133 ответов в этой теме

[Victor_koly]

Из имеющейся у меня горы малвари по моим оценкам процентов 10-15-20 прибивается превентивкой.

 

Гора свежей малвари? Я так понимаю, что у Dr.Web не получается так просто "отключить детект сигнатурный", оставив только поведенческий на максимальном уровне.
Когда-то давно проверял свой антивирус именно в таком смысле, база угроз была что-то типа 11 года.

[maxic]

Victor_koly, гора недетектируемой малвари. Разной степени свежести.

[B.Chugunov]

Превентивка это всегда про баланс. И его очень тяжело найти. Если детектить любой неподписанный бинарь за каждое подозрительное действие, то больше половины юзеров вообще системой пользоваться не смогут. И поверьте, если разработчикам бы разрешили так сделать, они бы уже давно сделали. Сидели бы все, как в памперсе - в тепле, уюте, супер безопасности, и скорее всего без интернета. На каждый чих - расстрел Гвардом или Превентивкой. 
Так что тут вечный поиск баланса между методами обнаружения малварных действий и юзабилити. В теории можно вообще тотальный контроль приложений прикрутить, когда по любому чиху на каждое действие любого подозрительного бинаря будет запрос. Но кто таким будет пользоваться в реальной жизни? Я не знаю. На практике между безопасностью и удобством пользователи почти всегда выбирают удобство   
И я на 100% уверен, что можно найти такой бинарь, с которым один супер известный вендор справится играючи, а второй и носом не поведет. Со вторым бинарем будет все ровно наоборот. С этим работаем каждый день. 
Это я все к чему. Если есть бинари, которые по вашему мнению мы должны детектить, но не детектим - присылайте их сэмплы к нам. Либо в вирлаб, либо через саппорт форму в отзывы и предложения. Это не требует лицензии и каких-то особых времязатратных действий. Если способны внятно описать, какие конкретно действия требуется блокировать, как, с какими настройками и на чем тестировалась работа АВ - велком вдвойне. Переливать на форуме из пустого в порожнее и сетовать, что один АВ - редиска и что-то там не детектирует, а второй - молодец, и детектирует - как минимум не продуктивно. А по сути практически бесполезно. С тем же успехом можно окно открыть и туда все это прокричать. Хотя все зависит от целеполагания. Мое обращение к тем, кто реально хочет повлиять на уровень безопасности информации других пользователей. Если кому-то просто хочется потанцевать на костях - пожалуйста. Но тогда нужно быть готовым получать резкие или колкие ответы от аналогичных пользователей, которые ровно так же хотят потанцевать на костях, только не антивируса, а на ваших.     

Сообщение было изменено B.Chugunov: 13 Октябрь 2024 - 20:35

[Alexander007]

B.Chugunov:
>Превентивка это всегда про баланс. И его очень тяжело найти. Если детектить любой неподписанный бинарь за каждое подозрительное действие, то больше половины юзеров вообще системой пользоваться не смогут.

Его можно по отдельности допиливать :
1) Превентивная защита будет на основание облачного анализа с помощью экспертными репутации , где база будет лежать на основе поведенческих основании и репутации по базе на серверах
2) Подозрительное неподписание будет передаваться автоматически вирусным лаборатории для подтверждение информации, что она является угрозой или нет - но, все же файлы будет проверяться экспертами через несколько 10 дней , т.е переквалификация файлы , окончательно вердикт будет - но все равно система будет работать , нормально в обычном времени .

Облачная база все же решает любые проблемы :
Детекты по несигнатурные
Экспертные анализы
Превентивная защита от неизвестных угроз - какие попытки пытаются что то сделать - это уже к экспертным анализом .
Реакция на инциденты .

Сообщение было изменено Alexander007: 13 Октябрь 2024 - 20:50

[RinoMir]

В теории можно вообще тотальный контроль приложений прикрутить, когда по любому чиху на каждое действие любого подозрительного бинаря будет запрос.

Отличная идея. Я бы пользовался с удовольствием.

Мое обращение к тем, кто реально хочет повлиять на уровень безопасности информации других пользователей

В том то и проблема, что обычные пользователи никак не повлияют. Если только каждый пользователь не будет скидывать кучу семплеов в вирлаб, но это как вторая работа получается.

