Защита, а какая она?

[Latin 5]

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто . И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

[Dmitry Perets 30]

Тривиальный ответ - на всё сразу =) И чем оно лучше, тем защита надёжнее.

Самый главный метод - сигнатурный. Им пользуются файловый монитор, почтовый монитор, http-монитор и проч. Из них наиболее важный - файловый монитор. Большинство вирусов, с которыми пользователь сталкивается, ловится именно файловым монитором по сигнатурам. Самый важный - не значит, единственный нужный. Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя. Последняя новинка - http-монитор. Начал добавляться тогда, когда поняли, что есть зловреды, на которых файловый монитор среагирует, но слишком поздно: например, на заражённую картинку он среагирует уже после того, как она будет обработана браузером.

Но сигнатурный метод уже давно не достаточен, потому что вирусов много, а вирусная лаборатория одна (у конкретного антивируса) =) Поэтому когда-то давно в России придумали эвристик. Поначалу простой, но он подкручивался и совершенствовался. Эвристик - это очень хорошо, но он не обеспечивает желаемого уровня детекта. В лучшем случае, при использовании наиболее продвинутых сегодня эвристиков, получается ловить до 50-60 процентов неизвестных зловредов, что не является удовлетворительным результатом. В среднем же эвристики на рынке детектят лишь процентов 30, что ещё хуже.

Более новая технология - HIPS, поведенческий блокиратор. То, что называется проактивкой у ЛК. Он обычно обеспечивает более высокий уровень детекта, чем эвристик, так как существует меньше свободы её обойти. Грубо говоря, он меньше зависит от реализации зловреда, а больше - от того, что именно зловред в результате хочет сделать. Но зато если зловред захочет сделать что-то другое, чего не контроллирует HIPS, то HIPS промолчит. Эвристик же более умён в этом плане - он пытается найти участки кода, которые "напоминают" ему какого-нибудь зловреда. Кроме того, HIPS часто ругается на "хорошие программы", посему нужно придумывать какие-то технологии против этого.

Так что ни проактивка, ни эвристик не взаимозаменяемы. Приходится разрабатывать их обоих.

[vaber 350]

Согласен с Дмитрием. Да, сигнатурное определение на сегодня-самое важное, да и во многих тестах современных антивирусов проверяют именно работу сигнатурного сканера. Что касается выбора между эвристическим и поведенческим анализаторами-то я считаю более перспективным именно поведенческий (чисто моё субъективное мнение). Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса. Если говорить о лжесрабатовании- то поведенческий много даёт алярмов (хотя их мона уменьшить соответствующими настройками анализатора), но и эвристика у некоторых продуктов даёт много алярмов (чем выше уровень эвристики, тем больше алярмов: исключение NOD32). Например мой родной VBA имеет очень мощную эвристику-пожалуй одну из самых мощных, но лже срабатываний-просто половина всех срабатываний.

Вывод:помимо сигнатурного анализатора (самый важный) должен быть HIPS модуль (с широкими возможностями настройки и с предустановленными вариантами для различных случаев).Эвристика тоже должна быть, но такая, чтобы лжесрабатываний было минимум(пускай и не самая мощная-равняться на NOD32). http-модуль в обязательном порядке (сигнатура +эвристика).

[Dmitry Perets 30]

  vaber сказал:

Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса.

Нет, это не так. Эвристик тоже обновляемый. В частности, у ЛК он вообще не зависит от версии продукта. Целиком в вир.лабе разрабатывается.

С остальным согласен.

[Latin 5]

Спасибо! но возникает несколько вопросов

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

  Dmitry Perets сказал:

Поэтому когда-то давно в России придумали эвристик.

Что серьезно? Мы опять самые лучшие!

  Dmitry Perets сказал:

Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя.

Тогда что получается, что о проактивке задумались только совсем недавно? Ну а пример с regrun'ом который я привел? насколько я знаю проактивную защиты они сделали относительно давно. И почему только один антивирус имени фамили одного человека релиазовал это. А другие еще не поняли

  Dmitry Perets сказал:

что без них уже нельзя.

ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.

  Dmitry Perets сказал:

Эвристик тоже обновляемый.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

  Dmitry Perets сказал:

Самый главный метод - сигнатурный

  vaber сказал:

Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

[Valery Ledovskoy 1082]

  Latin сказал:

Тогда что получается, что о проактивке задумались только совсем недавно?

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

  Latin сказал:

ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.

Совершенно верно.

  Latin сказал:

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Эвристику обновлять можно. И "проактивные" алгоритмы тоже. Для уровня ведущих антивирусных вендоров это несложно. (Я тут говорю и про Доктора и про ЛК, заметьте).

  Latin сказал:

vaber писал(а):

Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

[Mr. Justice 771]

  Goudron сказал:

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

  Goudron сказал:

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

  Goudron сказал:

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

Существуют технологии, которые призваны уменьшить нагрузку на машину. А увеличение количества багов, наверное следует считать закономерным явлением.

