Где можно найти информацию о сравнение эвристиков?Правда что у NOD32 самый лучший эвристик?
Printable View
Где можно найти информацию о сравнение эвристиков?Правда что у NOD32 самый лучший эвристик?
Чистого сравнения я никогда не видел, да оно и вряд-ли возможно. Косвенные тут пробегали. Эвристик у НОД хороший, правда не знаю сколько ложных срабатываний он даёт.
[quote=nnvv]Где можно найти информацию о сравнение эвристиков?Правда что у NOD32 самый лучший эвристик?[/quote]
а Вы с какого хакерского форума?
что-то мне Ваш IP знаком...
Эвристик у BitDefender хороший, это я по своему опыту знаю. Трудно создать полиморф который он не смог бы свернуть.
У каспера эвристиком даже и не пахнет, drweb очень любит детектить по строкам в файле и по импорту, а nod32 ругается на все нестандартное (врядли это можно назвать эвристикой).
Имхо лучший эвристик - у AVZ :P
Ну, самая сильная сторона AVZ это антируткит, но обойти его (универсальными методами которые будут работать на SDTRestore и других подобных прогах) не сильно сложно.
>Эвристик у BitDefender хороший, это я по своему опыту знаю. Трудно создать полиморф который он не смог бы свернуть
У него эмулятор хорош... тип норманского сандбокса... обходится одной строкой кода... причем этой строкой обходятся оба эмулятора и еще нод32 Ж)
ага, достаточно применить mmx команду обращающуюся к памяти.
он пока эмулить их не умеет.
зачем так сложно? Ж) Поверь - все намного элементарней Ж)
Почему тогда NOD32 так много наград завоевал у VirusBulletin?
Потому что он спонсор VB... Вот и подумай на чьи деньги тесты будут проводится если нод платить перестанет? Ж)
[QUOTE=Sanja]Потому что он спонсор VB... Вот и подумай на чьи деньги тесты будут проводится если нод платить перестанет? Ж)[/QUOTE]
Можно спросить по-другому - а будут ли вообще проводиться тестирования антивирусов?
[QUOTE=Sanja]зачем так сложно? Ж) Поверь - все намного элементарней Ж)[/QUOTE]
prefetchnta [esp]
Куда уж элементарней.
А независимые тестирования антивирусов провести могут разве что энтузиасты. А все официальные конторы занимающиеся этим обычно спонсируются производителями антивирусов и проводят тесты со стороны выгодной им.
[quote=Ms-Rem]prefetchnta [esp]
Куда уж элементарней.
А независимые тестирования антивирусов провести могут разве что энтузиасты. А все официальные конторы занимающиеся этим обычно спонсируются производителями антивирусов и проводят тесты со стороны выгодной им.[/quote]
Согласен, имхо любое крупное тестирование так или иначе кем-то спонсируется. Я вот как раз на днях хочу ITW тест провести, результаты как всегда буду публиковаться в тут. Но ITW тест тоже не показатель ...
И еще момент по поводу эвристики - есть тенденция развития зловредов в сторону троянов/Hoax, а трояны детектить эвристикой трудно. Например, как отличить Trojan-Downloader и утилиту обновления версий некоей программы, или где разница между некоторой сетевой утилитой и трояном. Эмулятор и сандбокс - это плюс, но они обходятся сверхпросто и не всегда могут помочь. Пример - мне не так давно прислали для анализа Hoax программку (она даже на троян не тянет), которая предлагает взломать чужой почтовый ящик. Пользователь должен ввести свой email, пароль для него и ломаемый email. При нажатии кнопки "ломать" введенные данные передаются создателю этого "чуда". Т.е. пользоваель сам вводит свои персональные данные в диалоговом режиме и сам-же жмет кнопку :) Поймать такую штуку Sandbox-ом нереально, кодоанализатор бесполезен - программа построена на Delphi и 99.9% ее кода - это VCL и прочая дребедень.
Могу в качестве материала для тестирования дать свой старый лоадер, которые уже давным давно всем палиться.
[quote]...Пользователь должен ввести свой email, пароль для него и ломаемый email. При нажатии кнопки "ломать" введенные данные передаются создателю этого "чуда".[/quote] а голову совсем в других заведениях лечат
[quote]Могу в качестве материала для тестирования дать свой старый лоадер[/quote] это че такое?
Недавно из ПДФа приватного вырезал.. по поводу Касп 2к6 Повеченческого аналайзера
[QUOTE=Sanja]Недавно из ПДФа приватного вырезал.. по поводу Касп 2к6 Повеченческого аналайзера[/QUOTE]
из 20-ки 10 Mytob, 3 NetSky, по 2 Zafi и LovGate.
все вошедшие в список вирусы имеют по нескольку десятков разновидностей и уже набили аналитикам аскомину, так что настроить на них эвристику это не большая проблема. показали бы они замыкующую 20-ку, которая детектируется так же хорошо - это было бы более убедительно.
+ sober, bagle
Это не эвристика.. (базы не используются) эт Behaivor Monitoring & Blocking.. HIPS кароче ака PDM ака Kaspersky Proactive Defense Module(Monitor?)
[url]ftp://kav2006:[email protected]/Docs/[/url]
[QUOTE=Sanja]
Это не эвристика.. (базы не используются) эт Behaivor Monitoring & Blocking.. HIPS кароче ака PDM ака Kaspersky Proactive Defense Module[/QUOTE]
а какого черта оно делает в теме "Эвристика" :?