Перейти к содержимому


Фото
- - - - -

Вопрос к DrWeb


  • Please log in to reply
69 ответов в этой теме

#41 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 23 Ноябрь 2011 - 17:46

Я этого не понимаю. Если сигнатуры нет, то вирлаб либо ещё не изучал файл, либо не определился пока. Подозревать его просто "патамушта" и за ради этого городить рядом ещё одну технологию распознавания угроз "по фотографии"?

Между вынесением вердикта о вредоносности, выпуском сигнатуры, ее добавлением в базы, последующим тестированием, размещением на сервере обновлений, и, наконец, загрузкой на ПК пользователя - в среднем проходит несколько часов, в течении которых системы пользователей могут быть заражены.

Эти технологии как раз и предназначены для того, чтобы свести этот промежуток к нескольким секундам/минутам. В общих чертах цепочка следующая:

1). Вынесение вердикта о вредоносности
2). Через несколько секунд/минут хеш новой вредоносной программы вносится в базу данных на сервере АВ компании.
3). Если пользователь сталкивается с этой вредоносной программой до того, как на его ПК будет загружено обновление, то произойдет -
а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.
4). Пользователь оказался защищенным в период времени между вынесением вердикта о вредоносности и загрузкой обновлений, содержащих соответствующую сигнатуру, на его ПК.

Это лишь самый простой случай применения этих технологий.

#42 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:16

и приобщились к откровению rmdir/s/q \\localhost\c$\windows в "безопасной" среде? :)

Оно же вроде бы как изоляция для браузеров позиционируется, а не полноценная VM.


можно подумать в браузерах нет плагинов

Еще немного, и Вы опять вызовите у сотрудников известной компании истерику вида:

"Евгений Гладких пишет и распространяет вирусы..." (с)

"Евгений Гладких написал Троян-даунлоадер" (с)

"Евгений Гладких показал, что свои эксперименты с руткитами он проводит на антивирусах и хвастается своими достижениями в вирусописательстве" (с)

=)

#43 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 233 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:21

и приобщились к откровению rmdir/s/q \\localhost\c$\windows в "безопасной" среде? :)

Оно же вроде бы как изоляция для браузеров позиционируется, а не полноценная VM.


можно подумать в браузерах нет плагинов

Еще немного, и Вы опять вызовите у сотрудников известной компании истерику вида:

"Евгений Гладких пишет и распространяет вирусы..." (с)

"Евгений Гладких написал Троян-даунлоадер" (с)

"Евгений Гладких показал, что свои эксперименты с руткитами он проводит на антивирусах и хвастается своими достижениями в вирусописательстве" (с)

=)


а у них кроме истерики разве бывает другое состояние? :)

#44 Зловред

Зловред

    Member

  • Posters
  • 100 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:21

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной,

Случайно не лишний пункты, если будет список , сразу переход к п.3-в :)
Проявите терпение!!! Живи красиво, умри достойно!

#45 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 233 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:23

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.


вот только давно уже зараза полиморфна и хэши соотвественно разные

#46 Зловред

Зловред

    Member

  • Posters
  • 100 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:30

а). отправка запроса/хеша на сервер АВ компании, б). получение ответа о том, что программа с данным хешом является вредоносной, в). перемещение вредоносной программы в карантин.


вот только давно уже зараза полиморфна и хэши соотвественно разные

Хотя бы те указать которые будут известны на тот момент, лучше чем ничего :) или вы не согластны с этим! Почему?
Проявите терпение!!! Живи красиво, умри достойно!

#47 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:31

вот только давно уже зараза полиморфна и хэши соотвественно разные

1. не вся зараза полиморфна. По крайней мере не 100% потока.
2. в случае полиморфизма должны работать другие подвиды технологии - оценка всех атрибутов, расчет репутации, вынесение вердикта на стороне сервера.

#48 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 233 Сообщений:

Отправлено 23 Ноябрь 2011 - 18:51

ага, классический человек с альтернативными умственными способностямиизм "suspicious inside" :)

#49 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 23 Ноябрь 2011 - 19:02

ага, классический человек с альтернативными умственными способностямиизм "suspicious inside" :)

Юмор оценил :)

Вам, разработчикам, и карты в руки для того, чтобы реализация хороших идей не выливалась в человек с альтернативными умственными способностямиизм а-ля 'Made in Asia'.

