27 ответов в этой теме

[v.g.]

Здравствуйте Игорь.

 

Антивирусы предназначены для защиты программного обеспечения от внешних угроз.

Может ли антивирус (в принципе) "изнутри" контролировать правильность работы любой программы, если в неё будет встроен соответствующий модуль?

 

Т.е. не защита от внешних угроз, а контроль корректности выполнения команд и использования данных Защищённой программы.

 

С уважением,

Виктор Г.

[RomaNNN]

Я думаю, стоит перенести это в общие вопросы.

Не совсем понятно что вы имеете ввиду. В 9 версии есть защита от инжектов, т.е. от программ, которые пытаются встроиться в системные процессы и делать гадости от их имени.

Сообщение было изменено RomaNNN: 30 Август 2014 - 10:43

[EvgenWL]

Почему сразу в Общие переносить? Вопрос технический техническому директору. Что опять не так?

[maxic]

EvgenWL, вряд ли технический директор занимается разработкой. Думаю, такой вопрос будет уместен руководителю разработки ака Константину Юдину, а никак не высшему управленцу.

[EvgenWL]

maxic,чем тогда занимается технический директор в Dr.Web и на какие вопросы он будет отвечать?

[maxic]

EvgenWL, посмотрите на дату последнего ответа?

Полагаю, он просто не посещает форум, поскольку и так есть куда девать свое время.

 

Чем занимается руководство в Dr.Web - можно гадать вместе

[АВаТар]

v.g., Тут самое тонкое место: "правильность работы программы". Как и кто будет определять "правильность", если программисты регулярно вносят ошибки в свои "правильные программы"? А процессору вообще пофиг, что делать... Он может выполнять деление числа на ноль миллион раз в секунду, "и не поперхнётся". Это будет правильная программа? А если я её именно такой и задумал?... Слишком общо сформулировано это всё...

 

Для технического задания не хватает ограничений (конкретики) для реализации задумки, которая сейчас выглядит как "Хочу универсальный редактор для всего! И чтоб правильный был!". Ваша "защита от неправильных программ" примерно так выглядит. Для начала, надо бы сказать, от чего защита нужна?

[Tatyanka]

Порой обычный человек с альтернативными умственными способностями задаст один вопрос и семь мудрецов не смогут ему ответить.

Не теряйте своё драгоценное время, когда это явно очевидно. Без обид, всё просто.

[usverg]

К сожалению, иногда и на "неальтернативные" вопросы ответа нет. В данной ситуации хоть вопрос и несколько наивен, но ответ в общих чертах дан. На более заковыристые вопросы ответа порой как раз нет.

[l.e.e.]

Это какой то комодовец, наверное. В превентивной защите есть Защита целостности файлов.

[l.e.e.]

Антивирусы предназначены для защиты программного обеспечения от внешних угроз.
Может ли антивирус (в принципе) "изнутри" контролировать правильность работы любой программы, если в неё будет встроен соответствующий модуль?

Даже должен ! От внешних угроз, то есть проникновения в систему защищают почти все (или делают вид), а вот внутри побороть и не многие могут. Большинство падает и систему тянут (если всё же пропустят). И даже пишут обратиться к специалистам, прямо из интерфейса программы.

[usverg]

l.e.e., здесь проблема, на мой взгляд, в том, что поведенческий анализ и выявление угроз весьма сложная, комплексная задача. И если создать сигнатуру для данных достаточно просто, то создать компактную сигнатуру поведения (или алгоритма) более чем проблематично. Ещё сложнее применять множество подобных описаний для анализа множества потенциальных угроз (в качестве которых по-умолчанию должны рассматриваться все процессы и исполняемые файлы на компьютере). И здесь уже каждый производитель начинает городить "свой огород" от нейронных сетей до виртуализации. В любом случае чёткого математического решения для данной задачи нет (для более распространённой задачи, задачи поиска данных, таких решений множество) - отсюда самый распространённый метод это сигнатурный поиск, а не поведенческий.

[АВаТар]

Если немного пофантазировать на тему "Защита от внутренних(?) угроз", то как один из вариантов возможного, мне видится такой. Вводится явное и жёсткое ограничение на работу ВСЕХ программ на ПК - никакая программа не должна нарушить работу ОС. (Аналогия из биологии: никакая клетка не должна разрушать организм.) Тогда на этой основе можно строить защиту от программ, портящих ОС.