  Goudron сказал:

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Категорически несогласен. Практика доказывает обратное.

[Valery Ledovskoy 1082]

  Mr. Justice сказал:

Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Как давний пользователь, действительно, общаюсь.

  Mr. Justice сказал:

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

  Mr. Justice сказал:

Существуют технологии, которые призваны уменьшить нагрузку на машину.

Согласен, что это возможно в принципе. Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

  Mr. Justice сказал:

А увеличение количества багов, наверное следует считать закономерным явлением.

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

  Mr. Justice сказал:

Категорически несогласен. Практика доказывает обратное.

Приведите примеры из практики, доказывающие обратное.

[Mr. Justice 771]

  Goudron сказал:

Как давний пользователь, действительно, общаюсь.

Надеюсь с представителями разных вендоров. В противном случае Ваше мнение нельзя признать обоснованным.

  Goudron сказал:

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Давайте будем дискутировать последовательно. В первую очередь мне бы хотелось увидеть агрументы, обосновывающие Вашу позицию.

  Goudron сказал:

Согласен, что это возможно в принципе.

Это не только возможно. Это уже реализовано.

  Goudron сказал:

Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал )

  Goudron сказал:

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Устранять недостатки (баги) конечно же необходимо, но это не означает, что нужно останавливаться на достигнутом в технологическом плане. Разве не так?

  Goudron сказал:

Приведите примеры из практики, доказывающие обратное.

Доказательством служат тесты Клименти и практика пользователей ЛК. Свои примеры привести не смогу.

[Valery Ledovskoy 1082]

  Mr. Justice сказал:

Надеюсь с представителями разных вендоров.

Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Я говорил, что прикипел к одному вендору, хоть и имею лицензию на различные антивирусы (больше, в целях самообразования).

  Mr. Justice сказал:

Это не только возможно. Это уже реализовано.

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

  Mr. Justice сказал:

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал Smile)

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

  Mr. Justice сказал:

Доказательством служат тесты Клименти

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

  Mr. Justice сказал:

и практика пользователей ЛК.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

[_Stout 131]

  Goudron сказал:

Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

  Goudron сказал:

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Добавлено спустя 3 минуты 19 секунд:

Re: Защита, а какая она?

  Latin сказал:

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто . И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

PS В Aidstest никогда, никогда НИКОГДА не было ни намека на эвристику.

[Mr. Justice 771]

  Goudron сказал:

Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Причем тут я? Это Вы утверждаете, что

  Goudron сказал:

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт

.

  Goudron сказал:

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

  Goudron сказал:

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит.

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод. С этим я полностью согласен. Но использовать лишь этот подход было бы неверным. В современых условиях необходимо развивать проактивные технологии. Это мое мнение.

  Goudron сказал:

Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Какой подход Вы бы предложили в ответ на увеличение, так называемых вредоносных объектов zero day? Возможности реактивного методы небезграничны. Или Вы не согласны?

  Goudron сказал:

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

Тесты бывают разные.

  Goudron сказал:

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

[Valery Ledovskoy 1082]

  Mr. Justice сказал:

Goudron писал(а):

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

  Mr. Justice сказал:

Возможности реактивного методы небезграничны. Или Вы не согласны?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

  Mr. Justice сказал:

Тесты бывают разные.

Любой тест субъективен.

  Mr. Justice сказал:

Goudron писал(а):

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

  _Stout сказал:

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Все люди похожи.

  _Stout сказал:

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

На чём основано данное утверждение? На материалах ЛК?

[A. 876]

  Goudron сказал:

Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Что то с логикой не то.

Вы считаете, что технология является правильной, только если ее использовал лидер отрасли ?

Встречный вопрос: считаете ли Вы, что не-лидеры могут стать лидерами в результате использования перспективных технологий, которых еще нет у лидера ?

  Goudron сказал:

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Не забудьте только свериться с существующими патентами в данной области. Ага ?

  Goudron сказал:

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе.

В каком, если не секрет ? Может быть ваша выборка нерепрезетативна ?

[Mr. Justice 771]

  Goudron сказал:

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

  Mr. Justice сказал:

Возможности реактивного методы небезграничны. Или Вы не согласны?

  Goudron сказал:

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Проактивная защита включает в себя как поведенческий анализ, так и эвристику. Развивать нужно то и другое.

  Goudron сказал:

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

  Goudron сказал:

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Полагаю, что этого явно недостаточно, чтобы сделать правильный вывод.

  Goudron сказал:

На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

[Сергей Ильин 1538]

  Goudron сказал:

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

  Mr. Justice сказал:

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

[Mr. Justice 771]

  Сергей Ильин сказал:

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

  Сергей Ильин сказал:

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

...