Сообщение было изменено #user: 23 Ноябрь 2011 - 19:02


#50 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 233 Сообщений:

Отправлено 23 Ноябрь 2011 - 20:21

симантек это Азия?!

#51 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 23 Ноябрь 2011 - 20:27

1. не вся зараза полиморфна. По крайней мере не 100% потока.
2. в случае полиморфизма должны работать другие подвиды техно

не вся...ой не вся.
EG таки вводит в заблуждение.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#52 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 23 Ноябрь 2011 - 21:12

симантек это Азия?!

Увы, у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования:
(в остальных частях списка пропорции примерно те же)

Прикрепленные файлы:

  • Прикрепленный файл  sym.png   133,75К   16 Скачано раз


#53 Полимер

Полимер

    Бетатестёр

  • Posters
  • 2 902 Сообщений:

Отправлено 23 Ноябрь 2011 - 21:20

у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования

Кстати, а почему у доктора нет такого about? Пусть видят и бояться! (можно с фото).

#54 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 25 Ноябрь 2011 - 16:20

симантек это Азия?!

Увы, у меня просто не поворачивается язык назвать 'Made in USA' этот заповедник кудесников азиатской математики и прикладного программирования:
(в остальных частях списка пропорции примерно те же)


:(
Отправленное изображение

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#55 Семенов- Тянь-Шанский

Семенов- Тянь-Шанский

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 25 Ноябрь 2011 - 16:43

Я насчитал 9 человек на форуме!

А сотрудников в штатском считали? :)
Они все пошли дорабатывать семерку :(

#56 Зловред

Зловред

    Member

  • Posters
  • 100 Сообщений:

Отправлено 25 Ноябрь 2011 - 17:05

Они все пошли дорабатывать семерку

Хорошо бы :(
Проявите терпение!!! Живи красиво, умри достойно!

#57 Зловред

Зловред

    Member

  • Posters
  • 100 Сообщений:

Отправлено 31 Январь 2013 - 00:07

Добрый вечер. Очередной порно-баннер прилетевший заставил меня снова вспомнить о моей теме!

Можно провести простой эксперимент, чтоб проверить эфективность и подльзу поднятой функций в моей теме?

Берём Virus hunterov  и ещё кому доверяет вирус лаб--- высылает им Email с датой проведения эксперимента , они высылают на указнный  Email файлы с вирусами , а работник вирус лаб Автоматом их включает в детект , как "" опасный файл""  к примеру! Думаю это возможно сделать на неделку и тогда сразу будет видно на скоко будет эфективна такая функция?

Что думает народ, хотелось бы услышать?


Проявите терпение!!! Живи красиво, умри достойно!

#58 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 31 Январь 2013 - 12:40

Берём Virus hunterov  и ещё кому доверяет вирус лаб--- высылает им Email с датой проведения эксперимента , они высылают на указнный  Email файлы с вирусами , а работник вирус лаб Автоматом их включает в детект , как "" опасный файл""  к примеру!

Вирлаб никому, кроме своих сотрудников, не доверяет настолько, чтобы Автоматом, без анализа хотя бы роботом, включать детект на присланные файлы. Просто не имеет права.

Того, что Вы предлагаете, ни у одного антивируса никогда не было, нет и не будет.



#59 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 31 Январь 2013 - 13:16

Того, что Вы предлагаете, ни у одного антивируса никогда не было, нет и не будет.

 

 

:) Вот с этим можно поспорить. Автодетект по доверию у некоторых "антивирусов" можно встретить.


Сообщение было изменено Ko6Ra: 31 Январь 2013 - 13:16

ыЫ


#60 Зловред

Зловред

    Member

  • Posters
  • 100 Сообщений:

Отправлено 31 Январь 2013 - 17:25

Вирлаб никому, кроме своих сотрудников, не доверяет настолько

Если у сотрудников будет время чтоб искать свежие вирусы, то меня это тока  порадует, значит у них много свободного времени :D


Проявите терпение!!! Живи красиво, умри достойно!


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых