Этого треда уже нет.
Это копия, сохраненная 5 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 5 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
992 Кб, 1884x1210
Интересуют два вопроса по антивирусному ПО:
Насколько хорошо использование сигнатур с точки зрения быстродействия антивирусных программ, удобства хранения сигнатур в антивирусной базе данных и невозможности подмены базы данных. Как велика должны быть сигнатуры для минимизации ошибок первого и второго рода.
Как антивирус определяет вредоносность комбинированных файлов: это документов, в которых есть программный код. например, html
с кодом javascript или документ Word с макросом на языке VBA. То есть здесь скорее всего проверяется не весь файл, а как он проверяется?
С меня плюхи и большое признание
Насколько хорошо использование сигнатур с точки зрения быстродействия антивирусных программ, удобства хранения сигнатур в антивирусной базе данных и невозможности подмены базы данных. Как велика должны быть сигнатуры для минимизации ошибок первого и второго рода.
Как антивирус определяет вредоносность комбинированных файлов: это документов, в которых есть программный код. например, html
с кодом javascript или документ Word с макросом на языке VBA. То есть здесь скорее всего проверяется не весь файл, а как он проверяется?
С меня плюхи и большое признание
>>2179481 (OP)
Довольно быстро, за двадцать лет там все оптимизировали в край, а пекарни стали мощнее. То же самое касается удобства хранения. От подмены защищена в памяти наравне с кодом самого антивируса - против user space программ автоматически средствами операционной системы, против рутовых - самозащитой антивируса, ее уровень очень различается у разных антивирусов. Все хранимое на диске, очевидно, подписано и проверяется при каждой загрузке в память, так что без подмены кода наебать все равно не получится. Размер сигнатур зависит от антивируса, у крупных и богатых аналитики сидят, ищут похожие и ужимают в одну. Кроме того, существует тенденция удаления очень старых сигнатур из баз, ибо такая малварь уже не опасна. Тогда оставляют только хэши целых файлов, либо даже их удаляют.
Есть много разных способов, о которых обычно не распространяются. В простейшем случае просто ищут паттерны сигнатур в бинарнике, если есть исходники (скрипты, документы), то в них.
>насколько хорошо
Довольно быстро, за двадцать лет там все оптимизировали в край, а пекарни стали мощнее. То же самое касается удобства хранения. От подмены защищена в памяти наравне с кодом самого антивируса - против user space программ автоматически средствами операционной системы, против рутовых - самозащитой антивируса, ее уровень очень различается у разных антивирусов. Все хранимое на диске, очевидно, подписано и проверяется при каждой загрузке в память, так что без подмены кода наебать все равно не получится. Размер сигнатур зависит от антивируса, у крупных и богатых аналитики сидят, ищут похожие и ужимают в одну. Кроме того, существует тенденция удаления очень старых сигнатур из баз, ибо такая малварь уже не опасна. Тогда оставляют только хэши целых файлов, либо даже их удаляют.
>как антивирус определяет
Есть много разных способов, о которых обычно не распространяются. В простейшем случае просто ищут паттерны сигнатур в бинарнике, если есть исходники (скрипты, документы), то в них.
>>2180886
Просто это была новая область, алгоритмы поначалу были примитивными и писались на коленке (почитай книжки Касперского и Данилова, например). Примерно как с поиском. Потом уже подтянули лучшие практики, машинное обучение завезли, ну ты понел. А тогда и пекарни были слишком медленные, чтобы тянуть сложные условия в сигнатурах, и деньги там не такие крутились, чтобы позволить содержать сотни круглосуточных аналитиков.
К золотой середине мы сейчас приблизились, это направление почти не развививается, пилят, в основном, новые фичи активной защиты. Алсо, теперь у многих антивирусов есть облачные сервисы, т.е. сигнатуры не хранятся в полной мере на пекарне, а проверяются на сервере для сомнительных файлов. По сути, многие сканеры это просто интерфейс для VirusTotal.
Просто это была новая область, алгоритмы поначалу были примитивными и писались на коленке (почитай книжки Касперского и Данилова, например). Примерно как с поиском. Потом уже подтянули лучшие практики, машинное обучение завезли, ну ты понел. А тогда и пекарни были слишком медленные, чтобы тянуть сложные условия в сигнатурах, и деньги там не такие крутились, чтобы позволить содержать сотни круглосуточных аналитиков.
К золотой середине мы сейчас приблизились, это направление почти не развививается, пилят, в основном, новые фичи активной защиты. Алсо, теперь у многих антивирусов есть облачные сервисы, т.е. сигнатуры не хранятся в полной мере на пекарне, а проверяются на сервере для сомнительных файлов. По сути, многие сканеры это просто интерфейс для VirusTotal.
Тред утонул или удален.
Это копия, сохраненная 5 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 5 декабря 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.