126 ответов в этой теме

[VVS]

 

Да ладно Вам фантазировать , всё там впорядке , давно автоматизировано , и по хэшу файл проверяется , наверное.

 

 

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

Только что, у меня на компьютере, антивирус Dr.Web занёс файл "DirectX 9c (июнь 2010)" в Карантин с диагнозом "это троян". Точнее, Trojan.MulDrop7.19213. А ведь этот файл я использую примерно 7 лет боле чем на 100 компьютеров! Как говорится, никогда такого не было - и вот опять! (©ЧВС)

 

О чём это говорит?

Это говорит о том, что я был абсолютно прав в том, что столь безуспешно пытался Вам объяснить ранее.

Это диагноз робота.

Робот ошибся.

Значит, этот файл нужно отправить в ложные срабатывания, чтобы аналитики проверили его вручную.

[SergSG]

Расшифруйте, что вы понимаете под роботом-вирусником. Сигнатуры большей частью тоже роботом штампуются.

P.S. Идея хранить отдельную базу файлов, проверенных вручную аналитиками, на первый взгляд представляет интерес. Но на второй я задумываюсь о том, что ошибаться свойственно не только роботам. Причём роботы лажают в нештатных ситуациях, а человеки - совершенно произвольно, иногда на ровном месте.

Под роботом-вирусником понимается некий инструмент, автоматизирующий рботу аналитика. Например: аналитику вовсе необязательно вручную лопать тысячи перепакованных версий одного и того же суслика.

Ошибаться свойственно всем. Вопрос в процентном соотношении ошибок у разных элементов цепочки. Возможно, какими то можно пренебречь.

А базу взможно имеет смысл хранить полную, а не только проверенных вручную. Чтоб отсылать из карантина только сигнатурные ошибки. Все остальное вручную через форму..

[SergSG]

 

 

Да ладно Вам фантазировать , всё там впорядке , давно автоматизировано , и по хэшу файл проверяется , наверное.

 

 

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

Только что, у меня на компьютере, антивирус Dr.Web занёс файл "DirectX 9c (июнь 2010)" в Карантин с диагнозом "это троян". Точнее, Trojan.MulDrop7.19213. А ведь этот файл я использую примерно 7 лет боле чем на 100 компьютеров! Как говорится, никогда такого не было - и вот опять! (©ЧВС)

 

О чём это говорит?

Это говорит о том, что я был абсолютно прав в том, что столь безуспешно пытался Вам объяснить ранее.

Это диагноз робота.

Робот ошибся.

Значит, этот файл нужно отправить в ложные срабатывания, чтобы аналитики проверили его вручную.

 

Это диагноз Спайдера. И такие файлы смело можно/нужно было бы отправлять из карантина не боясь отвлечь аналитика псевдо-ложняком.

Робот писавший сигнатуры просто не знал о существовании этого файла и базах вирлаба его нет.

[АВаТар]

Это диагноз робота.

Это диагноз Спайдера.

Какая разница для пользователя? (вопрос риторический).

Хотя по факту, это был диагноз Спайдера. Опять SergSG угадал, чертяка!

[VVS]

Да ладно Вам фантазировать , всё там впорядке , давно автоматизировано , и по хэшу файл проверяется , наверное.

 
 

Если в вирлабе этот файл уже побывал у робота или аналитика, то, по идее, у робота должен храниться хэш на этот файл и робот может смело отфутболивать все двойники, присланные из карантина. А вот если файл в вирлабе еще не был, но определился спайдером как вирь, тогда...

Только что, у меня на компьютере, антивирус Dr.Web занёс файл "DirectX 9c (июнь 2010)" в Карантин с диагнозом "это троян". Точнее, Trojan.MulDrop7.19213. А ведь этот файл я использую примерно 7 лет боле чем на 100 компьютеров! Как говорится, никогда такого не было - и вот опять! (©ЧВС)
 
О чём это говорит?

Это говорит о том, что я был абсолютно прав в том, что столь безуспешно пытался Вам объяснить ранее.
Это диагноз робота.
Робот ошибся.
Значит, этот файл нужно отправить в ложные срабатывания, чтобы аналитики проверили его вручную.

