, размещена в специальном закрытом разделе форума, доступном только для участников программы. Разглашение информации из специального закрытого раздела запрещено.
      Для участия в программе необходимо оставить заявку в произвольной форме в этой теме. Пользователю может быть отказано в удовлетворении заявки без объяснения причин.
      В данной теме не допускаются любые обсуждения. Сообщения, не относящиеся к заявкам, будут удалены. Все уточняющие вопросы по программе можно задать в соседней теме.
×
×
  • Создать...