Приведенные примеры нельзя назвать даже фолсом.
Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей.
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что конкретно не доходит? Что вы передергиваете?Сообщение от p2u
Смысл слова "передергивать" вы знаете. Остальное не столь важно.Скорее у меня что-то либо с русским языком, либо с логикой.
Добавлено через 3 минуты
Если проблема не всплывет ни на этапе инсталляции, ни на этапе сканирования системы ДО заражения, можно смело утверждать, что эта проблема не проявится в условиях заражения.
Добавлено через 10 минут
Между прочим, страдают паранойей не только антивирусы, которые приведены в качестве примера. Кроме того, это только вы знаете, что файл безвреден.
Опять же - это только вы об этом знаете.
Добавлено через 2 минуты
Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
Последний раз редактировалось borka; 03.11.2008 в 18:29. Причина: Добавлено
---
С уважением,
Borka.
Пример с файлом, имеющим подозрительное имя как раз некорректнен - в системе такого нет, имя похоже на системное и т.п. - за такое можно поругаться. Но приведенный мной пример не такой - обычный EXE, импортирующий вполне легальные функции (документированные замечу) вполне стандартным образом, и к тому-же никак их не вызывающий ! И это пример 2, пример 1 воообще ничего не импортирует - просто у него в теле есть имена функций, которые он выводит на экран. И я видел сотни "детектов" разных безобидных утилит и программ только за то, что они статически импортят пару функций, содержат на свою беду неподходящие слова в константах или сжаты подозрительным пакером. С пакером то еще все более или менее ясно, но почему банальный импорт 1-2 функций приводит к детекту ? Вот в чем вопрос (причем эти импортированные функции никак не вызываются, а первый демо-пример то собственно ничего кроме вывода шуточных сообщений на консоль не делает ...).Приведенные примеры нельзя назвать даже фолсом.
Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей.
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?
Добавлено через 8 минут
1. Не только я - антивирус по хорошему должен изучить поведение зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик1. Опять же - это только вы об этом знаете.
2.
3. Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.
2. Именно так. И это общая тенденция, так как
2.1 у разработчика может стоять мега база, пополняемая постоянно зверями и чистыми. В результатет ее размер будет огромен, скажем десятки/сотни ГБ, поместить такую в антивирус нереально, равно как обновлять. Но ничто не мешает скажем антивусу собрать MD5 хеши неопознанного ПО и запросить такую мегабазу, запомнив ответ. Минус ясен - нужен Инет. Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
2.2 Встретив нечто с опасным поведением антивирус может не гадать, что делать - а запросить центр. Там будет накапливаться статистика таких запроросов, что позволит аналитикам в первую очередь пополнять базу тем, что вызывает наибольшие проблемы.
Причем время между запросом и ответом небольшое, скажем
максимум 1-2 секунды, поэтому часами ждать не придется
3. Он есть такой в AVZ, есть он в KIS (последний заметив запуск EXE с явно корявыми атрибутами и подозрительным именем может выдать алерт, типа вот дескать такое вот чудо-юдо стартует, запустить или как ?), но KIS в основном смотрит на объективные данные (предполагаетмое поведение и т.п.), а не на внешние признаки
Последний раз редактировалось Зайцев Олег; 03.11.2008 в 20:38. Причина: Добавлено
Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура!
Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах.
ps Я не профессионал (прошу сильно не пинать меня), можно сказать - делитант. Поэтому хочу услышать авторитетного мнения. Спасибо!
Не совсем понял эту мысль.И что? Если это пустышка, так надо или не надо антивирусу реагировать? Может он или он должен? Я буду читать на экране безобидные, но совершенно лишние преведы от медведа или нет?Ясно. Тогда антивирь вообще не нужен никакой. На чистую систему ставится тупой блокиратор, который ждет ответа от мега-базы до принятия решения.
Говорить так уже глобально "делать ставку" наверное не стоит (от сигнатруного детекта например отказаться невозможно из-за однозначности вердикта), но технологии эвристического детектирования, оценки опасности и т.п. будут активно развиваться и совершенствоваться. В остальном тенденция идет к многоконтурной защите, т.е. не ставке на что-то одно в ущерб всему остальному, а именно на "контурах", каждый из которых подстраховывает и дополняет остальные. Это важно, так как этом никакие правила и никакой суперэвристик не даст 100% детекта, но довольно большую категорию заразы он перекроет (те самые 70%), что уже весьма хорошо. Прибавим к этому сигнатурный сканер, HIPS, PDM, Firewall - каждый компонент дает шанс на то, что он задавит что-то, пропущенное другим компонентом.Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура!
Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах.
ps Я не профессионал (прошу сильно не пинать меня
Добавлено через 8 минут
1.1 Если речь идет чисто о сканере, типа Virustotal (он не знает, что за файл, как называется, откуда взят ..), то у сканера на него реакции быть не должно. Взять мои семплы ("ужасные вирусы"
1.2 Если речь идет о запуске реального EXE в реальной системе, то в принципе его можно обругать на "нехорошие" атрибуты, в особенности если стартует он скажем из корня диска или из системной папки под псевдосистемным именем. Но обругать не как злобный вирус или троян такой-то там, а именно как подозрительную программу ... Но и тут клеймить нещастную программу за пару констант в теле или за "нехороший" импорт совершенно недопустимо (взять например AVZ - когда его детектили несколько антивирусов эвристикой, детектили его именно за константы в теле, в частности за ключи реестра анализатора автозапуска).
2. Это конечно крайность, но в принципе да - если есть чистая система и некий анализатор, который при старте проверяет ЭЦП + при отсутствии таковой обращается к мега-базе частых/грязных, то все подписанное известными и довренными производителями софта будет пропущено, все злобное - убито. Остальное попадет аналитикам (как статистика того, что не опазналось, и юзер алерт - типа доверить или нет). Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо
Последний раз редактировалось Зайцев Олег; 03.11.2008 в 21:42. Причина: Добавлено
Вообще то, я имел ввиду несколько не это. Черно-белые списки - это же стопроцентная гарантия или нет? Все "если" вообще станут не нужны, они будут использоваться лишь пока не закончится переходный период к созданию мега-баз. Запускается то, что по аналогии с виндой называется последняя удачная конфигурация или чистый образ. Остальное у клиента вообще не анализируется и не запускается до получения ответа из мега-базы. Если клиент что-либо хочет запустить, он знает, что должен быть в сети, и на отклик потребуется некоторое время. И в этом случае владелец мега-базы может даже продать клиенту гарантию на свои услуги. По другому я не вижу смысла "вбухивания миллионов в дата-центры" как еще один слой.Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо
Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п.
В локальной сети проще - набор софта вполне конкретный, и в плюс к мегабазе глобальной админ в теории модет вести базу хешей файлов, которым по его мнению можно доверять (тот самый спец софт, самописные тулзы и т.п.). Т.е. все, что вне списка юзер запустить не сможет, и если сильно хочется - то ему придется идти сначала за пивом, потом к админам
Принцип "мегабазы" (кавычки опять же как не случайны
Олег, я такого подхода не понимаю. Или делать, или нет. Скооперируйтесть, чтобы работало как DNS. А то пролучится, что у Вас в базе то, что и без всяких запросов к базам общеизвестно и разрешено. Думаю, клиенты будут.Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п.
И еще. Вы сейчас сами критикуете идею, о которой выше сказалиПохоже, не все так однозначно. Да и конкуренты не спят. Средства есть, а вкладывать их или нет - вопрос. Не вложить сейчас - упустить момент. А вложить, так отдача не очевидна.Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
Но! Я хоть и вступил в обсуждение, считаю идею дата-центров вредной. Нет такой коммерческой компании и тем более государственной, которой я как частное лицо доверю явно рыться на своем винте при любом раскладе.
А корпоративные базы и политики другое дело. Не интересно. Спасибо.
Важно понять, что многие проблемы нерешаемы глобально. Предположим, все скооперировались, все сделали ... но сидит программист, и правит баги в своей программе. Каждое нажатие кнопочки "компилировать" дает новое приложение с новым хешем - и каким образом это отследить и описать базой легитимного ПО (у программиста стоит такая система контроля по мегабазе и он не запустит ни одну из своих программ)? Т.е. получаем умножение количества нажатий кнопки "компилировать" на количество программистов, полученную цифру множим на количество того, что они могут компилировать
1. Сделать мегабазу, но не глобальную, а скажем охватывающую 80-90% всего распространенного ПК. Это огромное подспорье антивирусу и любой системе безопасности. И это базу вести по мере возможности, понимая, что 100% всех существующих программ туда не загнать
2. Почти все крупные производители софта подписывают свои программы - следовательно, вместо базы хешей самих файлов можно создать базу вендоров, подписи которых мы доверяем. Это с одной стороны хуже (например, затесался в ряды фирмы X инсайдер, внедрил троянский код в компоненты X, а компания ее подписала и выкинула в Инет), но зато компактнее на много порядков и решает проблему, как узнавать каждый вариант софта компании X.
3. Подбивая статистику по запросам юзеров можно пополнять мегабазу п.п.1, внося в нее то, что чаще всего встречается на ПК юзеров ...
