NANO Antivirus > Forum :: Просмотр темы - Лечение или детект? Что первичнее?

Вся соль вопроса лечения сводится к тому, что нынче большинство вирусов это отдельно живущие файлы и их обычно лечат путем удаления. Редкие случаи именно заражения полезных файлов... Лечение таких файлов довольно проблематично, ибо неизвестно что именно и в каком участке полезной программы вирус изменил. Вычленить и тупо вырезать само тело вируса это не проблема. Но ведь вирус может изменить адреса запуска подпрограмм, метки и многое другое, что разработчики антивируса, естественно, не могут определить с точностью до 100%. Чаще всего попытка вылечить такой зараженный файл приводит к тому, что файл становится просто бесполезным куском кода, занимающим место на диске. Не спорю - таких умных вирусов довольно мало. Но даже зная полностью их технологию работы, все равно тяжело исправить последствия их действия.

Автор:	Денисик [ 20 сен 2011 10:18 ]
Заголовок сообщения:	Лечение или детект? Что первичнее?
Добрый день! Большинство современных антивирусов стараются иметь актуальные сигнатуры вирусов, т.е. оперативно реагируют на новые угрозы. Но в большинстве своём не имеют должного уровня лечения активных угроз! Может не умеют, а может на первом месте у данных компаний - детект, а следовательно количество пользователей и прибыль? Вопрос: "Что приоритетнее у NANO?" Просто многие пользователи, в том числе и я ориентирутся на тот продукт, где на первом плане стоит лечение, но и детект конечно тоже, так как при современной тенденции вирусописания, детектирование не поспевает за новыми угрозами, а лечение будет довольно проблематичным или появится необходимость использовать дополнительные инструменты и помощь специалистов для неискушённых в данном вопросе пользователей!

Автор:	Денисик [ 22 сен 2011 13:02 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
Люди, ау!!!!

Автор:	XMack [ 24 сен 2011 19:31 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
На мой взгляд, в таком деле как антивирусное программное обеспечение, первичным делом является именно детект (обнаружение) вредоносного ПО. Ибо обнаружив зловреда можно как минимум запретить его исполнение. К тому же некоторые экземпляры обнаружить проще чем вылечить, а в ситуации эпидемии даже простой запрет на исполнение может сыграть свою роль... Что же касается лечения, так небольшой штат или квалификация вирусных аналитиков безусловно вносит задержку между моментами обнаружения и лечения одного вида зловреда. Ну а что касается дохода... так ведь конечный пользователь делает выбор, и выбор этот он делает рублем...

Автор:	mrbelyash [ 25 сен 2011 08:01 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
1)Как можно лечить не зная что лечишь? 2)Опять же исправлять ключ userinit и shell а файл,который там был прописан в карантин. Два пункта вроде бы и взаимоискключающие,но...работать будет

Автор:	Viha [ 27 сен 2011 00:16 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
mrbelyash писал(а): 1)Как можно лечить не зная что лечишь?2)Опять же исправлять ключ userinit и shell а файл,который там был прописан в карантин.Два пункта вроде бы и взаимоискключающие,но...работать будет Пункт первый - эвристический анализ. Антивирь не зная вируса может его прекрасно заблокировать. Пункт второй - реестр исправили, файлы в карантин, а вот сам файл userinit.exe, который уже и не оригинальный файл, а собственно вирус... И при следующем запуске системы получаем те же яй...а, только вид сбоку. Тут как с обычной болезнью - нужен комплексный подход... Собственно по вопросу - я так думаю детект важнее. Если антивирь смог определить вирус, то как минимум может предложить пользователю что нибудь с ним сделать. Если антивирь не сдетектил вирусок... то лечения этим антивирусом против этого вируса просто не будет...

NANO Antivirus > Forum http://www.nanoav.pro/forum/

Лечение или детект? Что первичнее? http://www.nanoav.pro/forum/viewtopic.php?f=15&t=690	Страница 1 из 1

Автор:	Ne1tr1n0 [ 28 сен 2011 00:19 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
Viha прав. Разумеется детект первичней. Ибо чистая система останется чистой, если вовремя определить зловреда, то можно просто не дать ему запуститься, и тем самым предупредить заражение. Вообще многие трояны например прекрасно лечатся удалением, следовательно их достаточно лишь детектить. Кроме того сама процедура выбора сигнатур для детекта и занесения их в базу занимает несколько минут (я не беру в расчет время, необходимое на тестирование записи на ложные срабатывания на чистых файлах и на мультидетект), а вот написание процедуры лечения для сложных вирусов, руткитов и прочей живности может занимать значительное время (например несколько дней), ибо для корректного лечения зловреда надо изучить его функции, способы распространения, методы закрепления в системе, а это уже анализ "километровых" листингов дизассемблера и отладчика.

Автор:	Денисик [ 26 окт 2011 19:44 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
Надеюсь в дальнейшем будет продолжаться акцент на лечение, а не только на дэтект, как у большинства конкурентов?

Автор:	Viha [ 28 окт 2011 21:54 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
Вся соль вопроса лечения сводится к тому, что нынче большинство вирусов это отдельно живущие файлы и их обычно лечат путем удаления. Редкие случаи именно заражения полезных файлов... Лечение таких файлов довольно проблематично, ибо неизвестно что именно и в каком участке полезной программы вирус изменил. Вычленить и тупо вырезать само тело вируса это не проблема. Но ведь вирус может изменить адреса запуска подпрограмм, метки и многое другое, что разработчики антивируса, естественно, не могут определить с точностью до 100%. Чаще всего попытка вылечить такой зараженный файл приводит к тому, что файл становится просто бесполезным куском кода, занимающим место на диске. Не спорю - таких умных вирусов довольно мало. Но даже зная полностью их технологию работы, все равно тяжело исправить последствия их действия.

Автор:	Денисик [ 28 окт 2011 22:02 ]
Заголовок сообщения:	Re: Лечение или детект? Что первичнее?
Viha писал(а): Вся соль вопроса лечения сводится к тому, что нынче большинство вирусов это отдельно живущие файлы и их обычно лечат путем удаления. Редкие случаи именно заражения полезных файлов... Лечение таких файлов довольно проблематично, ибо неизвестно что именно и в каком участке полезной программы вирус изменил. Вычленить и тупо вырезать само тело вируса это не проблема. Но ведь вирус может изменить адреса запуска подпрограмм, метки и многое другое, что разработчики антивируса, естественно, не могут определить с точностью до 100%. Чаще всего попытка вылечить такой зараженный файл приводит к тому, что файл становится просто бесполезным куском кода, занимающим место на диске. Не спорю - таких умных вирусов довольно мало. Но даже зная полностью их технологию работы, все равно тяжело исправить последствия их действия. Думаю поэтому многие производители отказываются от лечения, а стараются только предупредить заражение! Этот способ проще и более востребован пользователем! Но у многих есть дополнительные утилиты для лечения или удаления более "едрёных" экземпляров.

Страница 1 из 1	Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/