Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE]Вообще меня давно интересует вопрос. Кто-то пытался хотя бы приблизительно прикинуть что лучше в плане быстродействия, совершенствовать эмулятор, что бы он распаковывал все паковщики, или писать отдельный распаковщик для каждого пакера, как это делают, к примеру, ЛК?[/QUOTE]

ИМНО, вообще логично было бы предположить,что создание более совершенного анализатора (эмулятора) в итоге станет очень весомым плюсом антивируса. Благодаря тому,что не надо будет ждать когда обновяться базы с наличием нового пакера,а сможет сразу определить (или хотя бы заподозрить) вирус. Есть сферы,где лучше перебдеть... Еще аргумент в пользу совершенствования эмулятора в том,что изменение hex editorom заголовка файла сжатого пакером,может привести к тому,что антивирь просто не будет его обрабатывать и пропустит :( Тесты на такую тему проводились,результат не радует...

[QUOTE]А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?[/QUOTE]

ИМНО,во-первых сложность написания такого эмулятора,а также алгоритма его работы. По сути,чем в дальше в разработку,тем больше анализатор(эмулятор) будет приближаться к искуственному интелекту по сложности и функциональности. Во вторых его ресурсоемкость, в третьих скорость(время обработки). Хотя второй и третий пункт в связи быстродейсвием нынешнего поколения ПК, отходит на второй план.
А денег разработчики явно не лишаться,а даже получат больше в разы.

[QUOTE=hranitel_y2k]ссылка на одну из мп3: [url]http://www.megaupload.com/?d=3KFLFLGG[/url]
Насчет опций - я пользуюсь оконной версией сканера(не консоль). поэтому с ключами как-то сложновато... Вообщем, настройки по максимуму:) Поэксперементировав немного,заметил что данная вещь возникает,когда установлен флажок "избыточный режим" + "обрабатывать архивы". Уровень эвристики никак не влияет.[/QUOTE]

Действительно, так может быть. Сканер в избыточном режиме пытается обработать весь файл в поиске сигнатур - "за чтобы зацепиться".....
Вот и находит среди случайных данных, коей и является МР3, сигнатуры от архиватора, пытается в него зайти, а архив - некорректный...... Вот и ругается.... Такое в избыточном режиме возможно, и на данный момент допустимо.

[QUOTE=Dr.Xmas]о чём вообще-то вопрос? активность в операционной системе? анализ конкретного файла? внешние сетевые атаки?[/QUOTE]про анализатор кода, про замену сигнатур элементами искусственного интеллекта :) (ну это очень сильно сказано)
[QUOTE=hranitel_y2k]Во вторых его ресурсоемкость, в третьих скорость(время обработки).[/QUOTE]вот и хотелось бы узнать; не очевидно, что это будет очень тормозным :) хотя... например, ида может работать над файлом минутами, а может, и часами. Это, конечно, тянет на отдельное нехилое исследование... вдруг в вба что-то такое проводили?

VBA32P beta 3.10.5
При отправке и получении почты c вирусом через Outlook 11(2003) при включеном POP3 фильтр(обезвреживать) вирус уходит и приходит...
Работает только Outlook модуль( работает правильно)...хотя в хелпе [COLOR=darkolivegreen][B]Vba32 POP3-фильтр[/B] обеспечивает защиту любых почтовых клиентов, принимающих сообщения по протоколу РОР3 (Outlook Express, The Bat!, MS Outlook и других).[/COLOR]
[COLOR=black]Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???[/COLOR]

[quote=maXmo]про анализатор кода, про замену сигнатур элементами искусственного интеллекта (ну это очень сильно сказано)[/quote]
Я говорил не о замене сигнатур,а о методах работы с ними. Ведь анализатор(эмулятор) это не только сигнатуры...
Но не будем флудить тему,здесь обсуждаеться конкретный антивирус и его бета тестирование. В любом другом месте, с удовольствием побеседую на данную тему.

[QUOTE]Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???[/QUOTE]

Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).

[quote=serge], в Windows x64 эти архивы распаковать уже не получится (без эмулятора dos).

Насчет WinZip, методы bzip2 и deflate поддерживаются, PPMd пока нет. Вообще одним из достоинств zip-формата является тем, что это фактически стандарт, zip-архивы можно распаковать практически где угодно. Ребята из WinZip почему-то решили избавиться от этого достоинства и начинают что-то изобретать. Если так неймется, начали бы лучше разрабатывать новый формат архива.[/quote]
Ну чтож ждем добавления PPMd...
А как кстати для Windows XP64 продукт будет?NOD уже сделал,Dr.Web тормозит ...и если кстати ключик покупать он с Windows XP64 будет работать или нужно покупать новый будет?

[quote=hranitel_y2k]
Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).[/quote]
POP модуль у меня вообще ничего не защищает...только Outlook плагин работает...и ему наплевать включен модуль или нет...

В качестве рекламы и спокойствия получателей писем неплохо-бы добавить опцию возможности подписывать письма(Вирусов нет. VBA32 база 130512 от 02,12,05)

Собственно Subj.

Кстати, предпологаются усовершенствования которые позволят удалять зверей типа Look2me?

1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он [COLOR=red]запускается[/COLOR]!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
[COLOR=blue]Должна же быть проверка запускаемых файлов[/COLOR]....
2/ В (типовой набор файлов) не входит .ini
А как [B]mIRC[/B] вирусы будут ловиться?

[QUOTE=deity]1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он [COLOR=red]запускается[/COLOR]!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
[COLOR=blue]Должна же быть проверка запускаемых файлов[/COLOR]....
[/QUOTE]
Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).

[quote=pig]Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).[/quote]
Объяснение понятно...Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим), зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.))) и такого безобразия вроде бы нет и все перехватывается на лету.

[QUOTE=deity]Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим),[/QUOTE]
Не только. Обычный неоптимальный "Запуск и открытие" ещё более тормозной, поскольку в нём проверка синхронная, а не отложенная, как при расширенной защите.

[QUOTE=deity]зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.)))[/QUOTE]
Вот именно - это не так уж часто происходит. Кто специально следил - говорят, что притормаживает таки.

[quote=pig]Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно...[/quote]
а ведь какие режимы могли бы быть:'-(
1.оптимальный ("Создание и запись")
2.максимальный("создание и запись"+"запуск и открытие")
3.пользовательский
-"Создание и запись"
-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла

[QUOTE=deity]-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла[/QUOTE]
Для макровируса в документе Word Запуск = Открытие (Word открывает документ и уже в нём начинает интерпретацию макросов). Да и вообще для всего, что не является COM/EXE.

notepad.exe и wscript.exe оба просто открывают .js, но дальше начинают вести себя по-разному :)

Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков :)

[QUOTE=nowhere]Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков :)[/QUOTE]
выложена бета новой версии 3.11. новый скриптовый движок, новый формат баз, дэйли апдейта больше не будет: каждая база будет обновляться дельта-патчингом самостоятельно. завтра может будет более расширенный список изменений...

Ого, круто!
Жаль только трафика мало осталось, так что придётся всему этому великолепию малость обождать :)