69 ответов в этой теме

[#user]

Я этого не понимаю. Если сигнатуры нет, то вирлаб либо ещё не изучал файл, либо не определился пока. Подозревать его просто "патамушта" и за ради этого городить рядом ещё одну технологию распознавания угроз "по фотографии"?

Между вынесением вердикта о вредоносности, выпуском сигнатуры, ее добавлением в базы, последующим тестированием, размещением на сервере обновлений, и, наконец, загрузкой на ПК пользователя - в среднем проходит несколько часов, в течении которых системы пользователей могут быть заражены.

Эти технологии как раз и предназначены для того, чтобы свести этот промежуток к нескольким секундам/минутам. В общих чертах цепочка следующая:

1). Вынесение вердикта о вредоносности
2). Через несколько секунд/минут хеш новой вредоносной программы вносится в базу данных на сервере АВ компании.
3). Если пользователь сталкивается с этой вредоносной программой до того, как на его ПК будет загружено обновление, то произойдет -
а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.
4). Пользователь оказался защищенным в период времени между вынесением вердикта о вредоносности и загрузкой обновлений, содержащих соответствующую сигнатуру, на его ПК.

Это лишь самый простой случай применения этих технологий.

[#user]

и приобщились к откровению rmdir/s/q \\localhost\c$\windows в "безопасной" среде?

Оно же вроде бы как изоляция для браузеров позиционируется, а не полноценная VM.

можно подумать в браузерах нет плагинов

Еще немного, и Вы опять вызовите у сотрудников известной компании истерику вида:

"Евгений Гладких пишет и распространяет вирусы..." (с)

"Евгений Гладких написал Троян-даунлоадер" (с)

"Евгений Гладких показал, что свои эксперименты с руткитами он проводит на антивирусах и хвастается своими достижениями в вирусописательстве" (с)

=)

[Eugeny Gladkih]

и приобщились к откровению rmdir/s/q \\localhost\c$\windows в "безопасной" среде?

Оно же вроде бы как изоляция для браузеров позиционируется, а не полноценная VM.

можно подумать в браузерах нет плагинов

Еще немного, и Вы опять вызовите у сотрудников известной компании истерику вида:

"Евгений Гладких пишет и распространяет вирусы..." (с)

"Евгений Гладких написал Троян-даунлоадер" (с)

"Евгений Гладких показал, что свои эксперименты с руткитами он проводит на антивирусах и хвастается своими достижениями в вирусописательстве" (с)

=)

а у них кроме истерики разве бывает другое состояние?

[Зловред]

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной,

Случайно не лишний пункты, если будет список , сразу переход к п.3-в

[Eugeny Gladkih]

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.

вот только давно уже зараза полиморфна и хэши соотвественно разные

[Зловред]

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.

вот только давно уже зараза полиморфна и хэши соотвественно разные

Хотя бы те указать которые будут известны на тот момент, лучше чем ничего или вы не согластны с этим! Почему?

[#user]

вот только давно уже зараза полиморфна и хэши соотвественно разные

1. не вся зараза полиморфна. По крайней мере не 100% потока.
2. в случае полиморфизма должны работать другие подвиды технологии - оценка всех атрибутов, расчет репутации, вынесение вердикта на стороне сервера.

[Eugeny Gladkih]

ага, классический человек с альтернативными умственными способностямиизм "suspicious inside"

[#user]

ага, классический человек с альтернативными умственными способностямиизм "suspicious inside"

Юмор оценил

Вам, разработчикам, и карты в руки для того, чтобы реализация хороших идей не выливалась в человек с альтернативными умственными способностямиизм а-ля 'Made in Asia'.

Сообщение было изменено #user: 23 Ноябрь 2011 - 19:02

[Eugeny Gladkih]

симантек это Азия?!

[mrbelyash]

1. не вся зараза полиморфна. По крайней мере не 100% потока.
2. в случае полиморфизма должны работать другие подвиды техно

не вся...ой не вся.
EG таки вводит в заблуждение.

[#user]

симантек это Азия?!

Увы, у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования:
(в остальных частях списка пропорции примерно те же)

Прикрепленные файлы:

•  sym.png   133,75К   16 Скачано раз

[Полимер]

у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования

Кстати, а почему у доктора нет такого about? Пусть видят и бояться! (можно с фото).

[mrbelyash]

симантек это Азия?!

Увы, у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования:
(в остальных частях списка пропорции примерно те же)

[Семенов- Тянь-Шанский]

Я насчитал 9 человек на форуме!

А сотрудников в штатском считали?
Они все пошли дорабатывать семерку

[Зловред]

Они все пошли дорабатывать семерку

Хорошо бы

[Зловред]

Добрый вечер. Очередной порно-баннер прилетевший заставил меня снова вспомнить о моей теме!

Можно провести простой эксперимент, чтоб проверить эфективность и подльзу поднятой функций в моей теме?

Берём Virus hunterov  и ещё кому доверяет вирус лаб--- высылает им Email с датой проведения эксперимента , они высылают на указнный  Email файлы с вирусами , а работник вирус лаб Автоматом их включает в детект , как "" опасный файл""  к примеру! Думаю это возможно сделать на неделку и тогда сразу будет видно на скоко будет эфективна такая функция?

Что думает народ, хотелось бы услышать?

[userr]

Берём Virus hunterov  и ещё кому доверяет вирус лаб--- высылает им Email с датой проведения эксперимента , они высылают на указнный  Email файлы с вирусами , а работник вирус лаб Автоматом их включает в детект , как "" опасный файл""  к примеру!

Вирлаб никому, кроме своих сотрудников, не доверяет настолько, чтобы Автоматом, без анализа хотя бы роботом, включать детект на присланные файлы. Просто не имеет права.

Того, что Вы предлагаете, ни у одного антивируса никогда не было, нет и не будет.

[Ko6Ra]

Того, что Вы предлагаете, ни у одного антивируса никогда не было, нет и не будет.

 

 

Вот с этим можно поспорить. Автодетект по доверию у некоторых "антивирусов" можно встретить.

Сообщение было изменено Ko6Ra: 31 Январь 2013 - 13:16

[Зловред]

Вирлаб никому, кроме своих сотрудников, не доверяет настолько

Если у сотрудников будет время чтоб искать свежие вирусы, то меня это тока  порадует, значит у них много свободного времени