[RinoMir]

И почему бы тот же Dr.Web xCube не встроить в антивирус? Это же по сути то, что встроено в рекламный китайский 360 internet secrity и делает его детект прям хорошим. Всё неизвестное отправляется к ним и проверяется, и через какое то время приходит вердикт вредоносный файл или нет. Имхо, но это бы хорошо подняло детект доктора.

[basid]

А если образцов -- 2500 шт? И ещё разгадывать капчу.

Если вы, действительно, настолько ценный поставщик неизвестных вирусов, то вам, как оптовику, могут, наверное, предоставить особые условия. Другой вопрос - захотите ли вы работать на этих условиях.
И, меня опять терзают смутные сомнения, что ваша коллекция имеет реальную ценность только в ваших собственных глазах.

[basid]

В теории можно вообще тотальный контроль приложений прикрутить, когда по любому чиху на каждое действие любого подозрительного бинаря будет запрос.

Отличная идея. Я бы пользовался с удовольствием.

Идея отвратительная. Просто потому, что лично мне, например, масса таких вопросов будет непонятна.

А в ещё массе случаев будет понятно, что я не могу запретить "вот это действие" "вот этому приложению" просто потому, что приложение перестанет работать. Причём "просто перестанет" - ещё ладно. Оно может "странно перестать".

[Alexander007]

 

В теории можно вообще тотальный контроль приложений прикрутить, когда по любому чиху на каждое действие любого подозрительного бинаря будет запрос.

Отличная идея. Я бы пользовался с удовольствием.

Идея отвратительная. Просто потому, что лично мне, например, масса таких вопросов будет непонятна.

А в ещё массе случаев будет понятно, что я не могу запретить "вот это действие" "вот этому приложению" просто потому, что приложение перестанет работать. Причём "просто перестанет" - ещё ладно. Оно может "странно перестать".

 

Ошибаешься , идея ранее предоставленный Б Чугунов - все верна  , потому что троян слишком высока чтобы попадать в опасности - нужно контроль приложение прикрутить , так как троян имеют значительный успех .  Без этого не возможно - нормально жить .

Работа антивируса - значит , работа защищаться ...  Внедрение и модернизация компонентов - важную роль сыграет против хакеров и дудосеров .

Сообщение было изменено Alexander007: 14 Октябрь 2024 - 13:04

[RinoMir]

Идея отвратительная. Просто потому, что лично мне, например, масса таких вопросов будет непонятна.

Ну так а в чем проблема сделать ее по дефолту отключенной? Или все приложения в доверенных, а пользователь сам там настроить может запросы.

Сообщение было изменено RinoMir: 14 Октябрь 2024 - 13:11

[VVS]

 

Идея отвратительная. Просто потому, что лично мне, например, масса таких вопросов будет непонятна.

Ну так а в чем проблема сделать ее по дефолту отключенной? Или все приложения в доверенных, а пользователь сам там настроить может запросы.

Много лет тому назад у доктора фаер был классический, без всяких доверенных.
По умолчанию при инсталляции фаер не устанавливался.

На форуме было до дури жалоб, что пользователь умудрился как-то так создать правила, что у него вообще доступа в сеть не было.

Теперь Вы предлагаете получить аналогичный гемор с приложениями.

Нафиг-нафиг...

[maxic]

Если есть возможность выстрелить себе в ногу, она обязательно будет использована   
Даже с текущим фаером периодически появляются предъявы, что "не работает". А причина - в шаловливых ручках и настройках без понимания совершаемых действий.

[Sergejko]

эвристика для детектирования шифровальщиков

 

https://file.io/JEVeH3Vc1GGf

Пропустили  

[VVS]

 

эвристика для детектирования шифровальщиков

 

https://file.io/JEVeH3Vc1GGf

Пропустили

Нужно быть либо очень наивным, либо абсолютно некомпетентным в обсуждаемом вопросе, чтобы предполагать, что существует AV с 100% детектом.

На этом флейм прекращён.

Тема закрыта.

Модератор.