[TiX 0]

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Добавлено спустя 12 минут 32 секунды:

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

>Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик)

Эвристики очень просто обойти всякими анти-отладочными трюками. Поведенческий анализатор так не обманешь.

>пока только думает об этом

Не думает а активно разрабатывает Ж)

> но, на мой взгляд, более перспективно

Нет т.к см первый ответ Ж)

[Latin 5]

  _Stout сказал:

Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

Спасибо за ссылку. Чертовски интересно. Да, наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье.

]

  Goudron сказал:

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков. (Правда, я не встретил упоминания об одном из отечественном разработчике. )

И я так понимаю Goudron имел в виду реализацию в том виде как она сделана в avp. Тогда вопрос в чем сомнения? В методе реализации, взаимодействии с пользователем или еще чем-то?

Вообще говоря, поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед). Конечно, это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес . Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том, что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону. Но таких срабатований, особенно на начальном этапе, достаточно много. И данная ситуация, на мой взгляд, решается введением пресетов. Конечно это требует определенных затрат времени и средств, но с другой стороны исключит ситуацию когда данный компонент попросту отключают со всеми вытекающими отсюда последствиями и сделает "технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя" (с)«Лаборатория Касперского».

  _Stout сказал:

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Во всяком случае больше половины тех, кого я знаю.

  Mr. Justice сказал:

Сергей Ильин писал(а):

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Присоединяюсь

  Mr. Justice сказал:

Goudron писал(а):

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

  Mr. Justice сказал:

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод.

А не складывается ли у вас мнение, что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.

  TiX сказал:

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Вопрос не в его классе, а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение?

[Latin 5]

  Latin сказал:

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

[_Stout 131]

  Latin сказал:

  Latin сказал:

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет. А вобще -- в каждом АВ свой порядок, более того порядок обработки может меняться в зависимости от.

[Latin 5]

  _Stout сказал:

Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет.

Блин, жаль Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.

[_Stout 131]

  Latin сказал:

  Latin сказал:

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Коллега Latin позвольте полюбопытствовать -- к чему такие вопросы? Если есть желание разработать что-то свое, по быстрее научиться что-то делая и анализируя неудачи. Если это праздное любопытство, то информации с форума вполне хватит. Надеюсь, что Гудрон подскажет, другие причины?

Добавлено спустя 7 минут 31 секунду:

  Mr. Justice сказал:

  Goudron сказал:

]На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

ЛК, конечно ведет статистику, но внутренняя статистика несколько субъективна и может говорить только о пользователях продуктов ЛК. Говорить за весь регион можно имея результаты независимого и объективного исследования, проведенного независимым агенством.

[VladB 60]

На самом деле проблема проактивной защиты (на мой взгляд) в том, что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...

[Mr. Justice 771]

  Цитата

Спасибо за ссылку. Чертовски интересно. Да' date=' наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье. [/quote']

Как я уже указывал выше, понятие проактивная защита включает в себя как поведенческий, так и эвристический анализ. Однако следует иметь ввиду, что этот термин иногда понимается и в "узком" смысле (чаще всего среди пользователей KAV/KIS), то есть отождествляется с поведенческим анализом.

  Цитата

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков.

Да' date=' почти у всех в том или ином виде.

  Цитата

(Правда, я не встретил упоминания об одном из отечественном разработчике. )

Не понял о чем идет речь.

  Цитата

Вообще говоря' date=' поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед).[/quote']

Согласен.

  Цитата

Конечно' date=' это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес .[/quote']

Верно.

  Цитата

Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том' date=' что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону.[/quote']

У меня проактиваня защита реагировала на Punto Switcher. Это нормально. Как вы правильно заметили проактивную защиту можно настроить. Это не так уже и сложно и занимает не очень много времени. Для тех кто не умеет - есть неплохой мануал, можно так же воспользоваться помощью специалиста. Для тех кто не желает этого делать предусмотрена возможность отключения модуля проактивной защиты.

  Цитата

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Степень субъективизма может быть разной.

  Цитата

А не складывается ли у вас мнение' date=' что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.[/quote']

Не совсем понятна Ваша позиция по данному вопросу.

  Цитата

Вопрос не в его классе' date=' а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? [/quote']

Но эти идеи (принципы) не сразу получили распространение. Может дело в их несвоевременности, неактуальности на расматриваемом этапе развития?

Добавлено спустя 6 минут 59 секунд:

  Цитата

Блин' date=' жаль Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.[/quote']

Если Вам интересна реализация указанного механизма в Dr. Web, то лучше обратиться за помощью к nowbody@nowhere (aka john). Но он что-то в последнее время не очень "балует" нас своим присутствием на форуме.

Добавлено спустя 5 минут 3 секунды:

  Цитата

На самом деле проблема проактивной защиты (на мой взгляд) в том' date=' что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...[/quote']

Судя по всему ЛК учитывает интересы и возможности как подготовленных пользователей, так и начинающих.