Heuristika vs. baze+brza reakcija

3

Heuristika vs. baze+brza reakcija

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

c0mrade ::Daj nemoj te price, oboris windows =) Za stare viruse imas bazu, e sad sve zavisi koliko je baza popunjena, nijedna baza ne moze da ima 100%... Heuristika se zasniva na emuliranju i to je svakako moguce zeznuti, ima recimo fora sa SEH, mislim ima gomila forica, ali NOD32 barem nesto detektuje (4 fajla od 1000 inficiranih) dok KAV i Symantec ko da nista ni nema u fajlovima...

Pazi sad - detektuje 4 od 1000 nepoznatih, a nekih 90% poznatih.

Znaci, imas 4 promila sanse da se odbranis od nepoznatog virusa na osnovu heuristike, ali zato ti kod vec cirkulirajucih virusa 10% njih promice.

Kod KAV-a, recimo da po tvom ne nadje nista od tih 1000 krajnje private virusa. Kada se neki od njih pocne da siri, vrlo brzo ce biti u bazi jer se update baza radi svaki sat i cesce po potrebi i bice detektovan. U tom trenutku ostajemo na verovatnoci od 99.8% da KAV nadje neki drugi virus koji vec cirkulise i nesto ispod 90% verovatnoce da NOD nadje virus.
Kada sve saberes, opet ti je ukupna bezbednost KAV-a veca od NOD-ove...cak i sa tom heuristikom koja je uspesna u 4 promila slucajeva (otkad je to napredna detekcija?)

Ono sto je posebno pitanje - ako od tih 1000 fajlova bas nijedan drugi AV ne nadje nista, a NOD nadje 4...otkud znas da nije lazna uzbuna, kojoj je NOD, ponavljam, veoma sklon?
Ako si ti pravio tih 1000, mozda ih nisi dobro napravio...mozda im nesto fali pa ih ovi ne prepoznaju (ne tvrdim, sugerisem jedno od resenja)?
Kako si zapravo dosao do zakljucka da je tih 1000 fajlova maliciozno, kada za 996 njih nijedan AV na svetu ne kaze nista?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Auuuuu pa ti si pobrkao nije 4 virusa od 1000 nego od 1000fajlova zarazenih istim virusom kaze da su 4 mozda inficirana =) a KAV i Symantec ni ta 4 ne registruju...
Jednostavno kazem ti ne prepoznaju dok NOD barem daje neke naznake, zato sam i dao $35 za njega, jer ako KAV ne prepoznaje nove viruse, pa sta ce mi onda?

Logicno zar ne... nekako mi se ne svidja ta izvrnuta maksima "Bolje leciti pa spreciti" koja postoji kod KAV, umesto "bolje spreciti nego leciti" koja postoji kod NOD32...



offline
  • Pridružio: 25 Mar 2004
  • Poruke: 816

cek ako sam dobro razumeo od 1000 zarazenih fajlova ISTIM virusom NOD primecuje samo 4 a KAV i NAV 0. Sta je onda sa ostalim 996 i koji to virus,troyan,worm uopste ?

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Da upravo tako =( Dakle barem covek moze da ima pojma o cemu se radi i eventualno da taj fajl posalje na samples@nod32.com na dalju analizu, i eventualno dobijes update sa virusom u bazi... ili je pak lazna uzbuna o cemu bivas obavesten, tako da malo si sigurniji sa heuristikom nego sa bazom...

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23208
  • Gde živiš: Niš

polimorfican virus, menja oblik...

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

i to je veoma tesko naci =) ali je zato umetnost to napisati od 0, skidam kapu ljudima koji to rade =)

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

c0mrade ::Auuuuu pa ti si pobrkao nije 4 virusa od 1000 nego od 1000fajlova zarazenih istim virusom kaze da su 4 mozda inficirana =)


Ahaaaa...tacno, nisam dobro razumeo sta si napisao Smile

OK - kapiram.

c0mrade :: Logicno zar ne... nekako mi se ne svidja ta izvrnuta maksima "Bolje leciti pa spreciti" koja postoji kod KAV, umesto "bolje spreciti nego leciti" koja postoji kod NOD32...

Ipak, podlegao si agresivnoj NOD-ovskoj kampanji koja tvrdi da samo NOD radi sa dobrom heuristikom a ostali sa bazama Smile
Time zele da nadoknade nedostatak koji imaju u sporosti redovnog punjenja baza, a pogotovo u sporosti odziva kod incidenta.
Sigurno je da ce se desiti situacija kada ce NOD nesto naci pre KAV-a, ali je isto tako sigurno da je veci broj slucajeva i sa novim virusima kada ce KAV naci, a NOD ne. U tome i jeste caka - nema AV-a sa kojim si 100% siguran, vec si sa nekim samo manje ili vise siguran.
NOD je nesporno brz u skeniranju i lagan za resurse, ali ne udublje se mnogo u fajlove vec mnoge od njih preskace...pa je otud i tako munjevit, ali mu stosta i prodje.

I dalje mi nije jasno, zasto njegova heuristika ne nalazi vec poznate Windows viruse...tacnije, NOD i sa bazom i sa heuristikom propusti na svakom testu po 10-ak posto (pogledaj po netu, casopisima....) virusa iz test baze, dok ovi "izvikani" proopuste ispod 1% do 1-2 posto max (kako koji)...zasto tu ne radi heuristika i kako se onda tvrdi da ce biti bolja kod sasvim novog virusa?
Pokusavam da pitam - kako NOD-ova heuristika prepozna stari virus pa ga ne detektuje i propusti, a nove ce navodno da zaustavi? Wink

offline
  • Pridružio: 08 Dec 2004
  • Poruke: 187

Moram da se nasmejem! Laughing
@KAV distributer:
"Te stare viruse sto Nod propusti..." Pa to je zato sto im je ekipa sposobna i "vrlo" azurna pa su obrnuto proporcionalni svojoj brzoj masini!
I daj ljudi vise ostavite se Nod-ovskih hipoteza i naucne fantastike.,da li postoje neki cvrsti argumenti da je Nod toliko dobar koliko vi pokusavate da ga izreklamirate.I globalizujete pricu... pa nenadje Nod bas svaki in wild virus., on samo "nabode" poneki,ukoliko nije i sam dao laznu uzbunu!?A sta cemo sa onih 10% sto mu fali u realnom vremenu??? Confused
Njih da pustimo da rovare po hardu???

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Citat:
I dalje mi nije jasno, zasto njegova heuristika ne nalazi vec poznate Windows viruse...tacnije, NOD i sa bazom i sa heuristikom propusti na svakom testu po 10-ak posto (pogledaj po netu, casopisima....) virusa iz test baze, dok ovi "izvikani" proopuste ispod 1% do 1-2 posto max (kako koji)


To jeste zagonetka, heuristika nije svemocna, mozda bas tih 10 virusa imaju neke napredne tehnike anti-heuristik, anti-emulation i zato ne moze da ih nadje, dok drugi pak pogledaju u svoju bazu podataka i nadju...
Moguce je sasvim da baza nije 100% update, jer bratac, sam znas da ima mali milion virusa na internetu i ne mozes sve njih da ubacis u bazu...
JA mislim da se VXirma najvise svidja NOD32, jer ako zeznu njegovu heuristiku ostali ce biti ptpuno nemi...
Ja se slazem da kad virus izadje u javnost odma ide detaljna nalazi i punjenje baze podataka, ali tu nastupa polimorfizam, kripcija, i metamorfizam kako bi se AV kompanije namucile analizirajuci virus =) Pre svega to je i razlog sto te tehnike postoje =) Da krvavo zarade svoj hleb =))) Mogu samo da zamislim nekog iz AV kompanije koji prati virus kriptovan sa z0mbievim KME, ne moze da mu provali algoritam, sirenje, osecam da baja onda provede 7-8 sati samo pokusavajuci da utvrdi nacin na koji je kriptovan =))
Ali NOD32 samo detektuje nesto sumnjivo i kaze moguc virus, dok ostali zaneme...
Premda je trend da se pisu virusi sa harmless payloadom (virusi cija je svrha samo da se sire po kompu i nista vise), ipak ima zlocestih umova koji prave destruktivne viruse (CiH recimo), zamisli da ti takav virus stigne na komp pre nego sto dodje update od nadleznih "organa" =((
Tu je jedini spas heuristika =)

Poz...

offline
  • Goran 
  • Prof.Mr.Dr.Sci. Traumatologije
  • Pridružio: 05 Maj 2003
  • Poruke: 9977
  • Gde živiš: Singidunum

Pa majku mu ispade da KAV nema heuristiku uopšte a NOD32 ima neku revolucionarnu.

Ko je trenutno na forumu
 

Ukupno su 1119 korisnika na forumu :: 88 registrovanih, 2 sakrivenih i 1029 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., aboris, amaterSRB, Arsenije, arzak, babaroga, Ben Roj, bojcistv, Brada i Gibanica, BraneS, branko7, brundo65, CrazySerb_MLD, dankisha, dejanbenkovic, dekan.m, DENIRO, djboj, doklevise, draganca, draganl, drimer, DucicM, Džordžino, Ehinacea, eulereix, famoso, Fog of War, Gama, gomago, Griffon vulture, HrcAk47, ikan, Ilija Cvorovic, kairos, Koridor, Kriglord, krlebgd77, laki_bb, liman, mane123, mcgunner, mercedesamg, milan47, mile23, MiroslavD, misa1xx, mkukoleca, mnn2, moldway, nebidrag, pajtos, Parker, pein, procesor, proka89, rajkoplje, raptorsi, Recce, rikirubio, riva, rkekoke, RobinHood12, Rocker, Romibrat, rovac, ruso, S2M, sabros, savaskytec, slonic_tonic, Smd, solic, sombrero, spektorsky, Srki94, Steeeefan, Stuka76, tmanda323, Van, Viceroy, virked, VJ, Vlada1389, vladas87, vlahale, Zadonbas, zuxbg