Олег, то, о чем Вы написали, лишь подтверждает, что кроме моего недоверия к самой идее баз, может быть и недоверие меньшего масштаба - недоверие к базе. Слишком много условностей. По-этому, думаю, что о пользе этого базового защитного слоя высказываются лишь те, кому нечего добавить в других слоях.
Доверять или не доверять базам - это уже личное дело, деваться то некуда - базы есть и будут, без них никак - ибо любая эвристика, нечеткая логика и т.п. не могут без них. Пример - дебаггер. Если формально на него посмотреть, то что это ? Это какая-то программа, которая вмешивается в работу других программ, читает/пишет их память, модифицирует машинный код и т.п. - чем не злобный вирус ? Или взять например тулбар - в чем разница между тулбаром, который содержит удобные фичи для поиска и тулбаром, который требует энную сумму за разблокировку выхода в Инет или крутит баннеры ?! С технической точки зрения разницы то по сути никакой ... и только база, содержащая экспертную оценку конкретного объекта помогает расставить все точки над i. Еще пример - руткит, защищающий файлы зловреда, и скажем Acronis True Image 11, защищающий папку со своими резервными копиями. С технической точки зрения разницы между Acronis и руткитом нет - оба делают одно и тоже, только руткит из злобных побуждений, а Acronis - из благих. И таких примеров можно приводить сотни, когда формально нет разницы между зловредом и полезной программой нет ...
Линейкой измеряли?Что можно пожелать ЛК, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...?
Как ваш пост относится к теме?Несколько лет назад...
Выделено мну. Ну если не угублялись, то к чему столько страниц?Я в тестах anti-malware и других по поиску и лечению/удалению зловредов никогда особо не углублялся. Я больше интересуюсь файрволами.
Всем остальным следовало лечить буткит и русток, а не пеарится..всем остальным следовало бы молчать и ахнуть от восхищения.
Олег, снова меняемся местами?
Новый стопроцентнонадежный слой, требующий к тому же миллионых затрат, имеет смысл быть только, если это обеспечит переход на новый революционный уровень защиты от сервиса приложения усилий к сервису с гарантией.
А если при этом опять вспоминать про отсутствие стопроцентной защиты, то отношение к этой и подобным ей инициативам у меня лишь такое, как к очередной рекламной акции по промыванию мозгов.
Доступно это в корпоративной среде - хорошо, кто спорит. Не доступно глобально - разницы в принципе нет. Оптимизации, ускорения, улучшения и т.д. - все это полезно и хорошо. Но это не есть революция или, кому больше нравится, глобальный переворот. 52, 68, 70, 97, 98, 99, 99.9999 < 100. А в реальной жизни и этих тестовых показателей еще надо очень постараться достичь. Желаю антивирусных успехов.
Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом?
Собственно файлы заражал только русток.Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом?
От остальных надо было зачищать систему. См. эксельку к тесту - там все написано.
Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.
ИМХО, только за счет неслабого снижения скорости работы.
Тогда в перспективе антивирус не потребуется.
---
С уважением,
Borka.
Эмулятор дейстивтельно требует времени, но в ответ он дает качество. Если скажем проверять с эмуляцией не все подряд, а только запускаемые файлы и только один раз (кешируя р-ты проверки), то потери быстродействия не будет.Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.
ИМХО, только за счет неслабого снижения скорости работы.
Тогда в перспективе антивирус не потребуется.
Я с мегабазами да, согласен - это уже не столько антивирус выходит, сколько распределенная система типа свой/чужой
Эвристика уже находится на максимуме своих возможностей?
Может разработчикам антивирусной защиты пора уже переквалифицироваться - одним садиться за создание черно-белых датацентров, а другим - за повышение надежности программ теневого копирования?
Какая разница, сколько новых вирей появляется, миллион или миллиард, если они все, а не пятнадцать избранных, гарантировано лечатся одним единственным откатом. Если создатели программ теневого копирования возьмутся за активное перевоспитание домохозяек, еще не известно, чья возьмет.
- Лечатся ли откатом сворованные пароли?
- Лечатся ли откатом переведенные с банковского счета деньги?
- Лечатся ли откатом сворованные документы?
Все это не лечится ни откатом, ни "лечением активного заражения", увы. Поэтому не надо переводить разговор в неконструктивное русло. Область применения антивируса ограниченна, но отнюдь не стремится к нулю, как Вы это решили представить публике. А область действия бекапа отнюдь не бесконечна.
Последний раз редактировалось DVi; 09.11.2008 в 19:30.
Ваши права в разделе
