Перейти к содержанию

Задай вопрос Олегу Зайцеву!


Рекомендуемые сообщения

Долгое время проект "Интервью с экспертами "Лаборатории Касперского" мы никак не могли начать в силу различных обстоятельств. Но, понимая высокий интерес со стороны фан-клубовцев к возможности пообщаться с экспертами ЛК в непринуждённой обстановке, мы постоянно работали над реализацией этой идеи.

 

Первым ответить на вопросы фан-клубовцев согласился Олег Зайцев, главный технологический эксперт группы анализа сложных угроз "Лаборатории Касперского" и автор популярной антивирусной утилиты AVZ. Олег будет отвечать на ваши вопросы с 8 по 22 ноября. По итогам проведения интервью, Олег выберет самый лучший вопрос по его мнению. Победитель этой номинации получит ценный приз от фан-клуба!

 

Вопросы можно начинать задавать уже сейчас!

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

 

 

Краткая биография Олега Зайцева

 

Родился в 1976 г. в Смоленске. Окончил Московский энергетический институт по специальности "инженер". Начал карьеру в 1999 г. в должности инженера-программиста в "Смоленскэнерго". Затем был назначен ведущим инженером-программистом. Кроме того, с 2000 г. является ведущим специалистом по защите информации Управления обеспечения экономической безопасности и режима "Смоленскэнерго".

 

oleg_zaicev.png

 

В "Лаборатории Касперского" работает по совместительству. Олег пришел на должность разработчика группы анализа сложных угроз в апреле 2007 г. В ноябре 2008 г. назначен главным технологическим экспертом группы анализа сложных угроз. В обязанности Олега входят исследования в области новых технологий детектирования и удаления, удаленное исследование и лечение компьютеров, анализ и оценка поведения вредоносного ПО. Помимо этого, Олег продолжает поддерживать и развивать популярную антивирусную утилиту AVZ. Является автором книги "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита".

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 187
  • Created
  • Последний ответ

Top Posters In This Topic

  • Zaitsev Oleg

    61

  • Воронцов

    28

  • Добрый Заазыч

    9

  • vpv

    7

Здравствуйте, Олег!

 

Вопрос такой: вот выходит новый /злой/ вирус.

Как происходит работа? Сначала оперативно выпускаем сигнатуру для детекта, а уж потом добавляем в базы процедуру лечения или выпускаем сразу с процедурой? В какие сроки обычно это происходит.

 

К примеру возьмем КИДО. Выходит новая версия (Kido.zz), которая пока не детектится. Попадает в вирлаб. Работаете на скорость детекта или же добавите на несколько часов позже но с лечением?

Фокус в том, что у подавляющего числа современных зверей нет понятия "лечение" (например, у того-же KIDO) - для лечения необходимо прибить зверя и дело с концом (для этого достаточно сигнатуры в базе, так как зачистка "хвостов" в системе достаточно универсальна). Лобовой сигнатуры недостаточно, если:

1. Зверь часто меняется, и есть резон сделать какой-то хитрый Generic детект. Т.е. понятное дело что по мере обнаружения новых видов они будут моментально вбиваться в сигнатурную базу, а по мере накопления семплов и их анализа будет сделана процедера детекта

2. Зверь пожат каким-то хитрым экзотическим пакером/криптером, который не может быть распакован продуктом (иногда в такой ситуации можно задетектить этого самого пакера)

3. Зверь является вирусом в прямом понимании слова (т.е. внедряется в какие-то исполняемые файлы,) или что-то патчит в системных файлах и т.п. - в такой ситуации уже недостаточно просто задетектить его и прибить, нужна процедура лечения файла, которая приведет зараженный объект к первозданному виду. В такой ситуации спорно, как быть (если добавить детект скажем патченных системых файлов, то антивирус продетектит патч, а дальше то что - не удалять же скажем патченную kernel32.dll ) - вот в такой ситуации выход сигнатуры может быть задержан до появления полноценной лечилки

Для более детального рассказа об этом стоит попытать специалистов, занимающихся пополнением антивирусных баз - с сигнатурным детектом я не связан

 

А что бы не было :); вопрос - желания рискнуть и полный взять еще не возникало?

Нет, не возникало - если бы возникло, то это было бы реализуемо :) Просто если честно, жалко потратить 2-3 недели времени впустую - потому и не хочется идти в отпуск

Ссылка на комментарий
Поделиться на другие сайты

Здраствуйте Олег!

Я у вас хотел поинтересоваться по технической теме, ну если вы непротив :)

Вот когда создаётся сигнатура для АВ, в ней же не только код пишут самого ВПО для детекта, и но добавляется процедура лечения файлов и т.д., или всё в разных файлах, там процедура лечения активного зараженияв файле "123а" , детект вредоноса в файле "123Б" в и т.д. ?

