Количество сигнатур

[Vitaliy69]

У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования? Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах.

 

Складывается такая странная ситуация... У платного Касперского на данный момент в базе насчитывается около 250 000 записей, а в бесплатном продукте AVIRA AnriVIR их более 600 000. Выходит, Касперский будет пропускать некоторые виды вирусов?

 

Или это субъективный параметр, так как один антивирус может посчитать, например, 2 вируса как модификацию одного, а другой - как 2 разных. В качестве доказательства мне приводили пример, когда брали простой троян и упаковывали его UPX. Тот же Касперский прекрасно его продолжал детектировать как зверя, а AntiVIR уже замолчал. Лишь только после отправки в антивирусную лабораторию AVIRA он стал определяться как вирус... Но уже другой... Не знаю, верить ли этой легенде... Но тогда как объективно рассчитать количество вирусных записей в каждом антивирусном продукте? Сейчас для меня это очень важный вопрос, когда стоит выбор перед покупкой лицензии на KAV или остаться пользователем AntiVIR.

Изменено 12 февраля, 2007 пользователем Pipkin

[E.K.]

У меня возник такой вопрос: может ли количество сигнатур антивирусного продукта говорить о его качестве детектирования?

Нет не может. Качество детектирования обеспечивается _одновременно_ несколькими технологиями: сигнатуры, распаковщики, эвристики, процедуры поиска "похожих" зловредов ("generic" detection), что еще забыл?

 

Но, насколько я понимаю, интерес представляет не "качество детектирования" зловредов - а "качество защиты" компьютера от внешних атак. Тогда к списку необходимо приплюсовать качество поведенческого блокиратора (behaviour blocker, в 6-ке это PDM), возможность продукта защищать все возможные "дырки", сквозь которые может незаметно пролезть зловредство, скорость реакции вир-лабов на эпидемии, частоту выпуска апдейтов и т.д.

 

Ведь получается, чем меньше вирусных записей, тем большая вероятность того, что какой-то вредоносный файл будет пропущен. Оставим при этом в стороне различные методики проактивного и эвристического детектирования неизвестных зверей. Речь идёт только о сигнатурах.

Так по тексту уже был пример с UPX? Сиё есть доказательство того, что сигнатуры - это мало. Без поддержки множества пакеров не обойтить никак.

 

Конкретно про Авиру. Похоже, что они добавляют новые вирусы/трояны [полу-]автоматом не разбираясь что к чему. Новые образцы берут из различных коллекций (вот потому у них и такие хорошие результаты в тестах). Но в реальной жизни это означает, что минимально модифицированный/упакованный троян - и всё. Плюс ложные срабатывания, поскольку в коллекциях частенько встречаются чистые файлы, попавшие туда по ошибке.

[Falco]

Евгений Валентинович, полностью с Вами согласен. Вспоминаю Ваши золотые слова: "Антиврус это не продукт, а сервис". Так вот этот сервис у ЛК на высшем уровне. С ЛК приятно работать, потому что получаешь быстрый и оперативный ответ. Обновления баз выходит также оперативно. На все найденые баги также быстро выходит обновление.

Изменено 10 февраля, 2007 пользователем Max_Novak

[CbIP]

Я тоже согласен - особенно со сложившейся в современном мире ситуацией, когда многие системы уже способны частично заменить мышление человека (экспертные системы) - почему бы часть работы по обнаружению вирусоы не переложить на несегнатурный поиска - эвристики Конечно, это ни сколько не умаляет достоинства службы боддержки ЛК! ))))))))))

[Falco]

Могу поспорить. Эвристика легко обойти да и ложных детектов будет больше.

[CbIP]

Я же не сказал заменить полностью - Вы не внимательны... Однако, возможнести эвристика нельзя недооценивать!

[Falco]

Как сказал на официальном форуме p2u, нужно исследовать не файлы, а процессы. ЛК молодцы - вместо работы над эвристиком, система которого все равно очень не совершеннна, они взялись за проактивные технологии. Возможности эвритиска перед проактивкой мягко говоря скромны. Пример по теме. Вот не давно AVZ благодаря своей эвристики определил *.doc файл как возможный троян.псв. Эвристик будет давать множество ложных тревог и тем самым возрастет нагрузка на пользователя и вир. лаб, у которого и так хватает работы. По нашему тяжелому времени смысла в эвритиске нет, но зато есть смысл в проактивной защите. Пройдет ещё не много времени и проактивная защита достигнет совершенства и уже вытеснит сигнатурный анализ. Это произойдет не сегодня и не завтра, но будет такое точно. Уже сейчас скорость распространения вирусов больше скорости выхода обновлений.

[CbIP]

Я же не говорил, что он совершенен! См пред. пост! Однако, имхо, в конце концов он сможет с высокой долей вероятности правильно определять вири!

[Falco]

И с высокой долей верятности детектить чистые файлы, что будет больше чем истинных зловредов.

[Vsoft]

Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты

20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое !

[Pipkin]

Верные мысли насчет проактивки.

Кстати, они посетили меня еще несколько м-цев назад

http://forum.kasperskyclub.com/index.php?a...tach&id=355

[Michel]

Вот почему NOD32 так знаменит , всё дело в эвристике . Я недавно сидел на одном хакерском форуме , хотел узнать как виримейки относятся к эвристике и поведенчиским блокираторам , и вот результаты

20% за то что эвристический анализ не пробиваем , а остальные не могут справится с проактивкой объясняя это тем что в реестр не могут проникнуть да и с руткитами не везёт , говорят что обойти каспера можно одним методом это вири в бат файлах , я проверял это не катит а вот nod32 воще слепнет при виде bat вирей . Так что Касперский 6 это вещь каторую надо ценить и не пытаться раскритиковать мол из-за него комп виснет и всё такое !

 

Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614.

 

Слово за ЛК.

[i.b.]

Не знаю на каких форумах вы сидите, но есть такой человек, Дамрай (автор пинча), так вот он с легкостью обходит КИС, включая проактивку. Пинч просто нажимает на кнопку пропустить и все. Причем, на настоящий момент фикса нет, уязвимы все версии, включая последнюю - 6.0.2.614.

Кстати, почему бы ЛК не купить пинча? Разобрались бы как оно работает, а потом и КИСу подкрутили...

[Pipkin]

А почему бы не прикрутить пароль на подтверждение нажатия на «Пропустить»? Или злобный пинч и пароль вынюхает?

И второе — а как пинч в комп попал, черт такой?

[Falco]

1) В ЛК и так каждый день поступает новая версия пинча

2) Давно разобрались что пинч нажимает с помощью WinApi

3) Если все будет запороленно, то юзер снесет все к чертовой матери и будет выходить в сеть вообще без ничего