Антивирус Бабушкина Иммунитет

1.  
2. Сергей
3. Расскажи больше об этом международном тестировании - http://vk.com/wall24875666_1477
4.  
5. Очень интересно.
6. p.s. Файлик долго делал? А че иммунитет не на первое место поставил?
7. 02:53:20
8.  
9. Алексей
10. Тестирование было в московском физтехе, я подделками не занимаюсь, поэтому этот файл не делал
11. 02:54:50
12.  
13. Сергей
14. Спасибо, что ответил. А в сети почему нет информации об этом?
15. 02:57:07
16.  
17. Алексей
18. Я не знаю, я не публиковал его, мне что админы скинули после тестов, то я и получил...
19. 02:58:43
20.  
21. Сергей
22. Ну он у тебя и правда находит более 90% вирусов из тестовой базы в 50к?
23. 03:00:29
24.  
25. Алексей
26. Говорю же, я не проверял теми средствами, что проверяли они.. Я скачивал простую базу вирусов из 3784 обектов вроде, и проверял её..из них 3690 считалось вирусами, больше я исследований не делал, за меня их делали обычные пользователи, которые говорила, что всё ок...
27. 03:02:41
28.  
29. Сергей
30. Ну это крутой результат серьезно.
31. 03:03:14
32. А как твой антивирус обнаруживает вирусы? По базе сигнатур или больше эвристиком?
33.  
34. Алексей
35. Всего по чуть-чуть, и эвристика, и песочница, и контроль целостности, и хеш-суммы, и служебный поиск, и сигнатуры и т.п....
36. 03:08:35
37.  
38. Сергей
39. Вот ты все общими словами говоришь, вот что такое служебный поиск? Как он работает, примерно хотя бы? Ну или скажи сколько у тебя сигнатур вирусов?
40. 03:09:55
41.  
42. Алексей
43. Сигнатур 374249 записей, служебный поиск - сканирование внутри памяти на уровне службы, чтобы вычислять резидентные вирусы...
44. 03:11:19
45.  
46. Сергей
47. А хеш-суммы это что такое? Типа сохраняешь значение хеш-сумм незараженных файлов и потом сверяешь при каждом запуске?
48. 03:12:34
49.  
50. Алексей
51. Всё верно, записываем контрольные суммы критических системных файлов, и каждый определённый промежуток времени их сверяем, если они изменились, то в журнале жесткого диска ищем причину, в любом случае пользователь оповещается о том, что файл был именён
52. 03:15:29
53.  
54. Сергей
55. Извини что так много вопросов задаю, просто очень интересно. А песочница, это запуск файла в "защищенном контейнере" и анализ его действий?
56. 03:17:20
57.  
58. Алексей
59. Верно, Вы всё и без меня знаете =) Если через какое-то время после запуск файл не проявляет вредоносной активности, то он считается чистым и переносится из песочницы (изолированной области памяти), в нормальную функцианирующую..
60. 03:20:21
61.  
62. Сергей
63. Т.е. все файлы на защищенной система сначала запускаются в песочнице?
64. 03:20:56
65.  
66. Алексей
67. Не все, только новинки, котоыре не запускались ранее...
68. 03:21:16
69.  
70. Сергей
71. А где он хранит базу хешей защищенных файлов и базу сигнатур?
72. 03:21:55
73.  
74. Алексей
75. Сигнатуры в ядре core.dll, а хеши в памяти, перед завершением сбрасывает их в файл C:\Windows\System32\Im.sfc, а при запуске считывает обратно в память..
76.  
77.  
78. Сергей
79. Только в Core.dll и все?
80. 03:24:57
81.  
82. Алексей
83. Сигнатуры - да, была идея хранить в отдельном текстовом файле base.dll, даже какую-то херню туда записал, а потом передумал и бросил, а файлик подтереть забыл, вот и получилась беда..
84. 03:26:49
85.  
86. Сергей
87. А как у тебя получилось засунуть 300к сигнатур в файл размером 19кб?
88. 03:28:42
89.  
90.  
91. Алексей
92. Исходный размер - 78кб, файл упакован UPX-ом, т.к. большая часть текст то всё норм сжалось, как будто доковский документ винраром сжимать... вес одной сигнатуры не превышает 16 байт..
93. 03:30:16
94.  
95. Сергей
96. 374000*16 = 5 984 000 что примерно равно 5 мегабайтам, а не 78 кб.
97.  
98.  
99. Алексей
100. Это максимальный размер. Под сигнатуру "05?4?CB1", например, подходит примерно 4000 вирусов, а под сигнатуру "??54C???" в коде подходит примерно 700 вирусов, вот так и получается...
101. 03:35:45
102.  
103. Сергей
104. Сигнатур значит меньше? Это вирусов он определяет 300к?
105. 03:36:35
106.  
107. Алексей
108. Всё верно, самих сигнатур около 3800 записей..
109. 03:37:34
110.  
111. Сергей
112. А ты не думаешь что под сигнатуру ??54C??? может подойти обычный файл?
113. 03:38:03