Перейти к содержимому


Фото
* * * * * 1 Голосов

Эвристическая технология


  • Please log in to reply
79 ответов в этой теме

Опрос: Эвристическая технология

Это открытый опрос. Другие пользователи смогут увидеть, как вы проголосовали.

Эвристичеcкую технологию какого АВ вы считаете наилучшей

Вы не можете увидеть результаты голосования, пока не проголосуете сами. Войдите на форум и проголосуйте, чтобы увидеть результаты.
Голосовать Гости не могут голосовать

#21 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 500 Сообщений:

Отправлено 31 Декабрь 2011 - 17:11

Не, они пока не умеют производить "глубинное инспектирование" участков кода на предмет обнаружения характерных РНК-цепочек.


Я не знаю, как у них там что работает, просто вижу часто реакцию эвристика на новые угрозы. А то, что с описанием они перестарались, это точно. -_-
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#22 primarX

primarX

    Newbie

  • Posters
  • 50 Сообщений:

Отправлено 31 Декабрь 2011 - 17:13

Не, они пока не умеют производить "глубинное инспектирование" участков кода на предмет обнаружения характерных РНК-цепочек.

пичалька -_-
Если есть два способа, сложный и простой, то выбирай простой, так как он проще сложного способа, который тоже простой, но ещё и сложнее.

#23 Iskander_sg

Iskander_sg

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Январь 2012 - 13:58

По мне, так здесь Comodo не хватает. Он имеет один из самых лучших эвристиков (онлайн сервис Валкирия) Ну а если выбирать из предоставленных вендоров, то несомненно, Eset.
P.s. Все ИМХО.

Сообщение было изменено Justme45215: 01 Январь 2012 - 14:00


#24 primarX

primarX

    Newbie

  • Posters
  • 50 Сообщений:

Отправлено 01 Январь 2012 - 16:02

Он имеет один из самых лучших эвристиков (онлайн сервис Валкирия)
P.s. Все ИМХО.

У меня почему-то это "эристик" ругается на битые файлы - Heur.Corrupt.PE
Если есть два способа, сложный и простой, то выбирай простой, так как он проще сложного способа, который тоже простой, но ещё и сложнее.

#25 Iskander_sg

Iskander_sg

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 01 Январь 2012 - 23:32

primarX, на то он и эвристик :(

#26 Odnokletochnoe

Odnokletochnoe

    Анабиоз

  • Beta Tester
  • 1 812 Сообщений:

Отправлено 02 Январь 2012 - 01:13

А где в списке COMODO? :(

#27 primarX

primarX

    Newbie

  • Posters
  • 50 Сообщений:

Отправлено 02 Январь 2012 - 11:13

primarX, на то он и эвристик :(

нафига такой то нужен? :)
Если есть два способа, сложный и простой, то выбирай простой, так как он проще сложного способа, который тоже простой, но ещё и сложнее.

#28 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 616 Сообщений:

Отправлено 02 Январь 2012 - 12:31

primarX, на то он и эвристик :(

нафига такой то нужен? :)

Чтобы не слали в вирлаб всякий мусор?

#29 primarX

primarX

    Newbie

  • Posters
  • 50 Сообщений:

Отправлено 02 Январь 2012 - 12:51

Чтобы не слали в вирлаб всякий мусор?

После того как антивирь ругнется на файл, обычные пользователь отошлет его на анализ :(
Так что, эта теория не подходит.
Если есть два способа, сложный и простой, то выбирай простой, так как он проще сложного способа, который тоже простой, но ещё и сложнее.

#30 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 950 Сообщений:

Отправлено 12 Январь 2012 - 19:30

Интернет-сообщество Microsoft SpyNet помогает выбрать нужные действия в ответ на угрозу.

время реагирования на практике? % обнаружения неизвестных угроз?

Сообщение было изменено сергейка: 12 Январь 2012 - 19:31


#31 Буль-буль

Буль-буль

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 12 Январь 2012 - 19:37

После того как антивирь ругнется на файл, обычные пользователь отошлет его на анализ :)


Обычный пользователь либо испугается и поверит антивирусу, либо скажет "я лучше знаю" и запустит файл :)

#32 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 950 Сообщений:

Отправлено 12 Январь 2012 - 19:53

Интернет-сообщество Microsoft SpyNet помогает выбрать нужные действия в ответ на угрозу.

время реагирования на практике? % обнаружения неизвестных угроз?

Цитата:"Microsoft Security Essentials блокирует вредоносные программы. Мы постоянно пополняем список самых популярных веб-сайтов и загрузок из Интернета и тестируем на них наши определения вредоносных программ и обновления, прежде чем предоставить их пользователям. Благодаря этому мы уверены в том, что защищаем ваш компьютер, а не ограничиваем его возможности."

что с вами? вы в теме?
выбор действия на известную угрозу очевиден самому АВ, в случае известных АВ угроз нет нужды обращаться к сообществу. потребность в сообществе возникает в случае подозрения на угрозу. так что все таки со временем реагирования и % обнаружения неизвестного?

#33 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 950 Сообщений:

Отправлено 12 Январь 2012 - 20:05

Интернет-сообщество Microsoft SpyNet помогает выбрать нужные действия в ответ на угрозу.

время реагирования на практике? % обнаружения неизвестных угроз?

Цитата:"Microsoft Security Essentials блокирует вредоносные программы. Мы постоянно пополняем список самых популярных веб-сайтов и загрузок из Интернета и тестируем на них наши определения вредоносных программ и обновления, прежде чем предоставить их пользователям. Благодаря этому мы уверены в том, что защищаем ваш компьютер, а не ограничиваем его возможности."

что с вами? вы в теме?
выбор действия на известную угрозу очевиден самому АВ, в случае известных АВ угроз нет нужды обращаться к сообществу. потребность в сообществе возникает в случае подозрения на угрозу. так что все таки со временем реагирования и % обнаружения неизвестного?

Я не знаю, время не засекал. Microsoft Security Essentials работает так, что вмешательство пользователя почти не требуется.

т.о. параметры эффективности Microsoft SpyNet вам не известны.

#34 German AW

German AW

    Poster

  • Posters
  • 1 140 Сообщений:

Отправлено 06 Июнь 2013 - 12:54

Такой вопрос: сработала эвристика - probably infected with Trojan.Packed. Сработала обоснованно, т.к. это действительно вредоносное программное обеспечение (вроде, руткит ZAccess). Нужно ли отправлять искомый файл в лабораторию, чтобы ему присвоили персональное имя? Или достаточно того, что эвристика его ловит, и специальную запись под него создавать не надо?


Сообщение было изменено German AW: 06 Июнь 2013 - 12:55

Intel Core i5 3550 (3.3GHz), 8Gb DDRIII, Intel SSD 330 120Gb, Windows 8.1 x64, Dr.Web 11.0 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDRIII, Toshiba SSD 64Gb, Windows 10 x64 (build 1709), Dr.Web 11.0 SS


#35 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 06 Июнь 2013 - 13:06

Такой вопрос: сработала эвристика - probably infected with Trojan.Packed. Сработала обоснованно, т.к. это действительно вредоносное программное обеспечение (вроде, руткит ZAccess). Нужно ли отправлять искомый файл в лабораторию, чтобы ему присвоили персональное имя? Или достаточно того, что эвристика его ловит, и специальную запись под него создавать не надо?

Как-то я задавал этот вопрос. И получил разные ответы от аналитиков. :) 


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#36 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 06 Июнь 2013 - 13:10

Такой вопрос: сработала эвристика - probably infected with Trojan.Packed. Сработала обоснованно, т.к. это действительно вредоносное программное обеспечение (вроде, руткит ZAccess). Нужно ли отправлять искомый файл в лабораторию, чтобы ему присвоили персональное имя? Или достаточно того, что эвристика его ловит, и специальную запись под него создавать не надо?

Обязательно надо отправить.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#37 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 06 Июнь 2013 - 13:11

Такой вопрос: сработала эвристика - probably infected with Trojan.Packed. Сработала обоснованно, т.к. это действительно вредоносное программное обеспечение (вроде, руткит ZAccess). Нужно ли отправлять искомый файл в лабораторию, чтобы ему присвоили персональное имя? Или достаточно того, что эвристика его ловит, и специальную запись под него создавать не надо?

Как-то я задавал этот вопрос. И получил разные ответы от аналитиков. :)

Так что отправлять. :) Категория "срабатывание эвристики".
С уважением,
Борис А. Чертенко aka Borka.

#38 German AW

German AW

    Poster

  • Posters
  • 1 140 Сообщений:

Отправлено 06 Июнь 2013 - 13:13

Категория "срабатывание эвристики"

Там есть только "ложное срабатывание эвристики", а это не то :) Наверное лучше в "подозрение на вирус"?


Intel Core i5 3550 (3.3GHz), 8Gb DDRIII, Intel SSD 330 120Gb, Windows 8.1 x64, Dr.Web 11.0 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDRIII, Toshiba SSD 64Gb, Windows 10 x64 (build 1709), Dr.Web 11.0 SS


#39 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 856 Сообщений:

Отправлено 06 Июнь 2013 - 13:14

 

Такой вопрос: сработала эвристика - probably infected with Trojan.Packed. Сработала обоснованно, т.к. это действительно вредоносное программное обеспечение (вроде, руткит ZAccess). Нужно ли отправлять искомый файл в лабораторию, чтобы ему присвоили персональное имя? Или достаточно того, что эвристика его ловит, и специальную запись под него создавать не надо?

Как-то я задавал этот вопрос. И получил разные ответы от аналитиков. :)

 

Тогда, по-моему, про ориджин было. 

 

А так-то да, эвристик - отправлять. 


Sergey Komarov
R&D www.drweb.com

#40 German AW

German AW

    Poster

  • Posters
  • 1 140 Сообщений:

Отправлено 06 Июнь 2013 - 13:20

Отправил через "Мой Dr.Web" и файлы прицепил. Посмотрим, что ответят :)


Intel Core i5 3550 (3.3GHz), 8Gb DDRIII, Intel SSD 330 120Gb, Windows 8.1 x64, Dr.Web 11.0 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDRIII, Toshiba SSD 64Gb, Windows 10 x64 (build 1709), Dr.Web 11.0 SS



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых