-
Вообще меня давно интересует вопрос. Кто-то пытался хотя бы приблизительно прикинуть что лучше в плане быстродействия, совершенствовать эмулятор, что бы он распаковывал все паковщики, или писать отдельный распаковщик для каждого пакера, как это делают, к примеру, ЛК?
ИМНО, вообще логично было бы предположить,что создание более совершенного анализатора (эмулятора) в итоге станет очень весомым плюсом антивируса. Благодаря тому,что не надо будет ждать когда обновяться базы с наличием нового пакера,а сможет сразу определить (или хотя бы заподозрить) вирус. Есть сферы,где лучше перебдеть... Еще аргумент в пользу совершенствования эмулятора в том,что изменение hex editorom заголовка файла сжатого пакером,может привести к тому,что антивирь просто не будет его обрабатывать и пропустит Тесты на такую тему проводились,результат не радует...
А вот меня тоже интересует такой каверзный вопрос. Что мешает сделать супермега-анализатор кода, который бы детектил все виды вирусной активности (их ведь не так уж и много)? Это очень сложно (я, конечно, понимаю, что это непросто) или ресурсы будет жрать немеряно или разрабы денежек лишатся?
ИМНО,во-первых сложность написания такого эмулятора,а также алгоритма его работы. По сути,чем в дальше в разработку,тем больше анализатор(эмулятор) будет приближаться к искуственному интелекту по сложности и функциональности. Во вторых его ресурсоемкость, в третьих скорость(время обработки). Хотя второй и третий пункт в связи быстродейсвием нынешнего поколения ПК, отходит на второй план.
А денег разработчики явно не лишаться,а даже получат больше в разы.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
hranitel_y2k
ссылка на одну из мп3:
http://www.megaupload.com/?d=3KFLFLGG
Насчет опций - я пользуюсь оконной версией сканера(не консоль). поэтому с ключами как-то сложновато... Вообщем, настройки по максимуму
Поэксперементировав немного,заметил что данная вещь возникает,когда установлен флажок "избыточный режим" + "обрабатывать архивы". Уровень эвристики никак не влияет.
Действительно, так может быть. Сканер в избыточном режиме пытается обработать весь файл в поиске сигнатур - "за чтобы зацепиться".....
Вот и находит среди случайных данных, коей и является МР3, сигнатуры от архиватора, пытается в него зайти, а архив - некорректный...... Вот и ругается.... Такое в избыточном режиме возможно, и на данный момент допустимо.
-
-
Сообщение от
Dr.Xmas
о чём вообще-то вопрос? активность в операционной системе? анализ конкретного файла? внешние сетевые атаки?
про анализатор кода, про замену сигнатур элементами искусственного интеллекта (ну это очень сильно сказано)
Сообщение от
hranitel_y2k
Во вторых его ресурсоемкость, в третьих скорость(время обработки).
вот и хотелось бы узнать; не очевидно, что это будет очень тормозным хотя... например, ида может работать над файлом минутами, а может, и часами. Это, конечно, тянет на отдельное нехилое исследование... вдруг в вба что-то такое проводили?
-
-
Junior Member
- Вес репутации
- 68
POP3 фильтр и Outlook модуль
VBA32P beta 3.10.5
При отправке и получении почты c вирусом через Outlook 11(2003) при включеном POP3 фильтр(обезвреживать) вирус уходит и приходит...
Работает только Outlook модуль( работает правильно)...хотя в хелпе Vba32 POP3-фильтр обеспечивает защиту любых почтовых клиентов, принимающих сообщения по протоколу РОР3 (Outlook Express, The Bat!, MS Outlook и других).
Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???
-
Сообщение от
maXmo
про анализатор кода, про замену сигнатур элементами искусственного интеллекта (ну это очень сильно сказано)
Я говорил не о замене сигнатур,а о методах работы с ними. Ведь анализатор(эмулятор) это не только сигнатуры...
Но не будем флудить тему,здесь обсуждаеться конкретный антивирус и его бета тестирование. В любом другом месте, с удовольствием побеседую на данную тему.
Получаются непонятки( при умолчании Outlook модуль не ставится и можно подумать , что вирусы отлавливает POP3... и соответственно модуль продолжает работать при on-off POP3 ...может его вообще убрать???
Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).
-
-
Junior Member
- Вес репутации
- 68
Сообщение от
serge
, в Windows x64 эти архивы распаковать уже не получится (без эмулятора dos).
Насчет WinZip, методы bzip2 и deflate поддерживаются, PPMd пока нет. Вообще одним из достоинств zip-формата является тем, что это фактически стандарт, zip-архивы можно распаковать практически где угодно. Ребята из WinZip почему-то решили избавиться от этого достоинства и начинают что-то изобретать. Если так неймется, начали бы лучше разрабатывать новый формат архива.
