Heuristika vs. baze+brza reakcija

6

Heuristika vs. baze+brza reakcija

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

A pa ne ETFu nema para, a licno mi se nije svidjalao sta se tamo uci i zato sam poslusao caleta i zavrsio na pravnom =)
Nasao je ->>>>>>>>> "possible unknown CRYPT.WIN32" zadovoljan?
To je sve sto je nasao tom heuristikom u 4 fajla od celog program Files...
Ostali ni toliko...

7. Zasto bi ucestvovao, OSovi me ne zanimaju, ja sam se bavio programiranjem (malo administracijom) i sad sam iskljucivi Windowssas... i obaveze na fakultetu mi ne daju da se posvetim kompovima kao sto sam to cinio tokom 98-01
8. prevashodno sam bio ponosan na moj modul koji je radio na nivou kernela (a na kom drugom) i koji je presretao sve sto user dobija na stdout i stderr (bese descriptori 1 i 2) i odredjivao koje reci da pusta koje da ne pusta, recimo da si tako mogao da sklonis od pogleda usera fajl ili sta si vec hteo... recimo svojevremeno svakou rec "predator" je onemogucavao da bude prikazana na ekranu... Takodje bilo je tu mnooooogo zabadanja sistema ali na kraju je uspesno radio... i bio svojevremeno objavljen na nonenone.2y.net
Takodje sam radio i patch za kernel 2.2.19 i 2.4.x da se skloni MOD_DELETED jer davanjem tog flaga svom modulu taj vise nije mogao da se izbaci iz kernela a radio je normalno... Doduse nije prihvaen od linux core dev tima (da ih tako nazovem) ali je kod mene na kernelu radio godinu dana =) dok nisam presao na FreeBSD =)

itd...itd...
Uzgred ja se ne izdajem za nikoga, samo sam ZA heuristiku, a marketing po raznim test sajtovima nikad nisam postovao, tako su i Linux hvalili na mnogim sajtvoima pa sam ja gurao FreeBSD... i bio vise nego zadovoljan...



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

@cOmrade: A po kojem osnovu sudis da je Nodova heuristika najbolja? Nije Eset izmislio heuristicki model? I F-Secure i McAfee imaju napredne heuristike (jedan od 3 engine-a kod F-Secure-a je potpuno zasnovan na heuristici) i mnogo bolje prolaze na svim testovima (koji su diskutabilnog kvaliteta, slazem se, ali se isti kriterijumi primenjuju na sva resenja koja se testiraju).

Nod32, cak i ako mu oprostimo jako nizak nivo detekcije na testovima (osim VB100 ali o ovom testu mozemo poseban tred da otvorimo), nije bas dobar za rad u mrezi tj. jedna od velikih mana je sto ne moze da se inforsira izvrsenje zadataka i bezbednosne politike firme posto klijenti nisu u stalnom kontaktu sa serverom (sto bi znacilo da svaki korisnik u mrezi mora da barem osrednje dobro vlada administracijom da bi mogao da se zastiti). U istom kontekstu je i mana da ne mogu da se prave recovery diskete ili CDovi (opet se podrazumeva da je svaki korisnik administrator koji ce sam to da odradi).

O interfejsu necu ni da govorim jer vec i ptice na grani znaju da ga vole samo iskusni administratori.

Naravno, ovo ne izbija nijedan od argumenata koje ti imas da se Nod32 tebi svidja i da je super za tvoje potrebe. Ali svakako ne treba da bude prvi izbor u poslovnom okruzenju.



offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Svakako bratac, ja samo iznosim ono sto je mene odusevilo i sto se meni svidja i to su moji argumenti za, svakako da i drugi programi (AV) imaju dobre strane, ja ni ne tvrdim da je eset izmislio heuristiku, ali je trenutno njegova najbolja(barem po mom iskustvu)...
Recimo meni se kod Symanteca svidja sto recimo jedan program vrsi update sa interneta a ostali (klijentela) preuzimaju od njega...
NOD32 po meni nimalo nije user-friendly, i to mu je najveca mana... Za razliku, KAV je izuzetno, pa i sam Symantec, userfriendly...
o F-secure nemogu nista da kazem, jer sam ga zadnji put koristio na DOSu 95 godine i lepo je radio posao (onaj stari fazon menjas datum u BIOS da bi "blagovremena verzija" nasih dilera radila =( )...

