Непонятный origin

[Valery Ledovskoy 1082]

ХМ

A., что именно непонятно? Насколько я знаю, origin базируется в том числе на имеющихся в базе сигнатурах, для которых разрешено использование origin-детекта. И 29.11 соответсвующей сигнатуры в базе ещё не было.

[A. 875]

потому и смутило, что просто Downloader.origin, без уточнения семейства.

ну так же как и у Макафи там появился .gen.a - как будто это самый первый такой. ощущение будто у всех (двух) резко появился суперэвристик на доунлоадеры, одновременно.

[A. 875]

A.

Нет они может просто обновили Gentertic детект на детектирование этого малвара? как думаете?

по-моему это очевидно.

не очевидно только одно - является ли такое детектирование эвристическим - ведь на момент появления малвары она не детектилась - где гарантия что новые варианты будут детектироваться ? конечно ее нет и быть не может, но тогда это просто exact-детекшн.

я сам не очень понял что хотел сказать, просто мысли вслух - не обращайте внимания

[Valery Ledovskoy 1082]

потому и смутило, что просто Downloader.origin, без уточнения семейства.

Ах, это?

Видимо, origin-процедуры имеют общий код для всех даунлоадеров.

А разделить их по семействам можно только с помощью чётких (классических) сигнатур.

Но наверняка сказать не могу.

Добавлено спустя 7 минут 48 секунд:

не очевидно только одно - является ли такое детектирование эвристическим

origin-детект и не является эвристическим в классическом понимании нашего эвристика. Но это всё же часть проактивных технологий в общем смысле - т.е. детект вирусов на основе несигнатурных технологий.

Кроме того, известно, что в Dr.Web движок и базы - неделимое целое, таким образом в обновлениях вирсной базы могут докручиваться как классический эвристик, так и origin-процедуры. Теоретически могут в базах и разбор упаковщиков добавляться, но этого этого не делают, т.к. разбор упаковщиков нужно тестировать более тщательно, чем сигнатуры.

[A. 875]

origin-детект и не является эвристическим в классическом понимании нашего эвристика. Но это всё же часть проактивных технологий в общем смысле - т.е. детект вирусов на основе несигнатурных технологий.

Ой, Валерий, мы сейчас с вами окончательно запутаемся и запутаем друг друга и всех остальных, потому что выше вы пишете - "Насколько я знаю, origin базируется в том числе на имеющихся в базе сигнатурах".

[Valery Ledovskoy 1082]

Ой, Валерий, мы сейчас с вами окончательно запутаемся и запутаем друг друга и всех остальных

Возможно, запутаем, а возможно, сформулируем правильно вопрос, который можно будет задать разработчикам.

Насколько мне рассказывали разработчики движка, origin - это промежуточная технология между сигнатурами и эвристиком. Она пользуется для своей работы сигнатурами, находящимися в базе, но использует несигнатурные методы для детекта неизвестных вирусов, которые определённым образом "похожи" на те сэмплы, которые определены "жёсткими" сигнатурами.

[Олег Гудилин 95]

Ой, Валерий, мы сейчас с вами окончательно запутаемся и запутаем друг друга и всех остальных

Возможно, запутаем, а возможно, сформулируем правильно вопрос, который можно будет задать разработчикам.

Насколько мне рассказывали разработчики движка, origin - это промежуточная технология между сигнатурами и эвристиком. Она пользуется для своей работы сигнатурами, находящимися в базе, но использует несигнатурные методы для детекта неизвестных вирусов, которые определённым образом "похожи" на те сэмплы, которые определены "жёсткими" сигнатурами.

Valery Ledovskoy, возможно вашим разработчикам стоит более подробно и четко рассказать о сути технологии origin вашим сейлам и маркетологам.

Поясню свою мысль. Был я тут недавно на семинаре по антивирусному ПО для продавцов 1С. Рассказывали там про свои продукты представители Доктор Веба, Касперского и других. И сидел там в зале с ноутбуком свет очей Дмитрий Попович - бывший директор российского Есета, якобы советник президента Есета по развивающимся рынкам и идейный вождь российского представительства компании Битдефендер в России.

Так вот этот чудный человек во время доклада представителя Доктора Веба - начал кричать из зала: "а что это за технология такая origin? Вы говорите это и не эвристик и не сигнатура, а что это такое тогда? Нет ничего третьего быть не может! Вы какую-то ерунду говорите сейчас. Это невесть что у вас, а не технология. Вы даже толком про нее ничего сказать не можете"

Надо отдать должное вашему лектору, Валера, он спокойно все это снес, но объяснить все же толком как работает origin не смог.

Я в этот момент испытал неожиданное чувство сопереживания вашему докладчику и у меня возникло непреодолимое желание стукнуть Дмитрия Поповича чем-нибудь тяжелым. Тем более, что в зале зашушукались про Поповича: это наверное из Каспеского мужик, Касперские Доктора не любят.

Остановили это вакханалию только организаторы семинара, тихо попросив Дмитрия прекратить дискуссию.

К чему я это все - написали бы вы чтоли внятный вайтпапер по origin, чтобы не было больше такого.

[Valery Ledovskoy 1082]

Олег Гудилин, спасибо за рассказ. К сожалению, разработчики бОльшего, чем рассказал я, не рассказывают. Но я попробую поднять этот вопрос ещё раз.

[sww 486]

Олег Гудилин, спасибо за рассказ. К сожалению, разработчики бОльшего, чем рассказал я, не рассказывают. Но я попробую поднять этот вопрос ещё раз.

Ничего не расскажем - это секрет!

Это и не сигнатура и не эвристик.

[Олег Гудилин 95]

а мне и нетреба рассказывать, я в общих чертах представляю, а если будут вопросы - Гостева спрошу

вы своим расскажите, чтоб не выглядели глупо в ходе семинаров с продавцами

[ice-berg 30]

По сути технология origin - это своеобразный вшитиый в ядро "эвристик", с возможностью его "обновления" дополнительными сигнатурами?

[Mike 125]

, Ничего не расскажем - это секрет!

Это и не сигнатура и не эвристик.

да не детектит ваш оригин ничего.

в отличие от икаруса.

[sww 486]

, Ничего не расскажем - это секрет!

Это и не сигнатура и не эвристик.

да не детектит ваш оригин ничего.

в отличие от икаруса.

Икарус - это такой старый, говеный автобус?

Детектит он, детектит. И с каждым разом все лучше и лучше. А скоро будут небольшие инновации, которые должны улучшить общий детект и сократить f/a.

p.s. Какой-то "ребенок" продолжает играться с моей кармой. Поверьте, мне абсолютно и бесповоротно плевать

[sww 486]

О, попробую объяснить на пальцах. Смотрите, есть фраза

"Шла Саша по шоссе и сосала сушку", а также есть фраза

"По шоссе шла Саша и сосала леденец". Согласитесь, эти фразы похожи друг на друга и имеют примерно одинаковый смысл. Если взять за эталон фразу номер 1, и за неизвестную фразу номер 2, то впринципе их можно сравнить и вторая будет похожа на первую в каком-то процентном соотношении. Также никто не запрещает иметь несколько эталонов (например, выбрав за эталоны эти обе фразы). В общем, производные будут похожи в каком-то отношении друг на друга.

Это вполне объясняет случай на который обратил внимание А. и немного объясняет суть технологии.