

Когда Dr.web будет на уровне Kaspersky?
#121
Отправлено 29 Декабрь 2011 - 19:30

user Windows 64 bit
#122
Отправлено 29 Декабрь 2011 - 19:31
А также гугль и каспера туда же прописывающегося

#123
Отправлено 29 Декабрь 2011 - 19:33
Scan Log
Version of virus signature database: 6752 (20111229)
Date: 29.12.2011 Time: 20:04:01
Scanned disks, folders and files: Operating memory;A:Boot sector;A:;C:Boot sector;C:;D:Boot sector;D:
Operating memory » C:UsersVITALIVEAVDesktopuser_10.exe - probably a variant of Win32/Agent.SFM trojan - cleaned by deleting (after the next restart) - quarantined [1,2]
т.е. в памяти эвристик работает, а на лежащий на рабочем столе файл не сработает. Я правильно понял?
#124
Отправлено 29 Декабрь 2011 - 19:43

Сообщение было изменено Vindows: 29 Декабрь 2011 - 19:43
user Windows 64 bit
#125
Отправлено 29 Декабрь 2011 - 19:47
Он ловит эвристикой все 100% маячка.
Ага, только вы забыли добавить, что тот файл, который я привел в пример и тот, что показали вы разные. По хешам не сходится...

Mayachok, который тестировали вы - VT - детектится и сигнатурой DrWeb и эвристиком Panda
Mayachok, который взял я в посте #120 - VT - детектится эвристиком Panda
И вообще, я же веду не к тому, что у АВ Panda эвристик лучше чем у NOD32, или наоборот. Согласитесь, у DrWeb по сравнению с ними он сильно хромает...

Сообщение было изменено RomaNNN: 29 Декабрь 2011 - 19:49
#126
Отправлено 29 Декабрь 2011 - 19:52
Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.
А вот детект конкретно самого маячка в памяти дрвебом практически 100 %
#127
Отправлено 29 Декабрь 2011 - 20:03
у DrWeb по сравнению с ними он сильно хромает...
Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.
По дропперам, даунлоадерам, винлокам, крипторам. список большой, по сравнению с теми же Panda, NOD32
А вот детект конкретно самого маячка в памяти дрвебом практически 100 %
Ну с этим спорить не буду, маячок для DrWeb-а -- коронное блюдо

Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)
#128
Отправлено 29 Декабрь 2011 - 20:09
вот тут врядли....
#129
Отправлено 29 Декабрь 2011 - 20:10
вот тут врядли....
Поясни...
#130
Отправлено 29 Декабрь 2011 - 20:18
вот тут врядли....
Поясни...
Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.
#131
Отправлено 29 Декабрь 2011 - 20:19
Ну это после того как файл добавят в базы. У некоторых эвристика и руткиты в памяти видит, ещё есть и расширенная эвристика запуска файлов(дроппер говорите, ну,ну,..> у DrWeb по сравнению с ними он сильно хромает...
Хромает по дроперам..ибо они уж очень разные....у себя на машине смотрел.
А вот детект конкретно самого маячка в памяти дрвебом практически 100 %



user Windows 64 bit
#132
Отправлено 29 Декабрь 2011 - 20:21
Логически...Если нет нормальной распаковки, то откуда взяться эвристике?Винлоки перепаковываются и каждый раз нет детекта...ни эвристикой, ни сигнатурно.А если глянуть на работу флайкода(exelab...там конечно возможна своя специфика и ошибки) но нормальной распаковки нестандартного пакера там не увидел...upx да..нормально разбирает,а вот не стандартное не может....модули получаются не рабочие и совсем разные (оно конечно может запись представляет собой скрипт и такое полученное тело тоже разбирает, но у меня под дебагером не получается с ним работать)но это так..предположение навскидку.
Вот значит есть куда стремиться, куча всего надо сделать в 2012 году

Кстати может в трекер напишешь?

#133
Отправлено 29 Декабрь 2011 - 20:23
Если открыть гугл можно найти кто такую технологию в Словакии ещё в версии 2.5, 2.7 выпустил, а также придумал эвристику и все что там есть, облоко и всё такое.>Ну и конечно же лучше всех у DrWeb FLY-CODE (в плане разбора неизвестных упаковщиков, а не эвристика)
вот тут врядли....

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:24
user Windows 64 bit
#134
Отправлено 29 Декабрь 2011 - 20:24
Однако фолсит и пропускает конкретно..Как же так?
#135
Отправлено 29 Декабрь 2011 - 20:28
#136
Отправлено 29 Декабрь 2011 - 20:39

Сообщение было изменено Vindows: 29 Декабрь 2011 - 20:40
user Windows 64 bit
#137
Отправлено 29 Декабрь 2011 - 20:55
Во первых не видит эвристиком почти вообще, Suspicious file(сам незнает что это! отстой детект) появляется на старые и "и засвеченные" файлы - почти всегда и тоже отстой по количиству пойманных файлов. Вот фалсит на отлично!
Можно расписать про всё подробно, но если коротко, везде по характеристикам полнейший отстой.
Когда я купил всой первый ПК(сейчас я сам собираю) там была уже предустановлена пробная версия Касперского - терпение кончилось, сходил купил Панду(хорошая реклама - всякие сказки похожие на технологии сочиняли они не плохо) кокрас с TruPrevent.
Посмотрел хорошо, врубился что купил, диск об коленку и в окошко вместе с коробкой.
Пускай на западе лохов разводят.![]()
пишите нормальным шрифтом. это в качестве предупреждения
#138
Отправлено 29 Декабрь 2011 - 21:07
Просветите, пожалуйста, о механизмах работы данного ресурса - откуда они цифры берут? Как получают статистику?http://forum.drweb.com/shadow/ интересно, что у них там на shadowserver такое происходит уже не первый месяц?
1. Где берут образцы?
2. Как анализируют?
У них мега-крутой вирлаб?

#139
Отправлено 29 Декабрь 2011 - 22:37
Активные Маячки и Cidox всякие, тоже в памяти эвристикой видит, мне сейчас некогда на виртуальной машине проверять, но я один форум переодически читаю.
Активные маячки на Win7 x64 ESET ну никак не может обнаруживать, даже те, которые есть в базах. Почему? Да потому что маячок его выносит как нефиг делать, и антивирус неработоспособен. Я уже писал об этом.
http://forum.drweb.com/index.php?showtopic=303943&view=findpost&p=542887
#140
Отправлено 29 Декабрь 2011 - 23:07