Sto se tice poslovnog okruzenja, svakako da NOD32 nije pravi izbor iz prostog razloga sto u kontakt sa kompom dolaze ljudi koji nisu vicni ovom "zanatu", tako da je za njih bolje da koriste neki AV koji je vise userfriendly...

Medjutim posle citanja dokumentacije i delimicno koda MetaPHOR virusa, shvatio sam da su potpisi proslost i da jedino heuristika pomaze u buducnosti (rec je o virusu koji sebe menja u svakom pogledu)
1. generacija mu je oko 30kb sledece generacije su mu oko 64kb i bukvalno menja svaki deo koda... tako da potpis ne pomaze tu =)

poz...

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

c0mrade ::
Recimo meni se kod Symanteca svidja sto recimo jedan program vrsi update sa interneta a ostali (klijentela) preuzimaju od njega...


Ovo moze svaki iole ozbiljniji AV, pa cak i NOD (mislim).
Hajde proveri bas, pa nam reci - ako ne moze, heh...jos je gori nego sto sam mislio Very Happy

c0mrade ::
Medjutim posle citanja dokumentacije i delimicno koda MetaPHOR virusa, shvatio sam da su potpisi proslost i da jedino heuristika pomaze u buducnosti (rec je o virusu koji sebe menja u svakom pogledu)


Jos nam nisi objasnio zasto NOD-ova heuristika ne nalazi onih 50-ak poznatih virusa iz one test arhive koja je kruzila ovde po forumu?

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Ja ti kazem, daj mi te viruse pa cu da probam u VMware...
Procitaj malo gore sta sam rekao, ili mi barem daj listu pa ce da nadjemo...

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

od Bobby-ja

Trazili ste onaj paket sa virusima - http://www.mycity.rs/fajlovi/virusi.rar - 1.44MB

Objasnjenje kako raspakovati i koristiti arhivu je ovde:
http://www.mycity.rs/phpbb/viewtopic.php?t=2969&start=0

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

ok hvala, sacu to da skinem (sad sa 14kbps moze da potraje) pa cu ti javiti sta je nasao...

Dopuna: 01 Feb 2005 17:34

daaaaaaaaaaaj pa ovo su DOS virusi =(( cak ni to nisu...
Svaki ima samo MZ header nijedan nije PE...
Nadje par komada kao mogucih simulacija virusa, sto u sustini jesu, uzgred i pokrenuo sam sve njih u VM i iskreno, evo radi ko bog opet XP u virtuelnoj masini, na fajlovima nema nikakve pormene... ne znam kako to da su ovo virusi a nista ne rade?

Ako ti ovo nazivas virusom? (ja mislim da je ovo vise nego ocigledno samim citanjem binarnog koda, pa i za laike, sta radi ovaj "virus"):
Ako su vam ovo pronasli kao virus, onda mislim stvarno da treba da se zapita covek oko skeniranja ostalih AV =)))))))))))))
recimo fajl _3012.exe =))))) Najobicniji kod koji stampa "I'm infected with virus" i ako to ostali prepoznaju kao virus =( zao mi je =))))

offline
  • Pridružio: 08 Dec 2004
  • Poruke: 187

Ti se smejes... pardon, ismejavas F-sec,Mc Afee,Kasperskog???
Pa ti si "kanda" mnogo pameta, cudi me kako do sada nisi skrenuo paznju AV kompanija i poceo da radis za neku od njih???
Kako ti kazes: "bratac"., mozda si malo nacitan, ali sigurno nisi dorastao da potcenjujes najbolje...
Pa ako neki AV nemoze da prepozna jednu "azbuku" virusa koju se ti smelo usudjujes da proglasis za "dobrocudne!?" programe,kako onda uopste smes da tvrdis da ce NOD prepoznati nesto sto jos nije ni ustanovljeno(citaj zavedeno) kao virus!!! Pa to je paradoks!!!
PS. I znaci tvoja strucna procena je: ako neki "dobrocudni program" stampa na kompijuteru :
OVO SI TI NAPISAO:

"recimo fajl _3012.exe =))))) Najobicniji kod koji stampa "I'm infected with virus" i ako to ostali prepoznaju kao virus =( zao mi je =)))"
Onda to nije virus?

