Printable View
Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?
[QUOTE=Geser]
Кстати, если у Вас уже всётавно есть эмулятор процессора. Можно анализировать файлы на предмет создания ключей в реестре, записи файлов на диск и т.д. и выдавать предупреждения если программа пытается писать в системные директории или создавать "опасные" ключи реестра?
[/QUOTE]
Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься :)
[QUOTE=serge]
Это называется "динамический анализ", т.е. по результату выполненных на эмуляторе действий принимается решение похож/не похож на вредоносную программу. Он у нас уже достаточно давно используется в эвристике. Однако он имеет и свои недостатки, полностью проэмулировать анализируемую программу достаточно большого размера очень тяжело и заняло бы достаточно много времени (антивирус стал бы страшным тормозом). Эмулятор не является универсальным средством от всех бед и его использование приходится комбинировать с другими методами для получения оптимальных результатов. Чем и пытаемся заниматься :)
[/QUOTE]
А если сделать опцию глубокого анализа для отдельных файлов? Типа, скачал человек что-то подозрутельное, и хочется ему проверить не троян ли это. Тут время анализа не имеет значения (ну если оно не больше 2-3 минут).
Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation.. aka Sandbox emulation aka Norman sandbox, BitDefender Hive
на создание такой штуки нужно не мение 2 лет разработки:(
Что-то не то с адресом?
====================================
ВНИМАНИЕ: сообщение на адрес '[email protected]' не доставлено
SMTP module(domain @195.209.41.194:anti-virus.by) reports:
host mx.anti-virus.by says:
550 Requested action not taken: mailbox unavailable or not local
====================================
[QUOTE=HEKTO]
Что-то не то с адресом?
====================================
ВНИМАНИЕ: сообщение на адрес '[email protected]' не доставлено
SMTP module(domain @195.209.41.194:anti-virus.by) reports:
host mx.anti-virus.by says:
550 Requested action not taken: mailbox unavailable or not local
====================================
[/QUOTE]
Прошу прощения, правильный адрес [email][email protected][/email]
[QUOTE=Sanja]
Это уже будет не Code Analayzer и не Code Emulatorв понимании этого слова а OS emulation..[/QUOTE]
В той мере, насколько это необходимо для антивирусного движка, OS emulation, я думаю, есть у всех. И у нас в том числе :)
[quote] aka Sandbox emulation aka Norman sandbox, BitDefender Hive
на создание такой штуки нужно не мение 2 лет разработки:(
[/quote]
Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть :) Вот что мне нравится у западных компаний (в хорошем смысле), так это то, что они умеют придумывать красивые названия технологиям. Не то что у нас - просто эвристика, или просто кэш результатов проверки. ::)
[QUOTE=serge]
Так мы тоже уже не первый год работаем, и свои достаточно интересные наработки тоже есть :) [/QUOTE]
наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться? :P
[QUOTE=Geser]
наработки это хорошо, но когда будет кнопочка что бы этими наработками пользоваться? :P
[/QUOTE]
Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов :)
Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.
[QUOTE=serge]
Технологии, используемые в антивирусном движке, обычно не так легко заметить. Снаружи видно только время, затраченное на проверку, требования по использованию ресурсов и количество найденных вирусов/троянов :)
Кстати кнопочка, точнее дополнительная настройка уровня эвристики, уже добавлена в последней бете. Примерно в таком виде эвристика и будет работать в официальном релизе 3.10.4.
[/QUOTE]
Да нет, я не об этом. Я о том, что хотелось бы иметь нечто вроде Norman sandbox, с тщательным анализом файла.
Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware ;) :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...
[QUOTE=mihail]
Неужели никто из тестеров кроме меня не пользуется бесплатной Ad-aware ;) :-[? На максимальном и избыточном подозревает вирус в ad-aware.exe ver.1.05, разработчикам отправлял...
[/QUOTE]
всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра
[QUOTE=Dr]
всё получили, спасибо, просто сейчас идёт перестроение всей базы, изменения будут завтра-послезавтра
[/QUOTE]
Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты в пути исключений прописывать.