Заранее спасибо.

На этот вопрос я точно не могу ответить - так как это не моя сфера компетенции так сказать, стоит позвать спецов по сигнатурному детекту, они смогут дать грамотный ответ на этот вопрос. Если брать AVZ за пример, то там нет разницы, где размещается код долечивания - в том же файле, или в другом - всеравно базы грузятся все, анализируются и AVZ знает, что и где у него есть ... (и не важно, в одном оно файле или в десяти)

 

Олег,добрый день. :red:

 

Вопрос у меня такой:

Как планируете и где отмечать Новый Год? :)

Новый год планирую отмечать дома, предварительно перед самим НГ вырубив все телефоны и иные средства коммуникации :o На "боевом посту" останется только система "киберхелпера", так как она автономна и неделями не требует контроля.

Изменено пользователем Zaitsev Oleg
Ссылка на комментарий
Поделиться на другие сайты

Олег, а не было желания создать для AVZ инсталлятор? Мне кажется с ним было бы удобнее :huh:.

Нет - не было, более того, принимаются все возможные меры для того, чтобы этого не произошло. Причина простая:

- для диагностики зараженного ПК нет ничего хуже инсталляции чего-то на него (это очень заметная процедура, требует лишних действий, плюс появится характерный путь по умолчанию и т.п.). Как следствие, сейчас например весьма активно применяется полиморфная сборка, состоящая из единственного EXE файла с произвольным именем

- AVZ очень часто применяется в КВС - он запускается с контроллера домена или файл-сервера, и в результате админ в любой момент может запустить диагностику на любом количестве ПК одним движением мышки. И при этом после данной процедуры на ПК ничего не останется, что весьма ценно для разовой проверки

Ссылка на комментарий
Поделиться на другие сайты

Zaitsev Oleg Спасибо разьяснили :huh:. А вот есчё вопросик у меня есть два языка программирования Borland DELPHI и Borland С++ Builder. Хочу написать текстовый редактор. Подскажите на чём лучше его написать?

Ссылка на комментарий
Поделиться на другие сайты

Zaitsev Oleg, спасибо за ответ! :huh:

Новый вопрос: А кем вы хотели стать в детстве? Или с пелёнок уже конструировали мобильный телефон и чинили папин старенький ноутбук? :)

Ссылка на комментарий
Поделиться на другие сайты

Zaitsev Oleg, спасибо за ответ! :huh:

Новый вопрос: А кем вы хотели стать в детстве? Или с пелёнок уже конструировали мобильный телефон и чинили папин старенький ноутбук? ;)

Во времена моего детства не было мобильных телефонов, равно как ноутбуков - их еще тогда не изобрели :) (я помню мой первый мобильник, он появился у меня чуть более 10 лет назад - с работой максимим 50 часов в режиме ожидания ;) и в те времена это было страшной экзотикой). Ну а хотел стать я инженером или ученым - (см. посты #76 и #100)

 

Zaitsev Oleg Спасибо разьяснили :). А вот есчё вопросик у меня есть два языка программирования Borland DELPHI и Borland С++ Builder. Хочу написать текстовый редактор. Подскажите на чём лучше его написать?

На обоих языках это делается за 10 минут, разницы нет ... так как эти инструменты по сути отличаются только синтаксисом самого языка, в остальном идентичны в плане принципов работы, подходов и т.п. ... Можно попробовать сделать это на обоих и сравнить ощущения :) (кстати, среди примеров есть RTF редактор)

Ссылка на комментарий
Поделиться на другие сайты

На обоих языках это делается за 10 минут, разницы нет ... так как эти инструменты по сути отличаются только синтаксисом самого языка, в остальном идентичны в плане принципов работы, подходов и т.п. ... Можно попробовать сделать это на обоих и сравнить ощущения :huh: (кстати, среди примеров есть RTF редактор)

Спасибо! Буду пробовать :).

Ссылка на комментарий
Поделиться на другие сайты

У меня такой щикотящий вопрос :huh:

 

Любите ли вы халяву? (как многие люди на нашей планете)

 

И как вы относитесь к халяве :)

Ссылка на комментарий
Поделиться на другие сайты

Олег, а какой в вашей жизни был самый первый компьютер? Напишите пожалуйста, если помните его конфигурацию и ОС, которая там стояла :huh:...

Ссылка на комментарий
Поделиться на другие сайты

Олег, а какой в вашей жизни был самый первый компьютер? Напишите пожалуйста, если помните его конфигурацию и ОС, которая там стояла :huh:...