Ну чтож ждем добавления PPMd...
А как кстати для Windows XP64 продукт будет?NOD уже сделал,Dr.Web тормозит ...и если кстати ключик покупать он с Windows XP64 будет работать или нужно покупать новый будет?
-
Junior Member
- Вес репутации
- 68
Сообщение от
hranitel_y2k
Этот Pop3 модуль и обеспечивает защиту ВСЕХ почтовых клиентов. Но если у пользователя есть Bat или Outlook, то можно посадить плагин под них(не сажая Pop3 модуль).
POP модуль у меня вообще ничего не защищает...только Outlook плагин работает...и ему наплевать включен модуль или нет...
-
Junior Member
- Вес репутации
- 68
Предложение
В качестве рекламы и спокойствия получателей писем неплохо-бы добавить опцию возможности подписывать письма(Вирусов нет. VBA32 база 130512 от 02,12,05)
-
Свежий ключик бетта тестера, где взять?
-
-
Кстати, предпологаются усовершенствования которые позволят удалять зверей типа Look2me?
-
-
Junior Member
- Вес репутации
- 68
VBA32 3.10.5
1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он запускается!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
Должна же быть проверка запускаемых файлов....
2/ В (типовой набор файлов) не входит .ini
А как mIRC вирусы будут ловиться?
-
Сообщение от
deity
1/ Если включить @ обрабатывать только новые файлы @ , то комп не тормозит-уже получается довольно приличная скорость работы,НО входим в папку с вирусом, делаем EXECUTE(запуск ) и он запускается!!!...монитор срабатывает только на MOVE(перемещение).
отключаем @ обрабатывать только новые файлы @, комп страшно тормозит, но при открытии папки с вирусом сразу его прехватывает.
Должна же быть проверка запускаемых файлов....
Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).
-
-
Junior Member
- Вес репутации
- 68
Сообщение от
pig
Когда открывается документ Word с макровирусом - это тоже запуск на выполнение...
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно. Или третий вариант - выстраивать свой аналог iChecker (а потом юзеры будут стучать разработчикам по голове из-за потоков NTFS, или хранимых где-то отдельно таблиц, или отжирания памяти под динамические таблицы).
Объяснение понятно...Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим), зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.))) и такого безобразия вроде бы нет и все перехватывается на лету.
-
Сообщение от
deity
Интересно , что у ПАУКА 4.33 тормозит только (расширенный режим),
Не только. Обычный неоптимальный "Запуск и открытие" ещё более тормозной, поскольку в нём проверка синхронная, а не отложенная, как при расширенной защите.
Сообщение от
deity
зато (проверять работающие программы и модули) работает шустро !!! ...(((При установленной галке проверяются все загруженные в память
программы и модули.
Проверка производится в фоновом режиме при изменении
конфигурации спайдера и/или обновлении вирусных баз.)))
Вот именно - это не так уж часто происходит. Кто специально следил - говорят, что притормаживает таки.
-
-
Junior Member
- Вес репутации
- 68
Сообщение от
pig
Вообще монитор файловой системы не может знать, с какой целью файл открывают в режиме READ - то ли иконку достать, то ли стартануть. Потому и отключается эта проверка только целиком. Так что либо быстро, но с дырой, либо тщательно, но медленно...
а ведь какие режимы могли бы быть
1.оптимальный ("Создание и запись")
2.максимальный("создание и запись"+"запуск и открытие")
3.пользовательский
-"Создание и запись"
-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла
-
Сообщение от
deity
-"Запуск" без открытия,т.е не проверять файлы в папке при ее открытии, а только срабатывать при запуске конкретного файла
Для макровируса в документе Word Запуск = Открытие (Word открывает документ и уже в нём начинает интерпретацию макросов). Да и вообще для всего, что не является COM/EXE.
-
-
notepad.exe и wscript.exe оба просто открывают .js, но дальше начинают вести себя по-разному
-
-
Junior Member
- Вес репутации
- 71
Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков
-
Сообщение от
nowhere
Сегодня снова обновление на 6 метров... Ждём коментариев разработчиков
выложена бета новой версии 3.11. новый скриптовый движок, новый формат баз, дэйли апдейта больше не будет: каждая база будет обновляться дельта-патчингом самостоятельно. завтра может будет более расширенный список изменений...
-
-
Junior Member
- Вес репутации
- 71
Ого, круто!
Жаль только трафика мало осталось, так что придётся всему этому великолепию малость обождать