Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Сергей
- Расскажи больше об этом международном тестировании - http://vk.com/wall24875666_1477
- Очень интересно.
- p.s. Файлик долго делал? А че иммунитет не на первое место поставил?
- 02:53:20
- Алексей
- Тестирование было в московском физтехе, я подделками не занимаюсь, поэтому этот файл не делал
- 02:54:50
- Сергей
- Спасибо, что ответил. А в сети почему нет информации об этом?
- 02:57:07
- Алексей
- Я не знаю, я не публиковал его, мне что админы скинули после тестов, то я и получил...
- 02:58:43
- Сергей
- Ну он у тебя и правда находит более 90% вирусов из тестовой базы в 50к?
- 03:00:29
- Алексей
- Говорю же, я не проверял теми средствами, что проверяли они.. Я скачивал простую базу вирусов из 3784 обектов вроде, и проверял её..из них 3690 считалось вирусами, больше я исследований не делал, за меня их делали обычные пользователи, которые говорила, что всё ок...
- 03:02:41
- Сергей
- Ну это крутой результат серьезно.
- 03:03:14
- А как твой антивирус обнаруживает вирусы? По базе сигнатур или больше эвристиком?
- Алексей
- Всего по чуть-чуть, и эвристика, и песочница, и контроль целостности, и хеш-суммы, и служебный поиск, и сигнатуры и т.п....
- 03:08:35
- Сергей
- Вот ты все общими словами говоришь, вот что такое служебный поиск? Как он работает, примерно хотя бы? Ну или скажи сколько у тебя сигнатур вирусов?
- 03:09:55
- Алексей
- Сигнатур 374249 записей, служебный поиск - сканирование внутри памяти на уровне службы, чтобы вычислять резидентные вирусы...
- 03:11:19
- Сергей
- А хеш-суммы это что такое? Типа сохраняешь значение хеш-сумм незараженных файлов и потом сверяешь при каждом запуске?
- 03:12:34
- Алексей
- Всё верно, записываем контрольные суммы критических системных файлов, и каждый определённый промежуток времени их сверяем, если они изменились, то в журнале жесткого диска ищем причину, в любом случае пользователь оповещается о том, что файл был именён
- 03:15:29
- Сергей
- Извини что так много вопросов задаю, просто очень интересно. А песочница, это запуск файла в "защищенном контейнере" и анализ его действий?
- 03:17:20
- Алексей
- Верно, Вы всё и без меня знаете =) Если через какое-то время после запуск файл не проявляет вредоносной активности, то он считается чистым и переносится из песочницы (изолированной области памяти), в нормальную функцианирующую..
- 03:20:21
- Сергей
- Т.е. все файлы на защищенной система сначала запускаются в песочнице?
- 03:20:56
- Алексей
- Не все, только новинки, котоыре не запускались ранее...
- 03:21:16
- Сергей
- А где он хранит базу хешей защищенных файлов и базу сигнатур?
- 03:21:55
- Алексей
- Сигнатуры в ядре core.dll, а хеши в памяти, перед завершением сбрасывает их в файл C:\Windows\System32\Im.sfc, а при запуске считывает обратно в память..
- Сергей
- Только в Core.dll и все?
- 03:24:57
- Алексей
- Сигнатуры - да, была идея хранить в отдельном текстовом файле base.dll, даже какую-то херню туда записал, а потом передумал и бросил, а файлик подтереть забыл, вот и получилась беда..
- 03:26:49
- Сергей
- А как у тебя получилось засунуть 300к сигнатур в файл размером 19кб?
- 03:28:42
- Алексей
- Исходный размер - 78кб, файл упакован UPX-ом, т.к. большая часть текст то всё норм сжалось, как будто доковский документ винраром сжимать... вес одной сигнатуры не превышает 16 байт..
- 03:30:16
- Сергей
- 374000*16 = 5 984 000 что примерно равно 5 мегабайтам, а не 78 кб.
- Алексей
- Это максимальный размер. Под сигнатуру "05?4?CB1", например, подходит примерно 4000 вирусов, а под сигнатуру "??54C???" в коде подходит примерно 700 вирусов, вот так и получается...
- 03:35:45
- Сергей
- Сигнатур значит меньше? Это вирусов он определяет 300к?
- 03:36:35
- Алексей
- Всё верно, самих сигнатур около 3800 записей..
- 03:37:34
- Сергей
- А ты не думаешь что под сигнатуру ??54C??? может подойти обычный файл?
- 03:38:03
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement