NANO Antivirus > Forum :: Просмотр темы - Универсальность сигнатур

Спасибо! Это мне и хотелось услышать!
Но не увеличивает ли такой подход количество ложных срабатываний?

Денисик, все абсолютно верно.
Что касается нашей позиции, она очевидна - для нас важнее эффективность, нежели красивые цифры. Мы стараемся при малейшей возможности оптимизировать базу, поэтому некоторые наши внимательные пользователи иногда подмечают, что количество записей, указанное на главной странице нашего сайта, может "необъяснимо" в какие-то моменты не увеличиваться, а уменьшаться. Это связано именно с применением описанной вами технологии.

Добрый день!
Есть у меня ссылка на вредоносный сайт, где периодически (в среднем один раз в сутки) появляется новый локер! По сути это один и тот же локер, картинка, текст и тд., но он каждый раз перепаковывается, меняется контрольная сумма файла. Высылаю каждый раз новый образец, но NANO в большинстве случаев, детектирует их (модификации) все сразу под одним названием вируса (одна сигнатурная запись), что радует!

Денисик писал(а):

Вы можете привести примеры MD5 этих блокировщиков, а еще лучше, ссылки на VT для них, которые НаноАВ, как вы пишите, прикрывает, каждый раз в перепакованном виде (!) одной записью или эвристиком?

На заметку: филиалы по распространению могут их перепаковывать раз в 10 мин, при засылке на VT, они дают ratio ~ 0.

Автор:	Денисик [ 15 июн 2011 09:49 ]
Заголовок сообщения:	Универсальность сигнатур
Добрый день! Прокомментируйте пожалуйста, данный пост и поясните, какой принцип применяется у НАНО? "Вирусная база каждой антивирусной программы имеет свою структуру. Чтобы объяснить, почему число записей в вирусной базе некоторых вендоров меньше числа записей в вирусных базах некоторых других производителей, надо знать, что не все вирусы уникальны. Существуют целые семейства родственных (подобных) вирусов, есть вирусы, сконструированные вирусными конструкторами — специальными программами для создания вирусов. Все они очень похожи друг на друга, очень часто — как две капли воды. Разработчиками некоторых других антивирусов каждый такой вирус-близнец наделяется отдельной записью в вирусной базе, что утяжеляет ее. Существует метод, где всего одна вирусная запись позволяет обезвреживать десятки или сотни, а иногда даже тысячи подобных друг другу вирусов! Даже меньшее, по сравнению с некоторыми другими программами число вирусных записей в базе дает возможность с высокой долей вероятности обнаруживать пока еще не известные (не внесенные в базу) вирусы, которые будут созданы на основе уже существующих вирусов". Думаю источник темы понятен (откуда это взято), название вендора убрал! Заранее, СПАСИБО!

Автор:	Irina [ 15 июн 2011 11:18 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Денисик, все абсолютно верно. Что касается нашей позиции, она очевидна - для нас важнее эффективность, нежели красивые цифры. Мы стараемся при малейшей возможности оптимизировать базу, поэтому некоторые наши внимательные пользователи иногда подмечают, что количество записей, указанное на главной странице нашего сайта, может "необъяснимо" в какие-то моменты не увеличиваться, а уменьшаться. Это связано именно с применением описанной вами технологии.

Автор:	Денисик [ 15 июн 2011 11:36 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Спасибо! Это мне и хотелось услышать! Но не увеличивает ли такой подход количество ложных срабатываний?

Автор:	Irina [ 15 июн 2011 13:05 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Денисик писал(а): Спасибо! Это мне и хотелось услышать! Но не увеличивает ли такой подход количество ложных срабатываний? Как и в любом деле, важно соблюдать оптимальный баланс - над этим и работают высококлассные опытные специалисты нашей вирусной лаборатории.

Автор:	Viha [ 15 июн 2011 18:25 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Возможно, что есть ложные срабатывания. Я пока только пару таких случаев заметил, но все они были успешно решены с помощью поддержки НаноАВ - выслан образец файла для разбора полетов, поддержка ответила, что файл чист (один раз даже кейген пришлось выслать очень хотелось прогу попробовать), базы антивируса обновлены, ложное срабатывание пропало. В целом и общем меня работа этого антивируса радует - довольно быстрый старт, хорошее обнаружение угроз, отличная поддержка. Все пункты можно поставить в пример многим, даже платным, антивирусам. Единственное что еще огорчает - в момент обновления антивирус довольно сильно грузит систему. Но, думаю, что и эту проблему скоро устранят. Ну а если не устранят... Можно раз в день потерпеть 2-3 минуты тормоз системы за возможность пользоваться приятным и качественным продуктом

NANO Antivirus > Forum http://www.nanoav.pro/forum/

Универсальность сигнатур http://www.nanoav.pro/forum/viewtopic.php?f=15&t=574	Страница 1 из 2

Автор:	xpuctos [ 22 июн 2011 08:04 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Денисик, Вы абсолютно правы, к сожалению, я когда то работал с одной командой которая бывало писали и виры, и коней троянских, так вот, действительно, сейчас существует куча программ, которые к еще большему сожалению, пестрят в сайтах инета, они очень просты, но не следует учитывать их простоту, как слабость. Это их сильная сторона, и большая головная боль разработчикам антивирусов. Не нужна большая база сигнатур,чтобы оперативно реагировать на появление угрозы, большинство сигнатур содержат в себе универсальные "знания" и неплохо могут обнаружить большую свалку вирусной угрозы, а если есть еще "поведенческий" (Эвристика) анализ то тут всяким "коням" по аркану на шею и в стоило(карантин)...

Автор:	Денисик [ 03 ноя 2011 09:48 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Irina писал(а): Денисик, все абсолютно верно. Что касается нашей позиции, она очевидна - для нас важнее эффективность, нежели красивые цифры. Мы стараемся при малейшей возможности оптимизировать базу, поэтому некоторые наши внимательные пользователи иногда подмечают, что количество записей, указанное на главной странице нашего сайта, может "необъяснимо" в какие-то моменты не увеличиваться, а уменьшаться. Это связано именно с применением описанной вами технологии. Добрый день, Ирина! Будет ли выполнена очередная оптимизация баз, т.е. базы у НАНО уже далеко "перевалили" за 3 млн. записей, хотя у некоторых антивирусных компаний с 15-летним стажем, работающих по такому же принципу, записей меньше 3 млн.!? Или в настоящее время оптимизация оптимальна?

Автор:	Денисик [ 12 ноя 2011 22:20 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Добрый день! Есть у меня ссылка на вредоносный сайт, где периодически (в среднем один раз в сутки) появляется новый локер! По сути это один и тот же локер, картинка, текст и тд., но он каждый раз перепаковывается, меняется контрольная сумма файла. Высылаю каждый раз новый образец, но NANO в большинстве случаев, детектирует их (модификации) все сразу под одним названием вируса (одна сигнатурная запись), что радует!

Автор:	rkhunter [ 13 ноя 2011 02:06 ]
Заголовок сообщения:	Re: Универсальность сигнатур
Денисик писал(а): Добрый день! Есть у меня ссылка на вредоносный сайт, где периодически (в среднем один раз в сутки) появляется новый локер! По сути это один и тот же локер, картинка, текст и тд., но он каждый раз перепаковывается, меняется контрольная сумма файла. Высылаю каждый раз новый образец, но NANO в большинстве случаев, детектирует их (модификации) все сразу под одним названием вируса (одна сигнатурная запись), что радует! Вы можете привести примеры MD5 этих блокировщиков, а еще лучше, ссылки на VT для них, которые НаноАВ, как вы пишите, прикрывает, каждый раз в перепакованном виде (!) одной записью или эвристиком? На заметку: филиалы по распространению могут их перепаковывать раз в 10 мин, при засылке на VT, они дают ratio ~ 0.

Автор:	GUVadim [ 13 ноя 2011 14:14 ]
Заголовок сообщения:	Re: Универсальность сигнатур
rkhunter писал(а): Денисик писал(а): Добрый день! Есть у меня ссылка на вредоносный сайт, где периодически (в среднем один раз в сутки) появляется новый локер! По сути это один и тот же локер, картинка, текст и тд., но он каждый раз перепаковывается, меняется контрольная сумма файла. Высылаю каждый раз новый образец, но NANO в большинстве случаев, детектирует их (модификации) все сразу под одним названием вируса (одна сигнатурная запись), что радует! Вы можете привести примеры MD5 этих блокировщиков, а еще лучше, ссылки на VT для них, которые НаноАВ, как вы пишите, прикрывает, каждый раз в перепакованном виде (!) одной записью или эвристиком? На заметку: филиалы по распространению могут их перепаковывать раз в 10 мин, при засылке на VT, они дают ratio ~ 0. Ё маё... Над текстом работала целая команда .... для красивого утверждения неминуемого ..... Как-то все странно... пост еще живой!!!

Страница 1 из 2	Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/