Самый первый - "Ассистент" - моноблок, 128 кб ОЗУ (килобайт, не мега), дисковода и HDD нет - только магнитофон, ОС там вообще не было - бейсик и все... После "апгрейда" туда был поставлен блок сопряжения с дисководом и сам дисковод - с дискетами 360 кб (причем дисковод то стоял снаружи, да к тому же родной блок питания его не тянул по мощности, у ч/б монитора его и вовсе не было - потому имелся внешний лабораторный блок питания, выдававший +12 вольт). Соответственно с дискет уже грузился DOS самой первой разновидности. К этому чуду можно было подключать резистивный джойстик либо использовать эти входы как омметры, а встроенный динамик не имел регулятора :) Что лечилось сверлением в корпусе дырки и его установкой (либо установкой тумблера для отключения его вообще). Самым первым "КПК" был "Электроника МК 85" образца 1992 года. Потом была "Искра 1030" (93 год) с 640 кб ОЗУ, дисководом, HDD на 10 мб (94 год, HDD 10 мегабайт, не гига - хотя тогда он воспринимался примерно как 3-4 ТБ сейчас). Там была CGА видеокарта, экзотическая ракладка и кодовая страница, да еще и принтер A3 ... и операционка MD DOS (а так же там был "буткит" на HDD и пришлось заниматься его изгнанием и удивляться - "а как-же он зараза format c: переживает ?!") ... и там отлично работали древние математические пакеты (курсовой по ТОЭ за несколько минут он обсчитывал с гарантией). Потом был 286 - у него был аж 1 МБ ОЗУ памяти и два HDD по 20 Мб, там уже NC работал (Norton Commander), хотя в ходу был более шустрый VC. Но самое смешное - к этому аппарату можно было подключить подключить мыша ;) А далее 486dx2 с 4 мб ОЗУ, потом Pentium (там уже диск был что-то около 1 Гб) и по наростающей ...

 

 

 

Олег! Как вы относитесь к экстремальньому виду спорта? (не к обычному а к экстримальному)

По моему мнению риск жизнью, чтобы скажем спасти кого-то - это достойно всяческого уважения и такой риск оправдан. А вот экстремальный спорт (не всякий конечно) - это по моему мнению нередко "охота за адреналином", я лично это не до конца никогда не понимал. В чем кайф например сделать некий особый кувырок на мотоцикле, если вероятность свернуть себе шею 80% - мне лично не ясно (причем так оно и бывает - народ ломает себе кости, калечится и увечится, а в итоге если задуматься - а в итоге то что ? чего ради это ?). Понять еще можно например установление рекорда скорости или испытание новейшего самолета/ракеты или чего-то подобного - там понятна цель, хотя риск нередко неоправдано высок (но там хоть четко ясно, и четко поставлена практическая цель).

 

У меня такой щикотящий вопрос :)

Любите ли вы халяву? (как многие люди на нашей планете)

И как вы относитесь к халяве :)

Сложно сказать ;) Смотря что понимать над "халявой" ... если получения чего-то исходно платного, но именно "на халяву" каким-то обманным и неправедным способом - к этому я отношусь отрицательно. Если же просто что-то нужно предлагается беспатно - то положительно, отчего бы и нет - хотя это уже вроде как не "халява" уже в чистом виде.

Ссылка на комментарий
Поделиться на другие сайты

А со скольки лет вы начали пользоватся пк?

Зрение не подшатывает?

 

И носите ли вы очки? (линзы?)

Изменено пользователем Zaaza
Ссылка на комментарий
Поделиться на другие сайты

1.А со скольки лет вы начали пользоватся пк?

2.Зрение не подшатывает?

3.И носите ли вы очки? (линзы?)

1. С 13-14 лет

2. Не жалуюсь :huh:

3. Врачи прописали очки (либо контактную линзу) для вождения, а так для обычной работы они мне не требуются

По поводу ПК и зрения могу заметить, что в древние времена мониторы были отвратные по качеству, я низким разрешением (пиксели были видны невооруженным глазом, частота - 50-60 Гц), сейчас новые LCD более или менее, хотя у монитора цена напрямую соотвтетсвует качеству, и понятное дело, что NEC за 35-40 т.р. с диагональю 22'' будет работать значительно качественне, чем аналогичный за 4-5 т.р. Плюс если с монитором работать "по уму", то нужен установить правильную освещенность рабочего места, выставить яркость и контрасность, затем применить калибратор и откалибровать цветопередачу. на практике картина смешнее - калибраторы являются редкостью, во многих компьютерных лавках его не то что нет - даже не знают, что это такое. Ну и как следствие найти правильно настроенный монитор где-то почти нереально...

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...