A da li je mogao i nesto drugo da napise , uradi???

offline
  • Pridružio: 29 Jan 2005
  • Poruke: 94
  • Gde živiš: Beograd, Srbija

Da mogao je da kaze :

int main(){
  printf("You stink\n");
  return 0;
}

vuhu evo ga virus... E sad ono "You stink\n" zameni sa "I'm infected with virus\n" i imas super mega giga razoran virus, ili pak budalastu poruku za korisnika?
i sad ga lepo kompajliraj i eto ti virusa, inace NOD32 je nasao 552 !?!? virusa... zadovoljan?
Da proglasavam ih dobrocudnim jer na Win ne mogu nista da urade, a ja ne vidim da jos neko koristi DOS...

A ja ne kapiram gde sam napisao da KAV nevalja ili McDonalds ili F-prot, boze sacuvaj =) Ja sam samo rekao da je heuristika NOD32 bolja od njihove, tako da pazljivo citaj sta pisem (ukoliko zelis naravno)...

A ovo zaposlenje u Av kompanijama, pa bratac, da sam nastavio da se bavim kompovima jos 2001 sigurno bi sad vec pisao metamorfne viruse, ali buduci da sam tek od skora poceo da "obanvljam svoje znanje" i s obzirom da studiram prava, ovako nesto mi nije potrebno a niti mi je cilj...

Citat:
OVO SI TI NAPISAO

Boze sacuvaj, ja to napisao? Nisam ni znao dok mi nisi rekao...

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

c0mrade ::ok hvala, sacu to da skinem (sad sa 14kbps moze da potraje) pa cu ti javiti sta je nasao...

Dopuna: 01 Feb 2005 17:34

daaaaaaaaaaaj pa ovo su DOS virusi =(( cak ni to nisu...
Svaki ima samo MZ header nijedan nije PE...
Nadje par komada kao mogucih simulacija virusa, sto u sustini jesu, uzgred i pokrenuo sam sve njih u VM i iskreno, evo radi ko bog opet XP u virtuelnoj masini, na fajlovima nema nikakve pormene... ne znam kako to da su ovo virusi a nista ne rade?

Ako ti ovo nazivas virusom? (ja mislim da je ovo vise nego ocigledno samim citanjem binarnog koda, pa i za laike, sta radi ovaj "virus"):
Ako su vam ovo pronasli kao virus, onda mislim stvarno da treba da se zapita covek oko skeniranja ostalih AV =)))))))))))))
recimo fajl _3012.exe =))))) Najobicniji kod koji stampa "I'm infected with virus" i ako to ostali prepoznaju kao virus =( zao mi je =))))


Bratac, mislim da je vreme da batalis prava, napravis svoj antivirus i zgrnes pare - izgleda da u tebi cuci talenat Very Happy

Ko je trenutno na forumu
 

Ukupno su 1310 korisnika na forumu :: 110 registrovanih, 15 sakrivenih i 1185 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Rade, A.R.Chafee.Jr., aboris, aleksandarbl, amaterSRB, anjuska, arzak, babaroga, black venom, bojcistv, Boter, Brada i Gibanica, branko7, brundo65, Bubimir, CallMeIshmael, cavatina, cifra, ddjxxi, DeerHunter, dejanbenkovic, DejanSt, DENIRO, Djokkinen, doklevise, Dostanic09, draganl, dragonserbia, Duh sa sekirom, Dukelander, dzoni19, Džordžino, famoso, FileFinder, Frunze, geo.dule, goflja76, gomago, goran.vvv, Griffon vulture, havoc995, HrcAk47, ikan, Istman, jaeger, Joja, kaptain, kobaja77, komkom, Kriglord, krlebgd77, laki_bb, laze2, ljuba, MarKhan, Marko Marković, Markoni29, mercedesamg, mikki jons, Milan A. Nikolic, misa1xx, Mixelotti, mustangkg, naki011, nebidrag, nebkv, nenad81, oldtimer, opt1, panonski mornar, Panter, pein, perko91, prle122, procesor, Profica, proka89, Recce, RiV, riva, RobinHood12, Romibrat, rovac, S2M, saputnik plavetnila, Shinobi, Sirius, slonic_tonic, solic, sombrero, Srki94, ssekir75, Stoilkovic, Stuka76, t84dar, Toni, vasa.93, vaso1, vddutina, Vlad000, Vlada1389, vladas87, wizzardone, Zadonbas, zdrebac, zuxbg, Zvrk, zxstole, |_MeD_|, Žukov