-
Метод борьбы с компьютерными вирусами
Количество вирусов все увеличивается, и базы сигнатур, используемые традиционными вирусными сканерами, все пополняются. Если так пойдет и дальше, общее число различных вирусов и троянов может легко превысить количество исполняемых файлов, входящих в приложения. В связи с этим предлагается заменить используемый сейчас метод "все, что не запрещено, - разрешено" на противоположный: "все, что не разрешено, - запрещено". То есть заносить в базу не сигнатуры вирусов, а контрольные суммы допустимых исполняемых файлов и библиотек. Запуск исполняемого файла при этом разрешен, только когда сигнатура есть в базе. Софтверные компании могли бы при выпуске нового продукта пополнять общую базу контрольных сумм для своих исполняемых файлов, а пользователи - скачивать обновления. При таком подходе исчезает необходимость быстрой реакции на появление нового вируса или трояна - ведь по умолчанию его запуск будет запрещен. В заявке приведена даже структура запросов и ответов, но, полагаю, общая идея понятна и без них.
Источник: "Компьютерра"
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А чем этот способ отличается от UAC в висте, только более строгого?
-
-
впринципе не чем, только список обнавляеться антивирусными компаниями постоянно.. я не считаю такой вариант удобным, количество программ превосходит количество malware. базы и скорость проверки будет не на много выше а то и меньше..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Это "влоб" не сработает, так как:
1. база будет гиганской, о ее загрузке и обновлении речи быть не может -для работы с ней придется делать нечто типа DNS службы (распределенную базу + протокол). Если эту службу не сделать сильно распределенной, то ее легко будет DDOS-ить
2. Что такое "софтверная компания" !? Как отличить софтверную компанию по разработке троянов от аналогичной по разработке легитимного ПО (для примера - каждая вторая порнозвонилка имеет цифровую подпись).
3. Где гарантия того, что за некоторую денежку от имени легитимной компании в базу не попадут данные троянов ?! Инсайдеры всегда бывают ...
-
-
-
-
Ерунда все это.... не приживется!(да и вообще врятли будет этот проект осуществляться) Согласен с Олегом!
-
-
Правильная идея. Я её высказал еще года 2 назад. Жизнеспособность идеи доказана в АВЗ. База чистых файлов которая ведётся одним человеком на среднестатистическом компьютере знает процентов 80-90 файлов висящих в памяти. Если этим займётся крупная антивирусная фирма то можно быстро довести базу до состояния когда неизвестными остаются считанные файлы.
При этом неизвестные файлы антивирус может не запрещать запускать, а просто запускать с обрезанными правами.
В течении ближайшего года-двух этот механизм скорее всего будет реализован какой-нибудь из крупных АВ компаний.
-
-
Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?
Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?
В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.
-
-
Сообщение от
rav
Нет- надорвутся.
и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте ). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа файл изменен. Я выдержал 2 дня после чего направил этот юмор фтопку.
-
-
Сообщение от
rav
Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?
Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?
В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.
Не знаю что вы прицепились к DDoS. Сегодня у всех антивирусов есть сервера обновлений. Как то же их от DDoS защищают. Не вижу какая разница вирусные базы или базы чистых файлов.
Сколько легитимных программ в день выпускается совершенно не интересно. Вопрос сколько программами пользуется пользователями, и насколько они распространены. И речь не идёт обо всех файлах, а только об исполняемых. А уж если остановиться только на файлах прописывающихся в автозапуск, а это подавляющее большинство зловредов, то ситуация вообще простейшая.
И потом, зачем махать руками в воздухе если есть факты. Факт что с базой поддерживаемой одним человеком и никакими расходами АВЗ знает сегодня уж точно более 70% распространённых файлов прописываемых в автозагрузку. Любая крупная АВ фирма может улучшить этот показатель на порядок с небольшими затратами. Да и для работы самой компании это большое подспорье. Не нужно десятки раз анализировать одни и те же чистые файлы, которые пользователи присылают как подозрительные. Так что частично это даже уменьшит нагрузку на аналитиков.
Пару лет назад так же рассказывали сказки что контроль реестра не нужен, знание пакеров не нужно, и еще другие сказки, а сегодня это есть в большинстве антивирусов.
-
-
Сообщение от
Geser
Сколько легитимных программ в день выпускается совершенно не интересно.
Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.
-
-
Сообщение от
Зайцев Олег
Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.
Конечно не как замена, а только как дополнение.
В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.
В домашних можно обрезать права если файл не в базе чистых, или сначала проводить запуск в песочнице отслеживая подозрительные действия. Да много чего еще можно сделать
-
-
В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.
в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..
Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых. Или админам можно дать птаво вносить исключения.
-
-
Junior Member
- Вес репутации
- 61
имхо база чистых файлов не есть выход, т.к от версии к версии любого ПО будут меняться crc файлов и со временем такая база будет больше, чем база любых сигнатур. А сигнатуры... Возьмем простой пинч... Очень часто даже для обычного сокрытия данного троя от антивируса просто меняется пару байт... Делается или смещение или просто пару байт заменяется на другие... Ояень часто сигнатуры цепляются на текст... Я не говорю даже о упаковке данного файла или его шифровке. Имхо просто для подобных вирусов надо не сигнатуры.
А вообще, есть весьма интересная утилита Safe Launch. Подобную функцию можно было бы внедрить и в антивирусы. Т.е если свежескачанный файл вызывает у человека подозрение, он его запускает с использованием данной функции и получает предупреждение о том, куда и как делает программа. Я думаю это бы снизило риск заражения новыми модификациями или вирусами при скачивании файлов
-
Сообщение от
Rene-gad
и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте
). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа
файл изменен. Я выдержал 2 дня после чего направил этот юмор
фтопку.
хм... я не понмю что был за антивирь... но у него тоже была фишка слежения за контрольной суммой... приколы начинались когда после очередного обновления он понимал что у него у самого контрольная сумма изменилась...
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
-
-
Сообщение от
Geser
Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых.
Многие такие проги являются коммерческой тайной компаний и не подлежат экспорту вообще!
Сообщение от
Geser
Или админам можно дать птаво вносить исключения.
А это будет очень плохо- нагрузка на админов возрастает, и достаточно сильно. Да и децентрализация управления базой, в общем, тоже не есть хорошо...
Сообщение от
i_am
А вообще, есть весьма интересная утилита Safe Launch.
Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.
-
-
Junior Member
- Вес репутации
- 61
Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.
У нас на сетевом ресурсе валяется. Могу выложить вам куда-нить. Руки не доходили нормально потестить ее еще.
Но в принципе я ее привел к тому, что на мой взгляд в нынешней ситуации лучше не наращивать базы сигнатур, а больше делать упор на то, чтобы уменьшить риск заражения компьютера, дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д. Лучше предотвратить заражение, чем его потом лечить. И по поводу сетевой активности анализировать ее.
Возьмем как пример, опять тот же пинч с типичным для него поведением сбора паролей, отсылкой данных через http или почту, установкой backdoor, и.т.д. Почему не сделать этакий модуль, которые на основании безопасного запуска и поведенческого анализа мог бы давать определенные рекомендации, и.т.д. Чем выше сознательность обычного юзера и инструментов в его руках, тем меньше зараженных компьютеров
имхо
-
Сообщение от
i_am
дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д
Если бы простые пользователи проверяли и изучали то, что скачивают из Инет (и не качали бы сомнительные программы из сомнительных источников), то проблемы вирусни практически не было бы как таковой ...
-