|
Poslao: 27 Jan 2005 13:27
|
offline
- F-SECURE Distributer
- F-Secure Distributer
- Pridružio: 12 Jan 2005
- Poruke: 484
- Gde živiš: Beograd
|
Ovo pitanje me kopka vec duze vreme, sta je buducnost borbe protiv virusa: masivne baze sa brzim reagovanjem na pojave novih virusa ili napredne heuristike?
I da se ovo ne bi svelo na sukob izmedju Nodovaca i Kavovaca, hteo bih da napomenem da nije Nod patentirao heuristiku i da se jos drugih resenja pri vrhu ponude sluze endzinima baziranim na heuristici. Kao i da nije KAV jedini i uvek najbrzi u reakcijama 
Cini se da se i svetska javnost podelila, pa su oni blizi Virus Bulletinu opredeljeni za heuristiku, a drugi koji su uglavnom pri vodecim svetskim IT magazinima i institutima (sto ne podrazumeva automatski i autoritet u polju) skloniji masivnim bazama.
Koje je vase misljenje?
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 27 Jan 2005 19:15
|
offline
- Goran
- Prof.Mr.Dr.Sci. Traumatologije
- Pridružio: 05 Maj 2003
- Poruke: 9977
- Gde živiš: Singidunum
|
Mišljenja sam da je najbitnije imati dobru bazu i tim koji radi na tome nego naprednu heruistiku.
Znaš li kolika je prednost kad imaš mogućnost "update"-a na sat vremena, ovako ceo dan neki virus ima mogućnosti da ti napravi dar mar u firmi i sve što ti ostaje je da se prekrstiš i uzdaš u heruisitku dal će odraditi posao kako treba.
Izvagaj sam logično, sa jedne strane magla odnosno heruistika možda radi i možda ne radi..... a sa druge veoma pipljiva stvar a to je brzo otkrivanje virusa u rekordnom roku i njegova eliminacija.
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 20:23
|
offline
- SVITAC
- Legendarni građanin
- Pridružio: 28 Apr 2003
- Poruke: 5919
- Gde živiš: Beograd
|
Ja sam za kombinaciju ova 2 sistema .. ni jedan ni drugi sistem detekcije nije dovoljno dobar .. tj. ima svojih mana .. mislim da je tako nešto moguće odraditi .. samo je pitanje kako bi to uticalo na resurse u OS'u.
Heruistika zahteva mnogo veću optimizaciju detekcije nego što je sada i možda jednog dana i postigne dovoljan stepen korisnosti .. za sada po meni nije dovoljno dobra ..
Baze opet zahtevaju redovnu dopunu i bez nje AV nije uspešniji od heruistike.
Jedini ko je to stvarno shvatio i primenio u praksi je KL .. ali opet krajnji korisnik je taj koji treba da izvrši update tako da je uspešnost AV sa bazama delimično ograničena samim korisnikom.
ps. nema potrebe da ovo tema bude sukob korisnika .. i sami AV Lab'ovi sarađuju među sobom zašto bi se korisnici prepucavali .. cilj je zajednički .. veća bezbednost naših kompjutera i podataka.
|
|
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 21:34
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
a jeste li razmisljali o tome da zastita moze da se napravi na nivou OS-a?
pri svakom pokusaju menjanja nekog EXE fajla - da se korisnik pita?
ja mislim da je to moguce napraviti i na nivou antivirusa, samo je problem sto niko i ne zeli to da napravi, jer bi tako problem sa virusima bio resen za svagda, i antivirusnim kompanijama bi posao stao...
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 21:44
|
offline
- Pridružio: 22 Avg 2003
- Poruke: 787
- Gde živiš: Beograd
|
Peca ::a jeste li razmisljali o tome da zastita moze da se napravi na nivou OS-a?
pri svakom pokusaju menjanja nekog EXE fajla - da se korisnik pita?
ja mislim da je to moguce napraviti i na nivou antivirusa, samo je problem sto niko i ne zeli to da napravi, jer bi tako problem sa virusima bio resen za svagda, i antivirusnim kompanijama bi posao stao...
