126 ответов в этой теме

[TASS]

Или ... можно вообще свести сигнатурные фолсы к нулю.

Скорее всего, такой вариант возможен только при включенном на стороне пользователя функционале "АВ облака" (не будут же заливать и обновлять базу хешей на ПК пользователей). А использование АВ облака возможно не всегда!

Сообщение было изменено TASS: 15 Март 2017 - 23:56

[Ivan Korolev]

Можно как-то раскрыть тему вашего заявления? Вот что хотелось бы осветить.

 

Если скинете ссылку на ваше описание реализации, возможно я смогу ответить на ваши вопросы. Все посты 6 страниц я не читал.

[Ivan Korolev]

2. Сигнатурные - файл никогда не был в вирлабе и просто наткнулся на чужую сигнатуру, как мой проект, или этот directx. Могу ошибаться, но тут на мой взгляд можно было бы и без аналитика обойтись, просто подкорректировав сигнатуры. Я вот об этой "стадии".

 

А как робот определит, что на файлах A,C,D,...Z сигнатура отрабатывает правильно, а на файле B - фолс ?

Сообщение было изменено Ivan Korolev: 16 Март 2017 - 12:08

[ivsero]

 

2. Сигнатурные - файл никогда не был в вирлабе и просто наткнулся на чужую сигнатуру, как мой проект, или этот directx. Могу ошибаться, но тут на мой взгляд можно было бы и без аналитика обойтись, просто подкорректировав сигнатуры. Я вот об этой "стадии".

 

А как робот определит, что на файлах A,C,D,...Z сигнатура отрабатывает правильно, а на файле B - фолс ?

 

 

Один из вендоров для решения этой задачи пытался использовать машинное обучение:

Правда у меня есть ряд вопросов относительно используемых ими для обучения модели признаков. Да и решение, на первый взгляд, может показаться не таким уж простым в поддержке. Тем не менее, хотя бы какую-то часть случаев можно попытаться покрыть.

Сообщение было изменено ivsero: 16 Март 2017 - 15:31

[SergSG]

 

Или ... можно вообще свести сигнатурные фолсы к нулю.

Скорее всего, такой вариант возможен только при включенном на стороне пользователя функционале "АВ облака" (не будут же заливать и обновлять базу хешей на ПК пользователей). А использование АВ облака возможно не всегда!

Да. Все так. Только через облако.

То, что использовать облако можут не все в значительной мере компенсируется тем, что файлы одинаковые. Достаточно одного направления на "directX", например, чтоб ложнять засветился в вирлабе и был убран.

 

Проблема в другом - я не знаю есть ли базы хеш, есть ли для этого аппаратные ресурсы, сколько реально этих ложняков и стоит ли игра свеч.

[SergSG]

 

2. Сигнатурные - файл никогда не был в вирлабе и просто наткнулся на чужую сигнатуру, как мой проект, или этот directx. Могу ошибаться, но тут на мой взгляд можно было бы и без аналитика обойтись, просто подкорректировав сигнатуры. Я вот об этой "стадии".

 

А как робот определит, что на файлах A,C,D,...Z сигнатура отрабатывает правильно, а на файле B - фолс ?

По идее, по базе хеш побывавши в вирлабе зверюшек. Из вашего вопроса следует, что у вирлаба такой базы нет, я правильно понимаю?

[ivsero]

По идее, по базе хеш побывавши в вирлабе зверюшек. Из вашего вопроса следует, что у вирлаба такой базы нет, я правильно понимаю?

 

Хэши не работают здесь. Если и принимать решение, то только по большому количеству разных признаков объекта. 

[SergSG]

 

По идее, по базе хеш побывавши в вирлабе зверюшек. Из вашего вопроса следует, что у вирлаба такой базы нет, я правильно понимаю?

 

Хэши не работают здесь. Если и принимать решение, то только по большому количеству разных признаков объекта. 

 

Да, возможно. Но без базы только аналитик сможет определить что это и все разговоры на эту тему не имеют смысла.

[Ivan Korolev]

По идее, по базе хеш побывавши в вирлабе зверюшек.

 

Если в вирлабе до этого побывал только файл A, по которому и делалась запись, а потом подряд присылают файлы B,C,D,..,Z. Как робот будет решать?

 

ivsero, спасибо за ссылочку, на свежую голову посмотрю.

[SergSG]

 

По идее, по базе хеш побывавши в вирлабе зверюшек.

