Heuristika vs. baze+brza reakcija

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

c0mrade ::Daj nemoj te price, oboris windows =) Za stare viruse imas bazu, e sad sve zavisi koliko je baza popunjena, nijedna baza ne moze da ima 100%... Heuristika se zasniva na emuliranju i to je svakako moguce zeznuti, ima recimo fora sa SEH, mislim ima gomila forica, ali NOD32 barem nesto detektuje (4 fajla od 1000 inficiranih) dok KAV i Symantec ko da nista ni nema u fajlovima...

Pazi sad - detektuje 4 od 1000 nepoznatih, a nekih 90% poznatih.

Znaci, imas 4 promila sanse da se odbranis od nepoznatog virusa na osnovu heuristike, ali zato ti kod vec cirkulirajucih virusa 10% njih promice.

Kod KAV-a, recimo da po tvom ne nadje nista od tih 1000 krajnje private virusa. Kada se neki od njih pocne da siri, vrlo brzo ce biti u bazi jer se update baza radi svaki sat i cesce po potrebi i bice detektovan. U tom trenutku ostajemo na verovatnoci od 99.8% da KAV nadje neki drugi virus koji vec cirkulise i nesto ispod 90% verovatnoce da NOD nadje virus.
Kada sve saberes, opet ti je ukupna bezbednost KAV-a veca od NOD-ove...cak i sa tom heuristikom koja je uspesna u 4 promila slucajeva (otkad je to napredna detekcija?)

Ono sto je posebno pitanje - ako od tih 1000 fajlova bas nijedan drugi AV ne nadje nista, a NOD nadje 4...otkud znas da nije lazna uzbuna, kojoj je NOD, ponavljam, veoma sklon?
Ako si ti pravio tih 1000, mozda ih nisi dobro napravio...mozda im nesto fali pa ih ovi ne prepoznaju (ne tvrdim, sugerisem jedno od resenja)?
Kako si zapravo dosao do zakljucka da je tih 1000 fajlova maliciozno, kada za 996 njih nijedan AV na svetu ne kaze nista?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Auuuuu pa ti si pobrkao nije 4 virusa od 1000 nego od 1000fajlova zarazenih istim virusom kaze da su 4 mozda inficirana =) a KAV i Symantec ni ta 4 ne registruju...
Jednostavno kazem ti ne prepoznaju dok NOD barem daje neke naznake, zato sam i dao $35 za njega, jer ako KAV ne prepoznaje nove viruse, pa sta ce mi onda?

Logicno zar ne... nekako mi se ne svidja ta izvrnuta maksima "Bolje leciti pa spreciti" koja postoji kod KAV, umesto "bolje spreciti nego leciti" koja postoji kod NOD32...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

cek ako sam dobro razumeo od 1000 zarazenih fajlova ISTIM virusom NOD primecuje samo 4 a KAV i NAV 0. Sta je onda sa ostalim 996 i koji to virus,troyan,worm uopste ?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da upravo tako =( Dakle barem covek moze da ima pojma o cemu se radi i eventualno da taj fajl posalje na [Link mogu videti samo ulogovani korisnici] na dalju analizu, i eventualno dobijes update sa virusom u bazi... ili je pak lazna uzbuna o cemu bivas obavesten, tako da malo si sigurniji sa heuristikom nego sa bazom...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

polimorfican virus, menja oblik...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

i to je veoma tesko naci =) ali je zato umetnost to napisati od 0, skidam kapu ljudima koji to rade =)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

c0mrade ::Auuuuu pa ti si pobrkao nije 4 virusa od 1000 nego od 1000fajlova zarazenih istim virusom kaze da su 4 mozda inficirana =)


Ahaaaa...tacno, nisam dobro razumeo sta si napisao

OK - kapiram.

c0mrade :: Logicno zar ne... nekako mi se ne svidja ta izvrnuta maksima "Bolje leciti pa spreciti" koja postoji kod KAV, umesto "bolje spreciti nego leciti" koja postoji kod NOD32...

