Методика тестирования комп. вирусов?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Методика тестирования комп. вирусов? - 2007-06-30 23:33:37.846666
|
|
|
EXE
Сообщений: 1389
Оценки: 0
Присоединился: 2006-10-11 00:28:50.813333
|
Стало интересно! Ведь в любом достойном антивирусе можно передавать файлы на анлиз!
А каким образом работают антивирусные лаборатории при получении вирусов, как опрделяют что это вирь, и т.д. и т.п.?
Какое по используют?
За чем следят?
Вообще любая информация по теме!
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 00:03:00.146666
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
Не смеши - "определяют"…
Туфту они гонят.
Сколько я пишу - никто ничего не определяет, - всё лезет.
Базы дурацких данных тупых они сравнивают с файлом и всё.
Анекдоты про них писать.
Мусор, который годами хламится в инете - вот его и определяют.
Господа дебилы Касперские…
PS
Неужели их что-то может волновать,
кроме выручки от продаж своих дурацких коробок…
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 00:20:57.110000
|
|
|
EXE
Сообщений: 1389
Оценки: 0
Присоединился: 2006-10-11 00:28:50.813333
|
Хорошо корректирую вопрос!
Как по вашему мнению должно проходить тестирование вирусов!?
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 01:42:35.866666
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
quote:
ORIGINAL: EXE
Хорошо корректирую вопрос!
Как по вашему мнению должно проходить тестирование вирусов!?
Тестирование должно проходить единственно правильным путём.
То есть,
До запуска исполняемого файла:
1) Антивирус должен ознакомиться с исходниками исполняемого файла.
2) Определить будет ли нанесён ущерб компу, в случае запуска этого файла.
3) Исходя из анализа - принять решение -
- разрешить ли запуск или дать команду на уничтожение.
Другие алгоритмы действия Антивирусов - кроме кривой усмешки, ничего не вызывают.
То есть, если алгоритм действий основан на том, что анализ будет сделан после запуска файла….
разве это защита?
Поздно пить Боржоми, когда уже почки отвалились…
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 10:52:44.150000
|
|
|
gotoxardas
Сообщений: 842
Оценки: 0
Присоединился: 2007-05-25 08:15:21.840000
|
quote:
Стало интересно! Ведь в любом достойном антивирусе можно передавать файлы на анлиз!
А каким образом работают антивирусные лаборатории при получении вирусов, как опрделяют что это вирь, и т.д. и т.п.?
Какое по используют?
За чем следят?
Вообще любая информация по теме!
Позвони в лабораторию Касперского и спроси, там вроде отвечают на такие вопросы..
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 12:08:41.540000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: Puparro
quote:
ORIGINAL: EXE
Хорошо корректирую вопрос!
Как по вашему мнению должно проходить тестирование вирусов!?
Тестирование должно проходить единственно правильным путём.
То есть,
До запуска исполняемого файла:
1) Антивирус должен ознакомиться с исходниками исполняемого файла.
2) Определить будет ли нанесён ущерб компу, в случае запуска этого файла.
3) Исходя из анализа - принять решение -
- разрешить ли запуск или дать команду на уничтожение.
Другие алгоритмы действия Антивирусов - кроме кривой усмешки, ничего не вызывают.
мне пункт два особенно нравиться :)
если программа пытается сказать `rm -rf /' – ей надо позволить выполняться? не, вряд ли. а если эта программа – интерактивный шелл на первой консоли, за которым сидит злющий админ, которого достал этот антивирус и единственная мысль у него снести его к чертям, даже и вместе с системой. тогда как? наверное уже не вирус.
а если программа всего навсего интерпретатор – как определить не припрёт ли ей, этой программе, через 10min работы скачать из инета злющий скрипт, чтобы выполнив его сломать систему к чертям? единственный способ, это выполнить программу на эмуляторе, пока она не накрутить 10min uptime, дать ей начать выполнять скрипт, и уже по выполняемым скриптом действиям судить… но опять же кто виноват – скрипт или интерпретатор? нее, этот подход, он хоть и приносит определённые плоды, но он – неполноценен, и никогда не приведёт к сколько-нибудь серъёзной защите компа.
ведь что такое анализ? эмуляция – выполнение на виртуальной машине и анализ производимых действий. но эмуляция – это, во-первых, долго, а во-вторых, злая программка, может и вычислить, что её эмулируют, и прикинуться овечкой. можно такой анализ дополнять другими заморочками, но…
бред это всё. пользователя тупого надо сажать на систему в которой человеку в принципе не даётся прав выше гостя. и все файлы создаваемые им на диске живут без бита x в атрибутах. пользователю поумнее можно дать админские права в системе, но сначала его надо полгодика подержать за тупого.
по теме. я думаю что они просто малвару запускают на виртуальной машине, и смотрят что в системе происходит. ищут процессы которые гадют, отлаживают эти процессы чтобы выявить злые участки кода. столкнувшись с ещё одной виртуальной машиной для вируса описывают новые процессоры для дизассеблера, исследуя каким образом эта виртуальная машина функционирует. вероятно, сканеров у них вагон и тележка, чтобы найдя кусок кода вируса, который может потянуть на сигнатуру тут же просканить всю систему на предмет этой сигнатуры. в принципе, чтобы неплохо повоевать с вирусами нужны: отладчик (SoftIce, например), дизассемблер (IDA – rulezz), компилятор – лучше два (C и asm). все остальные необходимые тулзы в системе есть по-дефолту, другое дело, что вероятно можно найти редактор реестра более удобный чем regedit, и менее распространённый, чтобы быть уверенным в том, что этот редактор не является объектом атаки. то же самое с task manager'ом и прочим стандартным софтом.
