Перейти к содержимому


Фото
* * * * * 1 Голосов

Когда Dr.web будет на уровне Kaspersky?


  • Закрыто Тема закрыта
250 ответов в этой теме

#121 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 29 Декабрь 2011 - 19:30

HIPS у меня настроена, тоже блочит маячок. :)
Essential Security against Evolving Threats
user Windows 64 bit

#122 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 19:31

>HIPS у меня настроена, тоже блочит маячок.

А также гугль и каспера туда же прописывающегося :)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#123 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 19:33

Scan Log
Version of virus signature database: 6752 (20111229)
Date: 29.12.2011 Time: 20:04:01
Scanned disks, folders and files: Operating memory;A:Boot sector;A:;C:Boot sector;C:;D:Boot sector;D:
Operating memory » C:UsersVITALIVEAVDesktopuser_10.exe - probably a variant of Win32/Agent.SFM trojan - cleaned by deleting (after the next restart) - quarantined [1,2]


т.е. в памяти эвристик работает, а на лежащий на рабочем столе файл не сработает. Я правильно понял?
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#124 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 29 Декабрь 2011 - 19:43

Да правильно. Ещё и сразу в Live Grid Network файл отсылает. Активные Маячки и Cidox всякие, тоже в памяти эвристикой видит, мне сейчас некогда на виртуальной машине проверять, но я один форум переодически читаю.
:)

Сообщение было изменено Vindows: 29 Декабрь 2011 - 19:43

Essential Security against Evolving Threats
user Windows 64 bit

#125 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 19:47

Он ловит эвристикой все 100% маячка. :)


Ага, только вы забыли добавить, что тот файл, который я привел в пример и тот, что показали вы разные. По хешам не сходится... ;)

Mayachok, который тестировали вы - VT - детектится и сигнатурой DrWeb и эвристиком Panda
Mayachok, который взял я в посте #120 - VT - детектится эвристиком Panda

И вообще, я же веду не к тому, что у АВ Panda эвристик лучше чем у NOD32, или наоборот. Согласитесь, у DrWeb по сравнению с ними он сильно хромает... -_-

Сообщение было изменено RomaNNN: 29 Декабрь 2011 - 19:49

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#126 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 19:52

> у DrWeb по сравнению с ними он сильно хромает...

Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#127 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 20:03

у DrWeb по сравнению с ними он сильно хромает...


Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.


По дропперам, даунлоадерам, винлокам, крипторам. список большой, по сравнению с теми же Panda, NOD32

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %


Ну с этим спорить не буду, маячок для DrWeb-а -- коронное блюдо -_-

Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#128 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 20:09

>Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)

вот тут врядли....
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#129 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 20:10

вот тут врядли....


Поясни...
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#130 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 20:18

вот тут врядли....


Поясни...


Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#131 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 29 Декабрь 2011 - 20:19

> у DrWeb по сравнению с ними он сильно хромает...

Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.

А вот детект конкретно самого маячка в памяти дрвебом практически 100 %

Ну это после того как файл добавят в базы. У некоторых эвристика и руткиты в памяти видит, ещё есть и расширенная эвристика запуска файлов(дроппер говорите, ну,ну,.. -_- ) SysInspector c эвристиками и Live Grid и ещё много чего. Richard Marko говорил что они давно и успешно зазрабатывают много технологий, и будут внедрять самое передовое и новое в новою версию. Естественно не всё сразу, постепенно.
;)
:)
Essential Security against Evolving Threats
user Windows 64 bit

#132 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 20:21

Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.


Вот значит есть куда стремиться, куча всего надо сделать в 2012 году -_-.

Кстати может в трекер напишешь? ;)
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#133 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 29 Декабрь 2011 - 20:23

>Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)

вот тут врядли....

Если открыть гугл можно найти кто такую технологию в Словакии ещё в версии 2.5, 2.7 выпустил, а также придумал эвристику и все что там есть, облоко и всё такое.
-_-

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:24

Essential Security against Evolving Threats
user Windows 64 bit

#134 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 20:24

>Если открыть гугл можно найти кто такую технологию в Словакии ещё в версии 2.5, 2.7 выпустил, а также придумал эвристику и все что там есть, облоко и всё такое.

Однако фолсит и пропускает конкретно..Как же так?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#135 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 20:28

ах да
http://forum.esetnod32.ru/forum3/topic3420/
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#136 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 29 Декабрь 2011 - 20:39

Там на НЕ активный файл - детект, что очень очень большая редкость. Первый раз наблюдаю такое, может какой-то сбой, в пятерку не попало. Исправили.
-_-

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:40

Essential Security against Evolving Threats
user Windows 64 bit

#137 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 300 Сообщений:

Отправлено 29 Декабрь 2011 - 20:55

Во первых не видит эвристиком почти вообще, Suspicious file(сам незнает что это! отстой детект) появляется на старые и "и засвеченные" файлы - почти всегда и тоже отстой по количиству пойманных файлов. Вот фалсит на отлично!

Можно расписать про всё подробно, но если коротко, везде по характеристикам полнейший отстой.

Когда я купил всой первый ПК(сейчас я сам собираю) там была уже предустановлена пробная версия Касперского - терпение кончилось, сходил купил Панду(хорошая реклама - всякие сказки похожие на технологии сочиняли они не плохо) кокрас с TruPrevent.
Посмотрел хорошо, врубился что купил, диск об коленку и в окошко вместе с коробкой.

Пускай на западе лохов разводят. -_- ;)


пишите нормальным шрифтом. это в качестве предупреждения

#138 Serv

Serv

    Newbie

  • Posters
  • 61 Сообщений:

Отправлено 29 Декабрь 2011 - 21:07

http://forum.drweb.com/shadow/ интересно, что у них там на shadowserver такое происходит уже не первый месяц?

Просветите, пожалуйста, о механизмах работы данного ресурса - откуда они цифры берут? Как получают статистику?
1. Где берут образцы?
2. Как анализируют?

У них мега-крутой вирлаб? -_-

#139 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 29 Декабрь 2011 - 22:37

Активные Маячки и Cidox всякие, тоже в памяти эвристикой видит, мне сейчас некогда на виртуальной машине проверять, но я один форум переодически читаю.


Активные маячки на Win7 x64 ESET ну никак не может обнаруживать, даже те, которые есть в базах. Почему? Да потому что маячок его выносит как нефиг делать, и антивирус неработоспособен. Я уже писал об этом.

http://forum.drweb.com/index.php?showtopic=303943&view=findpost&p=542887
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#140 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 29 Декабрь 2011 - 23:07

эх...не хатит Константин сканером проверять критические ключи....жаль.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro