126 ответов в этой теме

[VVS]

Nenya Amo, А не у вас ли фантазии? Откуда тогда такое количество ложняков,

Такое - это какое?
Просветите, plz, а то я не в курсе.
 

и некая боязнь того, что аналитиков засыпят файлами?

Это стало известно благодаря натурному эксперименту, заключавшемуся в имплементации обсуждаемой фичи в одну из версий DrWeb.
 

Не от того ли, что базы (недо-)проверенных файлов нету? По факту, непроверенных аналитиками файлов, в природе - гораздо больше проверенных. Так что они уже успешно засыпаны ими. Только они об этом ещё не знают.

Знают ли они об этом или не знают - абсолютно всё равно, ибо эти знания ни на что не влияют.

[Ky3bkuHaM@Tb]

Ну что тут уже скажешь, фичу(в моем понимании) то уже все равно не вернут...

[АВаТар]

Если сделают защиту от "спама", то вернуть - возможно, IMHO.

[VVS]

Пришли мыши к мудрой сове попросить совета, как им избежать участи быть съеденными обнаглевшими котами.

Сова говорит им: "Станьте ежиками. Если вы будете колючими, вас никто не съест!"

........

(с) анек

[riaman]

 

Пришли мыши к мудрой сове попросить совета, как им избежать участи быть съеденными обнаглевшими котами.

Сова говорит им: "Станьте ежиками. Если вы будете колючими, вас никто не съест!"

........

(с) анек

Учтите ещё,  что совы питаются мышами, и даже могут съесть ежа...

[SergSG]

АВаТар, если пользователь отправил файл в категорию "ложное срабатывание", то этот файл должен обработать аналитик вручную, ибо робот в такой ситуации неприменим.

Речь ведь о том, что посылаются файлы, которые действительно являются вирусами...

Если я правильно понял, АВаТар ведет речь о том, что и решение отпилить отправку файлов из карантина не является идеальным. С этим трудно не согласиться.

А под защитой от спама, на сколько я понимаю, подразумевается фильтрация роботом всех присланных "ложняков" по хеш, например. Чтоб до аналитиков доходил минимум мусора.

На сколько это все реализуемо и насколько в этом есть необходимость сказать трудно. У меня вот есть пара ложняков в карантине и отправлять их через форму мне лениво, проще воткнуть в исключения и забы/ить.

[VVS]

 

АВаТар, если пользователь отправил файл в категорию "ложное срабатывание", то этот файл должен обработать аналитик вручную, ибо робот в такой ситуации неприменим.

Речь ведь о том, что посылаются файлы, которые действительно являются вирусами...

Если я правильно понял, АВаТар ведет речь о том, что и решение отпилить отправку файлов из карантина не является идеальным. С этим трудно не согласиться.

А под защитой от спама, на сколько я понимаю, подразумевается фильтрация роботом всех присланных "ложняков" по хеш, например. Чтоб до аналитиков доходил минимум мусора.

Дык робот уже отнёс этот файл к вирусным...

[SergSG]

Дык робот уже отнёс этот файл к вирусным...

Нет, это Доктор по сигнатурному фрагменту записал файл в вирусы. Роботу этот файл еще как то выслать нужно.

Сообщение было изменено SergSG: 13 Март 2017 - 21:36

[VVS]

Тоже возможный вариант...

Но IMHO мой вариант более вероятен.

[SergSG]

Тоже возможный вариант...

Но IMHO мой вариант более вероятен.

А вот не знаю. Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

По идее, сверку хэш можно было бы делать прямо в карантине. Т.е. считаем в карантине хэш, отправляем его в облако/роботу для верификации и если такого файла у вирлаба нет, разрешаем отпрвку самого файла в ложняки. Как то так. В первом приближении.

[VVS]

 

Тоже возможный вариант...

Но IMHO мой вариант более вероятен.

А вот не знаю. Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина.

А если робот ошибся и файл чист, аки слеза ребёнка?

[SergSG]

 

 

Тоже возможный вариант...

Но IMHO мой вариант более вероятен.

А вот не знаю. Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина.

А если робот ошибся и файл чист, аки слеза ребёнка?

 

Не знаю. Тут нужна реальная статистика, а она есть только у аналитиков.

Но мне кажется, вероятность ошибок сигнатурного детекта на порядок(и) выше, чем ошибки робота-вирусника.

 

В общем то, если карантин отказался отправлять файл, возможность отправить ложняк через форму ведь никуда не исчезает. Может я и ошибаюсь, только здается мне, что все ложняки не сразу попадают к аналитикам, а все равно проходят сначала через робота.

[АВаТар]

А под защитой от спама, на сколько я понимаю, подразумевается фильтрация роботом всех присланных "ложняков" по хеш, например. Чтоб до аналитиков доходил минимум мусора.

На сколько это все реализуемо и насколько в этом есть необходимость сказать трудно. У меня вот есть пара ложняков в карантине и отправлять их через форму мне лениво, проще воткнуть в исключения и забы/ить.

Всё именно так.

Нет, это Доктор по сигнатурному фрагменту записал файл в вирусы.

Опять верно!

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

Чудо чудесно! Человек ВСЁ понимает, что я говорю!

[VVS]

А теперь постарайтесь понять, что эту фичу убрали по причине того, что её невозможно реализовать так, чтобы это не привело к резкому и бессмысленному возрастанию нагрузки на вирусных аналитиков.

[АВаТар]

VVS, Лично я это давно понял, примерно пару лет тому назад.

[Nenya Amo]

АВаТар, вот и славненько   

[SergSG]

А теперь постарайтесь понять, что эту фичу убрали по причине того, что её невозможно реализовать так, чтобы это не привело к резкому и бессмысленному возрастанию нагрузки на вирусных аналитиков.

Все меняется. Стереотипы остаются. Может роботы с тех пор страшно поумнели?

 

Было бы интересно узнать мнение самих аналитиков насчет возможности и целессообразности этого варианта, например, или чего подобного:

 

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

 

По идее, сверку хэш можно было бы делать прямо в карантине. Т.е. считаем в карантине хэш, отправляем его в облако/роботу для верификации и если такого файла у вирлаба нет, разрешаем отпрвку самого файла в ложняки. Как то так. В первом приближении.

 

Ну а за одно и на сколько верно следующее предположение:

 

Но мне кажется, вероятность ошибок сигнатурного детекта на порядок(и) выше, чем ошибки робота-вирусника.

[pig]

Расшифруйте, что вы понимаете под роботом-вирусником. Сигнатуры большей частью тоже роботом штампуются.

P.S. Идея хранить отдельную базу файлов, проверенных вручную аналитиками, на первый взгляд представляет интерес. Но на второй я задумываюсь о том, что ошибаться свойственно не только роботам. Причём роботы лажают в нештатных ситуациях, а человеки - совершенно произвольно, иногда на ровном месте.

[АВаТар]

Да ладно Вам фантазировать , всё там впорядке , давно автоматизировано , и по хэшу файл проверяется , наверное.

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

Только что, у меня на компьютере, антивирус Dr.Web занёс файл "DirectX 9c (июнь 2010)" в Карантин с диагнозом "это троян". Точнее, Trojan.MulDrop7.19213. А ведь этот файл я использую примерно 7 лет боле чем на 100 компьютеров! Как говорится, никогда такого не было - и вот опять! (©ЧВС)

 

О чём это говорит? По моему скромному мнению, не всё ладно в Датском королевстве... Ну, по крайней мере, базы (недо)проверенных файлов - нет и в помине.

[АВаТар]

К вышесказанному могу добавить "Хотели, как лучше, а получилось - как всегда", того же автора.