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 12:48:23.760000
|
|
|
=Dani=
Сообщений: 853
Оценки: 0
Присоединился: 2007-06-26 16:53:52.023333
|
quote:
Позвони в лабораторию Касперского и спроси, там вроде отвечают на такие вопросы..
Позвонить конечно можно, но они отвечают только на общие вопросы, а всё в подробностях они по телефону рассказывать не будут, да и не смогут.
В этой ситуации, лучше всего искать книги и статьи на эту тему.
У Криса Касперского есть несколько книг вышедших в вашем же питерском издательстве Питер,( у него к стати контракт с Майкрософт на издание их официальных книг и с одним из крупнейших книжных издательств O'Reilly)
http://shop.piter.com/book.phtml?978546900982
http://shop.piter.com/search.phtml?tema=597
кроме самой последней написанныой уже Евгением Касперски они у меня есть, и там про это очень подробно все описано, с таблицами и примерами. И по какому принципу работает антивирус тоже.
Если решишь их купить то звони на прямую в Питер,у них наверняка, как и в Москве есть фирменный магазин от издательства,там и цены ниже и выбор больше, да и прежде чем покупать, сам можешь пролистать их и убедится, это то что тебе нужно или нет.
Я у них не раз покупала книги по информматике, которые в магазинах никогда и не видела. Про цены вообще молчу ровно в 2 раза ниже, чем в обычном книжном магазине.
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 13:13:40.056666
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
quote:
rgo:
ведь что такое анализ? эмуляция – выполнение на виртуальной машине и анализ производимых действий. но эмуляция – это, во-первых, долго
Вот именно…
А если задержка активных действий вируса - несколько суток…
Остальное время - шлангом прикинуться.
Антивирусы - полная профанация.
Максимум, что они могут - не допустить какой-то файл выломиться в Инет и всё.
Голимая муть…
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 16:10:57.696666
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
quote:
ORIGINAL: Puparro
quote:
ORIGINAL: EXE
Хорошо корректирую вопрос!
Как по вашему мнению должно проходить тестирование вирусов!?
Тестирование должно проходить единственно правильным путём.
То есть,
До запуска исполняемого файла:
1) Антивирус должен ознакомиться с исходниками исполняемого файла.
2) Определить будет ли нанесён ущерб компу, в случае запуска этого файла.
3) Исходя из анализа - принять решение -
- разрешить ли запуск или дать команду на уничтожение.
Другие алгоритмы действия Антивирусов - кроме кривой усмешки, ничего не вызывают.
То есть, если алгоритм действий основан на том, что анализ будет сделан после запуска файла….
разве это защита?
Поздно пить Боржоми, когда уже почки отвалились…
Насчет исходника вполне согласен.. Но сами же понимаете что исходник далеко не каждый программы доступен широкому кругу. А вообще хоть эвристика тоже далеко не идеальный вариант, но отсекает большое количество еще не опознаных вирусов. Вот я например написал троя. Сигнатурный поиск на#бал, но вот эвристика при записи в автозагрузку не пускает.
Вообще неплохой вариант для антивирусов создание окружения винды на своей виртуальной машине и прогонка файла там а потом сверка изменений. В принципе Касперский так и делает. Только это негативно сказывается на производительности…
ЗЫ. Небольшой оффтоп
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 18:16:51.456666
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
quote:
ORIGINAL: furiousangel
но вот эвристика при записи в автозагрузку не пускает.
Автозагрузка может не и понадобиться.
Дел наворочать можно и без неё.
Да и автозагрузить можно другими вариантами.
"Антивирусы" прошляпят и здесь…
У них другие цели, они сами куда-то в инет норовят лезть.
Шпионят, падлы, Касперскому логи от клавы отсылают…
Их бы самих антивирусом проверить и всё контору в карантин.
На хлеб и воду…
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-01 18:28:55.720000
|
|
|
Spider Agent
Сообщений: 794
Оценки: 0
Присоединился: 2006-10-16 12:10:08.396666
|
quote:
А каким образом работают антивирусные лаборатории при получении вирусов, как опрделяют что это вирь, и т.д. и т.п.?
все просто: анализ алгоритма файла, после чего делают вывод - может он принести вред компу или нет
quote:
Какое по используют?
в основном - дизассебмлер :) но, для снятия нагрузки могут юзать и эвристические анализаторы - чтобы код анализаровать
quote:
За чем следят?
за инетом, фиксируют очаги массовых заражений.
quote:
Вообще любая информация по теме!
имеются роботы, типа поисковых, которые сканят инет и файлы, и подозрительные отправляют на анализ.
ЗЫ: точно незнаю, но скорее всего данные о количестве обнаруженных вирусов на локальной машине передаются при обновлении баз в лабораториюю..
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-02 12:09:41.076666
|
|
|
S.V.
Сообщений: 295
Оценки: 0
Присоединился: 2006-12-26 18:25:30.413333
|
Нет четкого понимания и определения,что такое вирус - нет и достойного антивируса.
|
|
|
|
|
RE: Методика тестирования комп. вирусов? - 2007-07-02 12:15:52.280000
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
quote:
ORIGINAL: S.V.
Нет четкого понимания и определения,что такое вирус - нет и достойного антивируса.
Не будет никогда антивируса,
ибо, он(антивирус), должен предвидеть будущие действия незнакомого файла.
Исключено абсолютно.
Но, продаваться лжеАнтивирусы будут всегда и с успехом.
Коробки у них красочные, красивые….
|
|
|
|
|
|