 

Эта идея реализуется двумя не противоречащими друг другу способами:

1) программисты разрабатывают свои программы так, чтобы они не разрушали ОС (это внутренний самоконтроль человека-программиста), и

2) что-то (супервизор) не даёт программам портить ОС.

 

1-й путь - теоретически возможен, в результате - идеален! И потому недостижим...  Но поскольку он работает на уровне "причины", то он - самый эффективный, в итоге...  Ещё фантазия: если бы мелкомягкие имели эту идею в своей голове, то Windows был бы более качественным продуктом, чем сейчас. Возможно при этом, никакой потребности в антивирусах вообще бы не было!

 

2-й реализуется в виде "песочницы", "изменяемой области карантина", (само)восстанавливающих(ся) бэкапов (backups, резервные копии ОС), VirtualBox, Shadow User, и т.п. Т.е. идёт борьба (с переменным успехом) с последствиями. Так происходит из-за плохой проработки 1-го пути решения, на уровне "причины".

 

Но это уже никакой не антивирус, а совсем другой продукт, обсуждать который было бы уместнее в другом месте.

[SergSG]

Порой обычный человек с альтернативными умственными способностями задаст один вопрос и семь мудрецов не смогут ему ответить.

Не теряйте своё драгоценное время, когда это явно очевидно. Без обид, всё просто.

+1

[VVS]

Если немного пофантазировать на тему "Защита от внутренних(?) угроз", то как один из вариантов возможного, мне видится такой. Вводится явное и жёсткое ограничение на работу ВСЕХ программ на ПК - никакая программа не должна нарушить работу ОС. (Аналогия из биологии: никакая клетка не должна разрушать организм.) Тогда на этой основе можно строить защиту от программ, портящих ОС.

А можно задать глупый вопрос? - Спасибо!

Что такое "нарушить работу ОС"?

[usverg]

АВаТар, почитайте ветку "А можно ли", я там о том же самом спрашивал (http://forum.drweb.com/index.php?showtopic=318341&page=3#entry732394), ответа не было. А пример похожей системы - apparmor

[АВаТар]

Что такое "нарушить работу ОС"?

Хороший вопрос на самом деле.

 

А ответ зависит от целей, которые ставят перед собой 1) разработчики ОС, 2) разработчики прикладного ПО, 3) пользователи (и того, и другого). У этих целей есть общее подмножество, которое должно быть известным всем группам и работать всегда, при любых условиях и любых действиях людей из всех трёх групп. Если это подмножество известных целей не достигается, то можно говорить о "нарушении работы ОС".

 

Например, в это общее подмножество общих целей входит цель - защита "от дурака", и ещё другая защита - от хакеров. Хотя, этим оно не ограничивается. А с т.з. 3-ей группы, т.е. пользователей, никакие программы ничего не должны сообщать или требовать от пользователя то, что не входит в его цели.

 

В реализации это будет приблизительно похоже на MacOS.

 

Ну, это я в идеале расписал. Но идеалы не достижимы. Хотя стремление к ним и даёт максимальный эффект.

(А сам я, в своё время, стремился стать разработчиком какой-нибудь ОС, но не срослось...)

[АВаТар]

usverg, Ветку "А можно ли" я читаю...
Да только вопрос, обсуждаемый вами, по моему, к антивирусам не относится. То, что вы предлагаете, должно быть реализовано в рамках ОС, как сервис. Такой вопрос нужно мелкомягким задавать, ну или на крайняк, Руссиновичу.

Сообщение было изменено АВаТар: 31 Август 2014 - 13:35

[usverg]

АВаТар, и рад бы, да после того как его купили - он как раз ничего нового он не сделал. Так что остаются только навесные защиты и тут антивирусный продукт, как система обеспечивающая комплексную защиту, выступает самым подходящим кандидатом.

[VVS]

 

Что такое "нарушить работу ОС"?

Хороший вопрос на самом деле.

 

А ответ зависит от целей, которые ставят перед собой 1) разработчики ОС, 2) разработчики прикладного ПО, 3) пользователи (и того, и другого). У этих целей есть общее подмножество, которое должно быть известным всем группам и работать всегда, при любых условиях и любых действиях людей из всех трёх групп. Если это подмножество известных целей не достигается, то можно говорить о "нарушении работы ОС".

Программа инжектится в процесс IE - это хорошо или плохо?