Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Метод борьбы с компьютерными вирусами

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

    Метод борьбы с компьютерными вирусами

    Количество вирусов все увеличивается, и базы сигнатур, используемые традиционными вирусными сканерами, все пополняются. Если так пойдет и дальше, общее число различных вирусов и троянов может легко превысить количество исполняемых файлов, входящих в приложения. В связи с этим предлагается заменить используемый сейчас метод "все, что не запрещено, - разрешено" на противоположный: "все, что не разрешено, - запрещено". То есть заносить в базу не сигнатуры вирусов, а контрольные суммы допустимых исполняемых файлов и библиотек. Запуск исполняемого файла при этом разрешен, только когда сигнатура есть в базе. Софтверные компании могли бы при выпуске нового продукта пополнять общую базу контрольных сумм для своих исполняемых файлов, а пользователи - скачивать обновления. При таком подходе исчезает необходимость быстрой реакции на появление нового вируса или трояна - ведь по умолчанию его запуск будет запрещен. В заявке приведена даже структура запросов и ответов, но, полагаю, общая идея понятна и без них.
    Источник: "Компьютерра"

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    А чем этот способ отличается от UAC в висте, только более строгого?

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    впринципе не чем, только список обнавляеться антивирусными компаниями постоянно.. я не считаю такой вариант удобным, количество программ превосходит количество malware. базы и скорость проверки будет не на много выше а то и меньше..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Это "влоб" не сработает, так как:
    1. база будет гиганской, о ее загрузке и обновлении речи быть не может -для работы с ней придется делать нечто типа DNS службы (распределенную базу + протокол). Если эту службу не сделать сильно распределенной, то ее легко будет DDOS-ить
    2. Что такое "софтверная компания" !? Как отличить софтверную компанию по разработке троянов от аналогичной по разработке легитимного ПО (для примера - каждая вторая порнозвонилка имеет цифровую подпись).
    3. Где гарантия того, что за некоторую денежку от имени легитимной компании в базу не попадут данные троянов ?! Инсайдеры всегда бывают ...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Ой, кто-то открыл whitelisting! Тут всё расписано: http://anti-virus-rants.blogspot.com...paradigms.html
    http://www.softsphere.com - DefenseWall, DefencePlus

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Ерунда все это.... не приживется!(да и вообще врятли будет этот проект осуществляться) Согласен с Олегом!
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  8. #7
    Geser
    Guest
    Правильная идея. Я её высказал еще года 2 назад. Жизнеспособность идеи доказана в АВЗ. База чистых файлов которая ведётся одним человеком на среднестатистическом компьютере знает процентов 80-90 файлов висящих в памяти. Если этим займётся крупная антивирусная фирма то можно быстро довести базу до состояния когда неизвестными остаются считанные файлы.
    При этом неизвестные файлы антивирус может не запрещать запускать, а просто запускать с обрезанными правами.
    В течении ближайшего года-двух этот механизм скорее всего будет реализован какой-нибудь из крупных АВ компаний.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?

    Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?

    В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.
    http://www.softsphere.com - DefenseWall, DefencePlus

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от rav Посмотреть сообщение
    Нет- надорвутся.
    и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте ). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа файл изменен. Я выдержал 2 дня после чего направил этот юмор фтопку.

  11. #10
    Geser
    Guest
    Цитата Сообщение от rav Посмотреть сообщение
    Нет- надорвутся. Ты представляешь себе, сколько новых легитимных программ, а также апдейтов старых выпускается в день? А я вот представляю. Кроме того, куча файлов-скриптов, которые могут содержать в себе зловреды- vbs, bat, cmd, hta,... Я уж не говорю о doc, xml и прочих OpenOffice'ах. С ними как быть?

    Ты представляешь себе финансовые затраты в день (серверы, траффик, апдейты, защита от DDoS, слежение за старыми прогами и добавление новых), чтобы вести такую базу в относительно актуальном состоянии?

    В каком-то урезанном виде оно, скорее всего всё-таки будет реализовано- видимо, подписывать будут всё и вся.
    Не знаю что вы прицепились к DDoS. Сегодня у всех антивирусов есть сервера обновлений. Как то же их от DDoS защищают. Не вижу какая разница вирусные базы или базы чистых файлов.
    Сколько легитимных программ в день выпускается совершенно не интересно. Вопрос сколько программами пользуется пользователями, и насколько они распространены. И речь не идёт обо всех файлах, а только об исполняемых. А уж если остановиться только на файлах прописывающихся в автозапуск, а это подавляющее большинство зловредов, то ситуация вообще простейшая.
    И потом, зачем махать руками в воздухе если есть факты. Факт что с базой поддерживаемой одним человеком и никакими расходами АВЗ знает сегодня уж точно более 70% распространённых файлов прописываемых в автозагрузку. Любая крупная АВ фирма может улучшить этот показатель на порядок с небольшими затратами. Да и для работы самой компании это большое подспорье. Не нужно десятки раз анализировать одни и те же чистые файлы, которые пользователи присылают как подозрительные. Так что частично это даже уменьшит нагрузку на аналитиков.
    Пару лет назад так же рассказывали сказки что контроль реестра не нужен, знание пакеров не нужно, и еще другие сказки, а сегодня это есть в большинстве антивирусов.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Geser Посмотреть сообщение
    Сколько легитимных программ в день выпускается совершенно не интересно.
    Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.

