SHOW:
|
|
- or go back to the newest paste.
| 1 | ||
| 2 | Сергей | |
| 3 | Расскажи больше об этом международном тестировании - http://vk.com/wall24875666_1477 | |
| 4 | ||
| 5 | Очень интересно. | |
| 6 | p.s. Файлик долго делал? А че иммунитет не на первое место поставил? | |
| 7 | 02:53:20 | |
| 8 | ||
| 9 | Алексей | |
| 10 | Тестирование было в московском физтехе, я подделками не занимаюсь, поэтому этот файл не делал | |
| 11 | 02:54:50 | |
| 12 | ||
| 13 | Сергей | |
| 14 | Спасибо, что ответил. А в сети почему нет информации об этом? | |
| 15 | 02:57:07 | |
| 16 | ||
| 17 | Алексей | |
| 18 | Я не знаю, я не публиковал его, мне что админы скинули после тестов, то я и получил... | |
| 19 | 02:58:43 | |
| 20 | ||
| 21 | Сергей | |
| 22 | Ну он у тебя и правда находит более 90% вирусов из тестовой базы в 50к? | |
| 23 | 03:00:29 | |
| 24 | ||
| 25 | Алексей | |
| 26 | Говорю же, я не проверял теми средствами, что проверяли они.. Я скачивал простую базу вирусов из 3784 обектов вроде, и проверял её..из них 3690 считалось вирусами, больше я исследований не делал, за меня их делали обычные пользователи, которые говорила, что всё ок... | |
| 27 | 03:02:41 | |
| 28 | ||
| 29 | Сергей | |
| 30 | Ну это крутой результат серьезно. | |
| 31 | 03:03:14 | |
| 32 | А как твой антивирус обнаруживает вирусы? По базе сигнатур или больше эвристиком? | |
| 33 | ||
| 34 | Алексей | |
| 35 | Всего по чуть-чуть, и эвристика, и песочница, и контроль целостности, и хеш-суммы, и служебный поиск, и сигнатуры и т.п.... | |
| 36 | 03:08:35 | |
| 37 | ||
| 38 | Сергей | |
| 39 | Вот ты все общими словами говоришь, вот что такое служебный поиск? Как он работает, примерно хотя бы? Ну или скажи сколько у тебя сигнатур вирусов? | |
| 40 | 03:09:55 | |
| 41 | ||
| 42 | Алексей | |
| 43 | Сигнатур 374249 записей, служебный поиск - сканирование внутри памяти на уровне службы, чтобы вычислять резидентные вирусы... | |
| 44 | 03:11:19 | |
| 45 | ||
| 46 | Сергей | |
| 47 | А хеш-суммы это что такое? Типа сохраняешь значение хеш-сумм незараженных файлов и потом сверяешь при каждом запуске? | |
| 48 | 03:12:34 | |
| 49 | ||
| 50 | Алексей | |
| 51 | Всё верно, записываем контрольные суммы критических системных файлов, и каждый определённый промежуток времени их сверяем, если они изменились, то в журнале жесткого диска ищем причину, в любом случае пользователь оповещается о том, что файл был именён | |
| 52 | 03:15:29 | |
| 53 | ||
| 54 | Сергей | |
| 55 | Извини что так много вопросов задаю, просто очень интересно. А песочница, это запуск файла в "защищенном контейнере" и анализ его действий? | |
| 56 | 03:17:20 | |
| 57 | ||
| 58 | Алексей | |
| 59 | Верно, Вы всё и без меня знаете =) Если через какое-то время после запуск файл не проявляет вредоносной активности, то он считается чистым и переносится из песочницы (изолированной области памяти), в нормальную функцианирующую.. | |
| 60 | 03:20:21 | |
| 61 | ||
| 62 | Сергей | |
| 63 | Т.е. все файлы на защищенной система сначала запускаются в песочнице? | |
| 64 | 03:20:56 | |
| 65 | ||
| 66 | Алексей | |
| 67 | Не все, только новинки, котоыре не запускались ранее... | |
| 68 | 03:21:16 | |
| 69 | ||
| 70 | Сергей | |
| 71 | А где он хранит базу хешей защищенных файлов и базу сигнатур? | |
| 72 | 03:21:55 | |
| 73 | ||
| 74 | Алексей | |
| 75 | Сигнатуры в ядре core.dll, а хеши в памяти, перед завершением сбрасывает их в файл C:\Windows\System32\Im.sfc, а при запуске считывает обратно в память.. | |
| 76 | ||
| 77 | ||
| 78 | Сергей | |
| 79 | Только в Core.dll и все? | |
| 80 | 03:24:57 | |
| 81 | ||
| 82 | Алексей | |
| 83 | Сигнатуры - да, была идея хранить в отдельном текстовом файле base.dll, даже какую-то херню туда записал, а потом передумал и бросил, а файлик подтереть забыл, вот и получилась беда.. | |
| 84 | 03:26:49 | |
| 85 | ||
| 86 | Сергей | |
| 87 | А как у тебя получилось засунуть 300к сигнатур в файл размером 19кб? | |
| 88 | 03:28:42 | |
| 89 | ||
| 90 | ||
| 91 | Алексей | |
| 92 | Исходный размер - 78кб, файл упакован UPX-ом, т.к. большая часть текст то всё норм сжалось, как будто доковский документ винраром сжимать... вес одной сигнатуры не превышает 16 байт.. | |
| 93 | 03:30:16 | |
| 94 | ||
| 95 | Сергей | |
| 96 | - | 374000*16 = 5 984 000 что примерно равно 5 мегабайтам, а не 78 кб. |
| 96 | + | 374000*16 = 5 984 000 что примерно равно 5 мегабайтам, а не 78 кб. |
| 97 | ||
| 98 | ||
| 99 | Алексей | |
| 100 | Это максимальный размер. Под сигнатуру "05?4?CB1", например, подходит примерно 4000 вирусов, а под сигнатуру "??54C???" в коде подходит примерно 700 вирусов, вот так и получается... | |
| 101 | 03:35:45 | |
| 102 | ||
| 103 | Сергей | |
| 104 | Сигнатур значит меньше? Это вирусов он определяет 300к? | |
| 105 | 03:36:35 | |
| 106 | ||
| 107 | Алексей | |
| 108 | Всё верно, самих сигнатур около 3800 записей.. | |
| 109 | 03:37:34 | |
| 110 | ||
| 111 | Сергей | |
| 112 | А ты не думаешь что под сигнатуру ??54C??? может подойти обычный файл? | |
| 113 | 03:38:03 |
