250 ответов в этой теме

[mrbelyash]

Сдается мне, что хваленный эвристик панды выдает диагноз по пакеру, а не из-за того что нашел в нем что-то плохое

Кто мешает нам детектить самопальные пакеры, которые используются для упаковки малвари?Я ж так понимаю частично это уже есть infected with Trojan.VbCrypt.66 ?

[RomaNNN]

Как "так"? Расскажите нам, пожалуйста, о механизмах и методах, лежащих в основе эвристика Panda.
Откуда уверенность, что если сделать "так", то можно "точно настроить от фолсов" ?
Я бы, пожалуй, и сам смог написать <идеальный> эвристик, который на любой файл будет говорить suspicious.

Про методики немного написано здесь - http://viruslab.ru/products/tp/, заинтересовало особенно - http://viruslab.ru/p...l/heuristic.php

Настроить все можно, если захотеть. Сначала делается грубый эвристик, который считает почти все подозрительным, потом шлифуется правилами, ограничениями, методиками. Допустим что, сложно сделать методику, при которой АВ сканирует файл (эмулятором) и смотрит, что тот прописывает что-то в WInlogon - Shell и Userinit, значит это Suspicions (WInlock)

Сдается мне, что хваленный эвристик панды выдает диагноз по пакеру, а не из-за того что нашел в нем что-то плохое

В драйвере?

Сообщение было изменено RomaNNN: 30 Декабрь 2011 - 12:52

[primarX]

RomaNNN

Установи себе панду и играйся сколько влезет

[Vindows]

MAX++

http://www.virustotal.com/file-scan/report.html?id=39008a1ac097510a94cc6fbfa7af53267f868e4146884b8789ed350687471d94-1325237679
Panda 10.0.3.5 2011.12.29 Suspicious file
NOD32 -

Упаковываем в UPX 3.07w Ultra Brute
http://www.virustotal.com/file-scan/report.html?id=35f0ebecd67ca4e44f567ab1876d5581eb81b4cb422e4edc1b474e6674cd6d14-1325239286
Панда нечего не видит. NOD32 сам UPX не ловит и распаковывает, другие файлы упаковываю - не ловит, а если что всё уходит в Live Grid.
Panda -
Кстати у нее и сигнатурное детектирование на этот файл слетело.

До упаковки и после неё, а ещё точнее на один(на последний упакованный файл) файл - два вердикта:

Сообщение было изменено Vindows: 30 Декабрь 2011 - 13:37

[RomaNNN]

Ну возможно Panda поймает его в памяти. Там в памяти тоже несколько другой детект.

Нет, ну никто не говорит, что у Panda идеальный эвристик. Просто процент обнаруживаемых эвристиком угроз на порядок выше, чем у нас (DrWeb )

[Ko6Ra]

Ну возможно Panda поймает его в памяти. Там в памяти тоже несколько другой детект.

Нет, ну никто не говорит, что у Panda идеальный эвристик. Просто процент обнаруживаемых эвристиком угроз на порядок выше, чем у нас (DrWeb )

Нет, не так.
Правильная фраза - "процент обнаруживаемых эвристиком всего подряд на порядок выше, чем у нас". Вот такая вот формулировка правильная.

[RomaNNN]

Правильная фраза - "процент обнаруживаемых эвристиком всего подряд на порядок выше, чем у нас". Вот такая вот формулировка правильная.

Ну это как следствие, может фолсов и правда больше, но это как следствие из одного. И еще я повторюсь, эвристик легче избавить от фолсов, чем по 1 добавлять эвристический детект на группу вирусов.

[primarX]

И еще я повторюсь, эвристик легче избавить от фолсов, чем по 1 добавлять эвристический детект на группу вирусов.

Откуда такая информация?

[RomaNNN]

Логику включите

[primarX]

Логику включите

А, понятно. И давно эвристики пишешь?

[Exiton]

Может, немного не в тему, но - как это получается, что линуховый ДрВеб укатывет в бетон виндовый?

http://www.shadowserver.org/wiki/pmwiki.php/AV/VirusDailyStats

DrWeb (Linux) 17,250 26,720 64.5584

DrWeb (Windows) 3,308 28,749 11.5065

[Ko6Ra]

Логику включите

Тут должен быть значек фейспалма, но такого фейспалма, который нужен, увы нет...

