Лидеры форума

Ммм, сколько мнений... Можно я свое добавлю? 1) Эвристика - безсигнатурный детект малвары. На данный момент, это может быть (читай: я понимаю как работает) - а) Совсем дубовый детект по известным пакерам (авира, и все остальные), детект по заголовкам/характеристикам секций РЕ файла (панда, авира, нод, макафе, каспер, и все остальные). б) Статический детект по ошметкам кода (дрвеб, авира, вба32, каспер, и некоторые остальные). с) Статический детект с трассировкой codeflow (дрвеб, каспер, битдефендер,...). д) Динамическая трассировка на эмуляторе (нод, битдефендер, каспер, вба32). е) true generic - трассировка на эмуляторе + поведенческие эвристики (нод, каспер, битдефендер). Содержимое скобок я писал только тогда, когда был полностью уверен, так что можете дописывать (да и методы тоже можно дополнять) Итого: а,б,с,д - это в первую очередь сигнатурные методы, хотя и эвристические - они так или иначе базирутся на уже известных малварах. е - читстая эвристика, именно по этому она будет просасывать в detection-rate по сравнению с а,б,с,д. 2) PDM - ловит подозрительные действия. Например запись в авторан и раскладывание своих копий по шарам - это p2p.worm. PDM это поймает только после окончания критический действий - "раскладка по шарам + запись в авторан". Тут показывается красный алерт, и юзеру дается выбор (зря!). А дальше самое главное - грамотный откат малварных изменений. Вот по этому поводу жалоб на продукты LK не поступало - все откатывается великолепно =) Итого плюсы эвристики 1.е - гибкость и независимость от баз. Минусы - медленно работает. Плюсы PDM - работает моментально. Минусы - не все может (если кто-то меняет файл внутри виртуальной файловой системы эмулятора, то это однозначно файловый вирус, а если PDM это детектит, то это может быть и апдейтер винды, ставящий очередной сервиспак). 3) ХИПС - гибрид двух предыдущих техногий. Сначала приложение работает в виртулизированном пространстве. Если оно ничего критического не изменило за это время, оно отпускается в реальную систему, и отдается под контроль PDM. Про рейтинги спецально писать не буду. UPD:> Для любителей комментировать - не забывайте, что я дебил. Оранжевого телепузика на аваторке зовут "ПО". Ему так же как и мне все по....

Естественно этого :-)

Мне честно говоря не очень понятно, почему вы уперлись в McAfee ... Да, три года назад, так же как и сейчас их продукты технологически продвинуты. Мне кажется, это естественно для компании номер 2 (или уже теперь 3) в мире. EYE, я бы не стал так вот наставивать на заимствовании технологий. Это серьезные обвинения, которые должны подкрепляться не догадками, а фактами: была технология X у McAfee (ссылка на патент номер ... от .... года). Теперь мы видим ее в продукте Касперского версии ... от ... года. В противном случае это все разговоры в пользу бедных. Это рынок. Все друг у друга заимствуют передовые идеи и технологии, потому что все хотят денег. Нормальный цикл разработки любого продукта начинается с аналитики, нулевого цикла, т.е. с подробного изучения имеющихся на рынке решений. Результатом такой аналитики является список рекомендаций к новому продукту с расставленными приоритетами, который далее используется при составлении ТЗ. Еще лучше, если ключевые рекомендации проходят, например, через фокус-группы или другие варианты углубленного маркетингового анализа. Самые агрессивные компании при этом еще используют грязные методы типа промышленного шпионажа и и перекупки ключевых сотрудников. Рискну предположить, что компания пренебрегающая аналитикой нулевого цикла рано или поздно обречена. Можно как минимум пропустить важные тренды и упустить долю рынка. Показательный кейс здесь - ошибка Доктор Веб c серьезной задержкой выпуска сканера под Windows, но это уже offtpic.

вот это сильное замечание: эксперт не может соглашаться с производителем надо запомнить

Проблема уже решена.