[QUOTE=Minos]
Раз перестраиваете базу, может вынести risk-ware в отдельный определяемый класс и задавать реакцию на них отдельно, а то достает все нужные утилиты в пути исключений прописывать.
[/QUOTE]
сейчас базу перестраиваем по эвристике, это перестроение рисквари не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность
[QUOTE=Dr]
сейчас базу перестраиваем по эвристике, это перестроение рисквари не затронет, а вот когда через примерно через месяц перевыпустим ВСЕ базы, оттуда выбросим все полезные "рисквари"-утилиты. лучше сейчас нам давать названия таким утилит, или присылать, если есть такая возможность
[/QUOTE]
Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.
Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
- Remote Administrator 2.1 (и последующие)
- 3proxy
- srvany (из Resource Kit NT 4 и выше)
- kill.exe (из Resource Kit NT 4 и выше)
Кстати говоря, опубликуйте, плиз - где в России можно купить вашу программу. Народ интересуется понемногу.
[QUOTE=Alexey]
Правильнее, видимо, сделать, как планируется у дрвеба в 4.33 - отдельную опциональную базу по riskware, отдельную настраиваемую реакцию на riskrware, adware. И извещения разные, чтоб даже чайнику было ясно.
Из полезных, срабатывание на которые нужно вынести в отдельную базу либо убрать:
- Remote Administrator 2.1 (и последующие)
- 3proxy
- srvany (из Resource Kit NT 4 и выше)
- kill.exe (из Resource Kit NT 4 и выше)
Кстати говоря, опубликуйте, плиз - где в России можно купить вашу программу. Народ интересуется понемногу.
[/QUOTE]
[url]http://www.virusblokada.ru/[/url]
За ссылку спасибо. Есть небольшие непонятки, думаю, это всем будет интересно знать:
- почтовым/банковским переводом (из сберкассы) домашнему пользователю оплатить можно ? Данные для заполнения квитанции где можно увидеть ?
- для почтовых серверов - 10 лицензий - что включает ? 10 адресов, 10 ящиков ?
- где файловые сервера под линукс (samba) ?
- где решение для интернет - шлюза (squid). Вроде было же.
И еще, куда относятся домашние сети из, скажем, 20 компьютеров - чтобы для них можно было купить лицензию на почтовый сервер (~50 почтовых ящиков, linux, exim), файлопомойку (linux, samba 3.0.11). Что для них есть, учитывая, что с деньгами у них не очень жирно. В смысле, скидываются на такие вещи. Ну, или воруют, т.к. проверять особо некому :).
Вот что наблюдал сегодня на Jotti
File: DragonBot v11.zip
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Unknown.Win32Virus (probable variant)
Интересно, оправдана ли реакция эвристика.
Файл выслал на [email][email protected][/email]
В данном случае это скорее плюс, чем минус.
На фоне ложных срабатываний было много корректно распознанных экземпляров ;)
[QUOTE=jackie]
Вот что наблюдал сегодня на Jotti
File: DragonBot v11.zip
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
MD5 860488f9b4550e1750a4534bcdb5660d
Packers detected: -
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Unknown.Win32Virus (probable variant)
Интересно, оправдана ли реакция эвристика.
Файл выслал на [email][email protected][/email]
[/QUOTE]
отвечу здесь, раз вопрос был задан. для простоты разделим эвристику на две части: реализованная на базе групп (семейств) вирусов и встроенная в код. первая выдаёт сообщения типа "похож на Worm.Bagle.2", а вторая несколько стандартных, в том числе "Unknown.Win32Virus". это значит, что в проверенной программе используются вирусные приёмы и трюки. также это может относиться к некоторым упаковщикам, которые "наворочены" в плане защиты. такое сообщение может означать примерно "уважаемый пользователь, обрати внимание на такую программу. если есть возможность, замени её каким-либо аналогом, в котором такие вирусные трюки не используются"