 

Если в вирлабе до этого побывал только файл A, по которому и делалась запись, а потом подряд присылают файлы B,C,D,..,Z. Как робот будет решать?

 

По идее, если робот однозначно знает, что файлы B,C,D,..,Z в вирлабе не были и пришли как ложняк, возможны два варианта:

1. Робот идентифицирут файлы как ложняк.

2. Робот делает проверку на схожесть файлов B,C,D,..,Z с файлом А и выносит свой вердикт.

[АВаТар]

 

Можно как-то раскрыть тему вашего заявления? Вот что хотелось бы осветить.

 

Если скинете ссылку на ваше описание реализации, возможно я смогу ответить на ваши вопросы. Все посты 6 страниц я не читал.

 

Ответил в ЛС.

[Afalin]

По идее, если робот однозначно знает, что файлы B,C,D,..,Z в вирлабе не были и пришли как ложняк, возможны два варианта:

 

1. Робот идентифицирут файлы как ложняк.

2. Робот делает проверку на схожесть файлов B,C,D,..,Z с файлом А и выносит свой вердикт.

1. И начинает пропускать сусликов.

2. А зачем тогда нужен вирлаб, если вынести вердикт может робот?

[SergSG]

 

По идее, если робот однозначно знает, что файлы B,C,D,..,Z в вирлабе не были и пришли как ложняк, возможны два варианта:

 

1. Робот идентифицирут файлы как ложняк.

2. Робот делает проверку на схожесть файлов B,C,D,..,Z с файлом А и выносит свой вердикт.

1. И начинает пропускать сусликов.

2. А зачем тогда нужен вирлаб, если вынести вердикт может робот?

 

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

[АВаТар]

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

>0

[VVS]

 

 

По идее, если робот однозначно знает, что файлы B,C,D,..,Z в вирлабе не были и пришли как ложняк, возможны два варианта:

 

1. Робот идентифицирут файлы как ложняк.

2. Робот делает проверку на схожесть файлов B,C,D,..,Z с файлом А и выносит свой вердикт.

1. И начинает пропускать сусликов.

2. А зачем тогда нужен вирлаб, если вынести вердикт может робот?

 

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

 

Какова вероятность того, что файл, которого задетектил робот, является ложняком?

[SergSG]

 

 

 

По идее, если робот однозначно знает, что файлы B,C,D,..,Z в вирлабе не были и пришли как ложняк, возможны два варианта:

 

1. Робот идентифицирут файлы как ложняк.

2. Робот делает проверку на схожесть файлов B,C,D,..,Z с файлом А и выносит свой вердикт.

1. И начинает пропускать сусликов.

2. А зачем тогда нужен вирлаб, если вынести вердикт может робот?

 

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

 

Какова вероятность того, что файл, которого задетектил робот, является ложняком?

 

Не знаю. Думаю, что подобная инфа является секретной, так как отражает реальный технологический уровень компании.

[VVS]

В таком случае, на твой вопрос ответ абсолютно такой же.

[SergSG]

В таком случае, на твой вопрос ответ абсолютно такой же.

Все правильно. Информации 0 и весь сабж это набор ни на что не опирающихся умозаключений.

Просто, фича была удобственная, и хочется верить, что технические и технологические возможности с того времени выросли и ее можно вернуть, а "низя" - это просто штамп, к которому все привыкли и воспринимают как закон на веки вечные. Типа забытого знака "Ремонт дороги, скорость 20 км\час". Ремонт давно закончен, а знак остался.

[IlyaS]

Еще один такой забытый знак - ведение подробного лога сканера в настройках. Подробный ничем не отличается от обычного. Контрпример - отсутствие подробного лога РК без спайдергейта. Непонятно, что туда писать, как и в случае подробного лога сканера.

[VVS]

 

В таком случае, на твой вопрос ответ абсолютно такой же.

Все правильно. Информации 0 и весь сабж это набор ни на что не опирающихся умозаключений.

Просто, фича была удобственная, и хочется верить, что технические и технологические возможности с того времени выросли и ее можно вернуть,

Но психология пользователя с тех пор вряд ли поменялась.

"Я скачал кряк. На сайте было написано, что он проверен антивирусом xxx и вирусов в нём нет. А ваш антивирус детектит в нём вирус и уносит его в карантин, что, очевидно, является ложным срабатыванием. Поэтому отправляю этот файл вам, чтобы вы устранили это ложное срабатывание."