Ipak, podlegao si agresivnoj NOD-ovskoj kampanji koja tvrdi da samo NOD radi sa dobrom heuristikom a ostali sa bazama
Time zele da nadoknade nedostatak koji imaju u sporosti redovnog punjenja baza, a pogotovo u sporosti odziva kod incidenta.
Sigurno je da ce se desiti situacija kada ce NOD nesto naci pre KAV-a, ali je isto tako sigurno da je veci broj slucajeva i sa novim virusima kada ce KAV naci, a NOD ne. U tome i jeste caka - nema AV-a sa kojim si 100% siguran, vec si sa nekim samo manje ili vise siguran.
NOD je nesporno brz u skeniranju i lagan za resurse, ali ne udublje se mnogo u fajlove vec mnoge od njih preskace...pa je otud i tako munjevit, ali mu stosta i prodje.

I dalje mi nije jasno, zasto njegova heuristika ne nalazi vec poznate Windows viruse...tacnije, NOD i sa bazom i sa heuristikom propusti na svakom testu po 10-ak posto (pogledaj po netu, casopisima....) virusa iz test baze, dok ovi "izvikani" proopuste ispod 1% do 1-2 posto max (kako koji)...zasto tu ne radi heuristika i kako se onda tvrdi da ce biti bolja kod sasvim novog virusa?
Pokusavam da pitam - kako NOD-ova heuristika prepozna stari virus pa ga ne detektuje i propusti, a nove ce navodno da zaustavi?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Moram da se nasmejem!
@KAV distributer:
"Te stare viruse sto Nod propusti..." Pa to je zato sto im je ekipa sposobna i "vrlo" azurna pa su obrnuto proporcionalni svojoj brzoj masini!
I daj ljudi vise ostavite se Nod-ovskih hipoteza i naucne fantastike.,da li postoje neki cvrsti argumenti da je Nod toliko dobar koliko vi pokusavate da ga izreklamirate.I globalizujete pricu... pa nenadje Nod bas svaki in wild virus., on samo "nabode" poneki,ukoliko nije i sam dao laznu uzbunu!?A sta cemo sa onih 10% sto mu fali u realnom vremenu???
Njih da pustimo da rovare po hardu???

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:
I dalje mi nije jasno, zasto njegova heuristika ne nalazi vec poznate Windows viruse...tacnije, NOD i sa bazom i sa heuristikom propusti na svakom testu po 10-ak posto (pogledaj po netu, casopisima....) virusa iz test baze, dok ovi "izvikani" proopuste ispod 1% do 1-2 posto max (kako koji)

To jeste zagonetka, heuristika nije svemocna, mozda bas tih 10 virusa imaju neke napredne tehnike anti-heuristik, anti-emulation i zato ne moze da ih nadje, dok drugi pak pogledaju u svoju bazu podataka i nadju...
Moguce je sasvim da baza nije 100% update, jer bratac, sam znas da ima mali milion virusa na internetu i ne mozes sve njih da ubacis u bazu...
JA mislim da se VXirma najvise svidja NOD32, jer ako zeznu njegovu heuristiku ostali ce biti ptpuno nemi...
Ja se slazem da kad virus izadje u javnost odma ide detaljna nalazi i punjenje baze podataka, ali tu nastupa polimorfizam, kripcija, i metamorfizam kako bi se AV kompanije namucile analizirajuci virus =) Pre svega to je i razlog sto te tehnike postoje =) Da krvavo zarade svoj hleb =))) Mogu samo da zamislim nekog iz AV kompanije koji prati virus kriptovan sa z0mbievim KME, ne moze da mu provali algoritam, sirenje, osecam da baja onda provede 7-8 sati samo pokusavajuci da utvrdi nacin na koji je kriptovan =))
Ali NOD32 samo detektuje nesto sumnjivo i kaze moguc virus, dok ostali zaneme...
Premda je trend da se pisu virusi sa harmless payloadom (virusi cija je svrha samo da se sire po kompu i nista vise), ipak ima zlocestih umova koji prave destruktivne viruse (CiH recimo), zamisli da ti takav virus stigne na komp pre nego sto dodje update od nadleznih "organa" =((
Tu je jedini spas heuristika =)

Poz...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa majku mu ispade da KAV nema heuristiku uopšte a NOD32 ima neku revolucionarnu.