Это диагноз Спайдера. И такие файлы смело можно/нужно было бы отправлять из карантина не боясь отвлечь аналитика псевдо-ложняком.

Да, можно было бы, если бы большинство пользователей могли отличить ложное срабатывание от не ложного.

[АВаТар]

Как и ожидалось, "Ваш запрос был проанализирован. Это срабатывание является ложным. Ошибка была исправлена."

 

Если бы отправленный мной файл был в базе файлов ранее, ошибка бы даже не возникла (сейчас у меня)! Кроме того редкого случая, когда я оказался первым человеком, отославшим этот файл в компанию Dr.Web вирлаб. За почти 7 лет своего существования на просторах Интернета - его могли бы признать годным в компании Dr.Web. Наверняка!

 

По моей идее, все пославшие этот файл, сначала бы получали ответ, типа "мы исследуем этот файл, спасибо за сотрудничество" - до тех пор, пока аналитик не поработал над этим файлом. После этого, Робот начинает выдавать другие (надеюсь, понятно какие) ответы на отсылку этого файла, в зависимости от вердикта аналитика(ов) по этому файлу.

 

В этом - вся суть моего предложения. На поверхности всё выглядит просто, но там, в реализации, много подводных камней...

 

Да, можно было бы, если бы большинство пользователей могли отличить ложное срабатывание от не ложного.

В моей схеме - это без разницы. Отличать будет, всё равно, аналитик.

Сообщение было изменено АВаТар: 14 Март 2017 - 21:09

[VVS]

Угу, отличать будет аналитик.

И не только по Вашему запросу про устранение действительно ложного срабатывания, но и ещё по поводу 100500 запросов на устранение ложных срабатываний, которые ложными не являются.

[АВаТар]

VVS, Я предвидел ваш ответ. Именно он считается "официальной причиной" отключения этой возможности. Круг замкнулся. Следующим моим действием будет вам ответ о том, что если известному файлу поставили диагноз, то за это файл будет отвечать робот, рассылающий диагнозы. Не аналитик - он уже свою работу сделал.

 

Если вас смущает то, что из Карантина будут слать 100500 не_ложных срабатываний, то им ответит либо робот, рассылающий диагнозы, либо аналитик когда-то приступит к анализу присланных файлов. Кстати, разумно ввести ограничение на массовую рассылку файлов из Карантина. Как по частоте использования данной функции, так и по количеству файлов.

 

И мне кажется, что это уже будет облегчением работы аналитика... мнения которого мы так и не услышали.

[SergSG]

Да, можно было бы, если бы большинство пользователей могли отличить ложное срабатывание от не ложного.

Это не обязанность пользователя, это задача робота принимающего на обработку файлы. И не важно, из карантина их прислали, или через форму.

 

 

Угу, отличать будет аналитик.

Ну почему аналитик? Неужели у Доктора все так печально? Да и не под силу человеку руками лопатить миллионнные сигнатуры. Меня не удивит, если к отправленному АВаТар файлу, аналитик вообще не прикасался.

[VVS]

SergSG, а что, робот должен снимать поставленный им детект, если этот детект прислали, как ложняк?

[SergSG]

SergSG, а что, робот должен снимать поставленный им детект, если этот детект прислали, как ложняк?

Робот вряд ли способен поставить детект, разве что предварительный. Детектить - удел аналитика.

Если б был такой чудо робот, он стоял бы в каждом ПК и никакие сигнатуры бы не потрбовались. Как и аналитики.

[VVS]

 

SergSG, а что, робот должен снимать поставленный им детект, если этот детект прислали, как ложняк?

Робот вряд ли способен поставить детект, разве что предварительный. Детектить - удел аналитика.

siggen - детект робота.

downloader - ЕМНИП тоже.

.............

[SergSG]

 

 

SergSG, а что, робот должен снимать поставленный им детект, если этот детект прислали, как ложняк?

Робот вряд ли способен поставить детект, разве что предварительный. Детектить - удел аналитика.

siggen - детект робота.

downloader - ЕМНИП тоже.

.............

Я ничего не знаю о принятой классификации. Но, вот так спайдер реагирует на мои попытки собрать безобиднейший проект.

 

 Карантин.PNG   31,67К   0 Скачано раз

[Ivan Korolev]

SergSG, Пришлите свой файл как ложняк, поправим и ваш проект соберется

 

siggen - детект робота.
downloader - ЕМНИП тоже.

 

Одназначно сказать нельзя. В основном да, робота. Но живые аналитики тоже спокойно могут такие имена давать.

 

Ну почему аналитик? Неужели у Доктора все так печально? Да и не под силу человеку руками лопатить миллионнные сигнатуры. Меня не удивит, если к отправленному АВаТар файлу, аналитик вообще не прикасался.

 

 

Фолс не может быть отключен без участия живого аналитика. Или вы о стадии добавления?

 

Теперь по сути топика - имхо, обсуждаемая фича убрана за дело. Возможно, для некоторых "опытных" пользователей она была бы полезной, но для подавляющего числа случаев она принесет только вред.

[Ivan Korolev]

АВаТар, скиньте номер тикета в directx, пожалуйста.

[Aleksandra]

Но живые аналитики тоже спокойно могут такие имена давать.

Когда не знают как обозвать, так?
 

Возможно, для некоторых "опытных" пользователей она была бы полезной, но для подавляющего числа случаев она принесет только вред.

Было бы не плохо, если из ЦУ отправлялись файлы в вирлаб и можно было еще мою учетку туда привязать. Во всяком случае надеюсь, что этот функционал появится в следующей версии продукта.

[Ivan Korolev]

Когда не знают как обозвать, так?

Siggen - да, Downloader-ом называют вполне осознанно, если основная задача троя - это выкачивание.

[АВаТар]

АВаТар, скиньте номер тикета в directx, пожалуйста.

#7545997

[SergSG]

SergSG, Пришлите свой файл как ложняк, поправим и ваш проект соберется

 

Downloader-ом называют вполне осознанно, если основная задача троя - это выкачивание.

Спасибо, мне он уже не нужен, в общем то, я фолс обошел, хватило косметики. А нужен ли этот фолс вирлабу я не знаю.

Моя софтинка ничего не качала, это был макет фейса. Думаю, я просто наткнулся на чужую сигнатуру.

 

 

Фолс не может быть отключен без участия живого аналитика. Или вы о стадии добавления?

Я ничего не знаю о стадиях. Я имел в виду два вида ошибок:

1. Аналитические - реальный файл по ошибке признан аналитиком / роботом за вирь. Тут без аналитика и ручной работы никак.

2. Сигнатурные - файл никогда не был в вирлабе и просто наткнулся на чужую сигнатуру, как мой проект, или этот directx. Могу ошибаться, но тут на мой взгляд можно было бы и без аналитика обойтись, просто подкорректировав сигнатуры. Я вот об этой "стадии".

 

Я не знаю какие ошибки преобладают, если преобладают. Вот сигнатурные ошибки и хотелось бы отправлять через карантин, а остальные отфильтровывать в самом карантине. Для этого нужно иметь базу хеш всех проверенных и определенных как вирь файлов. Такая база у Доктора есть? Если она есть, тогда можно было бы и об отправке подумать. Или ... можно вообще свести сигнатурные фолсы к нулю.

[АВаТар]

Теперь по сути топика - имхо, обсуждаемая фича убрана за дело. Возможно, для некоторых "опытных" пользователей она была бы полезной, но для подавляющего числа случаев она принесет только вред.

Можно как-то раскрыть тему вашего заявления? Вот что хотелось бы осветить.

 

1). Я не знаю точно, за какое дело была убрана фича, но догадываюсь, что за то, что она создавала проблемы аналитикам, так?

Но не ясно, мой вариант решения тоже создаёт какое-то "дело"? Или подобное?... Какое всё-таки "дело" создаёт мой вариант решения задачи?

 

2). Какой вред может быть принесён в моём варианте решения (для подавляющего числа случаев) ?

 

Может быть, моё решение не понятно? Или хуже того, было понято неправильно? Если так, я могу написать решение более развёрнуто.