Mislim da bi tada na scenu stupio socijalni inzenjering kojim bi se korisnik ubedjivao da bas treba da prihvati menjanje EXE fajla, pa bi opet bili na istom.
Uostalom, 95% email crva se ne bi sirilo kada radoznali ne bi kliknuli bas zato sto im pise da obavezno kliknu
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 22:40
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
KAV distributer ::
Mislim da bi tada na scenu stupio socijalni inzenjering kojim bi se korisnik ubedjivao da bas treba da prihvati menjanje EXE fajla, pa bi opet bili na istom.
Uostalom, 95% email crva se ne bi sirilo kada radoznali ne bi kliknuli bas zato sto im pise da obavezno kliknu
potrebna je daleko manja edukacija korisnika, za takav sistem zastite.
uostalom, kada OS/AV pita korisnika da li ce dozvoliti da se taj_i_taj EXE izmeni, dovoljno ce biti da se, pored pitanja, u poruci napomene da bi ovo mogao da bude virus.
pa da vidimo ko ce, iz radoznalosti, da klikne na Accept...
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 23:33
|
offline
- Goran
- Prof.Mr.Dr.Sci. Traumatologije
- Pridružio: 05 Maj 2003
- Poruke: 9977
- Gde živiš: Singidunum
|
Postoje već programi sličnog tipa u Spybot-u i ovom novom Microsoftovom čistaču al te pita samo za smeštanje u "startup"-u, ostaje znači da treba se odradi za bilo koji "exe" fajl i stvar bi bila rešena.
|
|
|
|
|
|
|
Poslao: 27 Jan 2005 23:57
|
offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
i onda bi AV kompanije propale, bez posla 
|
|
|
|
|
|
|
Poslao: 28 Jan 2005 12:35
|
offline
- F-SECURE Distributer
- F-Secure Distributer
- Pridružio: 12 Jan 2005
- Poruke: 484
- Gde živiš: Beograd
|
KAV distributer ::
Kolega, BRE 
Ispade iz ovog tvog da KAV nema heuristiku, nego da se samo oslanja na baze - a zapravo, samo su se odlucili da maksimizuju oba sistema - dobra heuristika i baza dopunjena svakog sata. A ovo je najcesce od svih
Ja se izvinjavam kolega  No uglavnom su ljudi koji zastupaju baze kod nas na forumima (citaj ES) na KAV-u a ovi drugi NODovci... pa stoga takav moj komentar.
A ja se slazem sa Svicem, to je i moje licno misljenje a i zvanicno kompanijsko jer se takvo resenje primenjuje u F-Secure AV-u.
Iako ima ucenih ljudi koji ne vole kombinacije endzina, jer to usporava sken, ja verujem da je tu buducnost i velike AV kompanije to prepoznaju.
F-Secure, recimo, koristi 3 endzina, Libru za macro viruse, AVP za polimorfne do leta 2004. a od leta FSAV ali i Orion koji je potpuno zasnovan na heuristici i ne konsultuje bazu. Zato i jeste detekcija na tako visokom nivou.
I da, tu jeste zrtvovana brzina skena, ali i dalje pici 1,5GB ispod 7 minuta
E sad, posle ove reklamne poruke, i infoa da i KAV koristi heuristiku, koji argument ostaje za samostalna heuristicka resenja? Jedino brzina skena (gde je NOD jos uvek nenadmasan) i neopterecivanje resursa (problem koji su resili i vecina ostalih AV osim Nortona). Da li je to dovoljno za dobru zastitu?
Sa druge strane ni resenja koja se zasnivaju samo na bazama i brzini reakcije (momentu pustanja punog apdejta vise nego formiranju same definicije virusa jer izmedju ta dva moze da prodje i vise od 24 sata) ne mogu se pohvaliti uspesnom 2004. godinom kada smo imali vise zaraza nego ukupno do tada i kada su se upravo resenja sa kombinovanim "sistemom" izdvojila od ostalih (ima o tome dosta na av-test.org).
|
|
|
|
|
|