[Буль-буль]

После прочтения ветки четко видно, что отдел рекламы Panda зря хлеб не ест - вон как человека зацепило после прочтения рекламных материалов
Хотя, например, вот тут http://chart.av-comparatives.org/chart2.php картинка уже резко отличается от рекламной

[RomaNNN]

После прочтения ветки четко видно, что отдел рекламы Panda зря хлеб не ест - вон как человека зацепило после прочтения рекламных материалов
Хотя, например, вот тут http://chart.av-comp....org/chart2.php картинка уже резко отличается от рекламной

Я не читаю рекламные материалы. Про эвристик я так пишу потому что на протяжении долгого времени наблюдаю их детект на новые угрозы. А в плане противостояния вирусам - фуфло...пытался писать им - бесполезно...

[RomaNNN]

Создал отдельно тему. http://forum.drweb.com/index.php?showtopic=306807

[Семенов- Тянь-Шанский]

После прочтения ветки четко видно, что отдел рекламы Panda зря хлеб не ест - вон как человека зацепило после прочтения рекламных материалов

Да ну! Неужели вы считаете ,что Доктор Веб или тот же самый хвалебный Симантек не имеют огрехи в работе? Дело любой компании создать такую ауру,чтобы у пользователей и злопыхаетелей было как можно меньше причин говорить колкости и быть недовольным работой антивирусных продуктов. Эта волшебная аура и дает доход любой даже захолустной компании в мире.
Главное чтобы пользователь был спокоен.
По поводу доктор веб и касперского скажу только одну маленькую но чертовски умную мысль- нельзя сравнивать несравнимые вещи. Касперский это не просто компания это многомиллионный проект ,корпорация,акции которой скоро выйдут в продажу в сша.
А Доктор Веб к сожалению компанию местного разлива,ее основными клиентами как были госструктуры так и будут еще сотни лет.Если конечно Данилов не продаст компанию америкашкам.

[userr]

Как "так"? Расскажите нам, пожалуйста, о механизмах и методах, лежащих в основе эвристика Panda.
Откуда уверенность, что если сделать "так", то можно "точно настроить от фолсов" ?
Я бы, пожалуй, и сам смог написать <идеальный> эвристик, который на любой файл будет говорить suspicious.

Про методики немного написано здесь - http://viruslab.ru/products/tp/, заинтересовало особенно - http://viruslab.ru/p...l/heuristic.php

Почитал. Вот цитаты:

В нем интегрирована корреляция генетических цифровых сигнатур и глубинное инспектирование кода в одном алгоритме, который анализирует код и характерные ДНК-цепочки различных типов угроз: червей, шпионов, троянов, вирусов и т.д.
...
Этот модуль дизассемблирует объект, сканируя инструкции в машинном коде и, основываясь на них, синтезирует гены, которые составят генетическую сигнатуру объекта.

Вы понимаете, что здесь написано? Что такое ДНК-цепочки различных типов угроз и синтезирует гены ?
Объясните мне, пожалуйста, потому что я ничего не понял. Это действительно похоже на рекламу - много напыщенных и непонятных слов.

Настроить все можно, если захотеть. Сначала делается грубый эвристик, который считает почти все подозрительным, потом шлифуется правилами, ограничениями, методиками.

Это, извините, всего лишь красивые слова.
Если очень захотеть, можно в космос полететь.

[RomaNNN]

userr, может с рекламой они палку перегнули, но я вижу их эвристик в действии, и лично меня он впечатляет. Всех тонкостей я не знаю, ни у DrWeb, ни у Panda. Примеров я уже приводил кучу, допустим даже сегодня - новый MaxPlus - тыц

Но если разработчики считают, что в DrWeb с эвристикой все нормально, то я спорить не буду.

Это мое ИМХО

[userr]

userr, может с рекламой они палку перегнули, но я вижу их эвристик в действии, и лично меня он впечатляет.

Я Вам уже говорил, я сейчас не сходя с места напишу эвристик, который будет детектить 100% вирусов, известных и неизвестных.
Проблема фолсов Вас ведь не интересует, по крайней мере для Панды.

[Ko6Ra]

Вы понимаете, что здесь написано? Что такое ДНК-цепочки различных типов угроз и синтезирует гены ?

Ога, в нашей антивирусной лаборатории есть трехлитровая банка дезоксирибонуклеиновой кислоты различных типов угроз.