  13. #12
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Вот тут как раз это критично. Если бы база чистых применялась для анализа (как в AVZ - но важно, что AVZ проверяет только запущенное или прописанное в автозапуск, а не все ПК - иначе процент с 70-80 упал бы менее 5%), то процент опознания не очень важен. А вот если применять как замену сигнатурному поиску вирусов, то для защиты ПК нужно проверять, безопасен файл или нет. Если безопасен - разрешаем запуск, а если нет ?? Если задавать юзеру вопрос "а вы желаете запустить ..." - то он нажмет "да" и эффект от защиты упадет до нуля.
    Конечно не как замена, а только как дополнение.
    В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.
    В домашних можно обрезать права если файл не в базе чистых, или сначала проводить запуск в песочнице отслеживая подозрительные действия. Да много чего еще можно сделать

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    В корпоративных антивирусах вполне нормально запретить запуск всего что не находится в базе чистых.
    в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  15. #14
    Geser
    Guest
    Цитата Сообщение от Ego1st Посмотреть сообщение
    в корпоративных в первую очередь нельзя, там на столько экзотические программы могут запускаться.. что от него быстро откажуться..
    Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых. Или админам можно дать птаво вносить исключения.

  16. #15
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    6
    Вес репутации
    61
    имхо база чистых файлов не есть выход, т.к от версии к версии любого ПО будут меняться crc файлов и со временем такая база будет больше, чем база любых сигнатур. А сигнатуры... Возьмем простой пинч... Очень часто даже для обычного сокрытия данного троя от антивируса просто меняется пару байт... Делается или смещение или просто пару байт заменяется на другие... Ояень часто сигнатуры цепляются на текст... Я не говорю даже о упаковке данного файла или его шифровке. Имхо просто для подобных вирусов надо не сигнатуры.

    А вообще, есть весьма интересная утилита Safe Launch. Подобную функцию можно было бы внедрить и в антивирусы. Т.е если свежескачанный файл вызывает у человека подозрение, он его запускает с использованием данной функции и получает предупреждение о том, куда и как делает программа. Я думаю это бы снизило риск заражения новыми модификациями или вирусами при скачивании файлов

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    и по-моему надорвутся. Когда я купил мой первый виндоуз-ПК (95), попался мне в каком-то журнале один "антивирус" (имя не спрашивайте ). Эта программа делала при установке ни что иное, как запись в своем логе контольных сумм системных файлов. Если я устанавливал или удалял что-нибудь, поднимался писк типа файл изменен. Я выдержал 2 дня после чего направил этот юмор фтопку.
    хм... я не понмю что был за антивирь... но у него тоже была фишка слежения за контрольной суммой... приколы начинались когда после очередного обновления он понимал что у него у самого контрольная сумма изменилась...
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Geser Посмотреть сообщение
    Ну так пусть отправят свои экзотическиее программы АВ компании и они будут включены в базу чистых.
    Многие такие проги являются коммерческой тайной компаний и не подлежат экспорту вообще!

    Цитата Сообщение от Geser Посмотреть сообщение
    Или админам можно дать птаво вносить исключения.
    А это будет очень плохо- нагрузка на админов возрастает, и достаточно сильно. Да и децентрализация управления базой, в общем, тоже не есть хорошо...

    Цитата Сообщение от i_am Посмотреть сообщение
    А вообще, есть весьма интересная утилита Safe Launch.
    Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.
    http://www.softsphere.com - DefenseWall, DefencePlus

  20. #19
    Junior Member Репутация
    Регистрация
    30.07.2007
    Сообщений
    6
    Вес репутации
    61
    Примитивная поделка (судя по скриншотам и хелпу), похожая на мой DefenseWall, если она вообще существует- я скачать её не смог.
    У нас на сетевом ресурсе валяется. Могу выложить вам куда-нить. Руки не доходили нормально потестить ее еще.

    Но в принципе я ее привел к тому, что на мой взгляд в нынешней ситуации лучше не наращивать базы сигнатур, а больше делать упор на то, чтобы уменьшить риск заражения компьютера, дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д. Лучше предотвратить заражение, чем его потом лечить. И по поводу сетевой активности анализировать ее.

    Возьмем как пример, опять тот же пинч с типичным для него поведением сбора паролей, отсылкой данных через http или почту, установкой backdoor, и.т.д. Почему не сделать этакий модуль, которые на основании безопасного запуска и поведенческого анализа мог бы давать определенные рекомендации, и.т.д. Чем выше сознательность обычного юзера и инструментов в его руках, тем меньше зараженных компьютеров

    имхо

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от i_am Посмотреть сообщение
    дабы простой пользователь, скачав чтото из сети мог проверить данную программу на то, куда она лезет, что хочет, и.т.д
    Если бы простые пользователи проверяли и изучали то, что скачивают из Инет (и не качали бы сомнительные программы из сомнительных источников), то проблемы вирусни практически не было бы как таковой ...

Страница 1 из 2 12 Последняя

Похожие темы

  1. последствия борьбы с вирусами (заявка №16997)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 25.04.2010, 12:00
  2. Ученые предложили оригинальный метод для борьбы с руткитами
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 7
    Последнее сообщение: 30.09.2008, 21:08
  3. Удобная программка для борьбы с флэш-вирусами
    От opv88 в разделе Вредоносные программы
    Ответов: 65
    Последнее сообщение: 06.07.2008, 16:49
  4. Ответов: 0
    Последнее сообщение: 29.06.2006, 14:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01009 seconds with 19 queries