praegune kellaaeg 19.06.2025 00:53:42 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
HacaX
HV Guru
liitunud: 22.01.2004
|
25.08.2008 00:37:15
|
|
|
| sukelduja kirjutas: |
| HacaX kirjutas: |
Noh, ma puise inimesena jään siiski selle juurde, et parem valeidentifikatsioonid kui identifitseerimata jäämine  |
Ja tulemus? Kui arvuti karjub iga päev, et see ja see fail on kahtlane, siis kasutaja harjub sellega ära ja võtab neid alarme kui loomulikke nähtusi. [...] |
Sa võtad seda liialt kitsalt. Liialt palju valeidentifikatsioone on loomulikult halb, aga kui NOD leiab mu sisevõrgus leiduva 4 ketta hinnanguliselt 50000 failist 20 pahalast, kusjuures 15 neist on tõesti pahad (erinevad kahtlase nimega EXEd mis nostalgilistel põhjustel !!!INFECTED!!! kaustades tolmu koguvad) ja 5 suspicious (ehk siis säärased mis heuristikaga leiti) millest omakorda vähemalt ühe puhul arvan end alarmi põhjust teadvat (FreeDOSi installflopi tõmmis, kus IMO peaks too käigupealt kernelit valida laskev MetaKerni vidin buutsektoris istuma) ja ükski neist viiest pidevas kasutuses ei ole, siis ei ole see minu jaoks probleem. Küll aga jääb lootus, et kui järgmine FD image raali satub mille alguses ei istu MK vaid midagi kurjemat, siis pistab NOD selle peale samamoodi lõugama. Ning mis peamine - ma saan lähtuda sellest kui neid "kahtlane!" teateid hakkab äkitselt rohkem ette hüppama, ka selliste failide kohta mille osas varem pretensioone pole olnud. Vaid signatuuridel põhinev skänner on aga senimaani vait kuni ta ei oska täpselt öelda mis viirus mu süsteemis paljuneb. Ja kui ühel hetkel too isend ta andmebaasi sisse saab kantud avastab õudusega, et kõik EXEd, halvimal juhul ka skänneri enda omad, on nakatunud. Heuristika toimib seega mõningal määral nagu too AVdest kadunud kontrollsummade genereerimise funktsionaalsus (vast keegi mäletab veel neid pisikesi peidetud faile mida kunagised CPAV, M$ AV, TBAV ning kas mitte isegi McAfee Scan?, kataloogidesse genereerisid ning mille põhjal kiirelt suutsid COMide/EXEde/SYSide muutumist tuvastada ning vähemalt TBAVi puhul ka parandamisel aidata... tänapäeval teeb sellist asja vist veel vaid Inoculate, kasutades failide asemel aga NTFSi ADSe).
Aga mis me siin ikka vaidleme, statistiliselt vaadates on sul (ma vähemalt arvan nii, ära küsi miks) õigus - heuristika põhjustatud valeidentifikatsioonide kahju on suurem kui nende ärahoitud pahalaste tekitatav kahju oleks olnud. 
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
 |
Märt.
HV Guru
liitunud: 17.01.2004
|
|
25.08.2008 08:24:33
|
|
|
| HacaX kirjutas: |
| Kindlasti annab, aga oskad sa ka mõnd konkreetset pahalast nimetada mis niiviisi käitub? Sellist strateegijat on vähemalt ühes sajandivahetusel ilmunud VX-zine´is täiesti välja pakutud, aga kas ka reaalselt sellised loomi valmis on tehtud? (kõikvõimalikke droppereid ja endale Võrgust pluginaid tirivad kurjameid ei saa IMO selliseks lugeda, nende puhul leitakse niikuinii keskne programmiosa üles ja pluginad ise on ebaolulised). Sinupoolse mõttega sobiks vast pigem sellised isendid mis süsteemis juba olemasolevaid programme ära kasutavad (a´la kui advanced kasutaja on oma Winni masinasse NMAPi installinud siis haagiks kurjam ent tollega kaasatuleva WinPCapi külge ja saaks nii tulemüürile märkamatult võrgus tolgendada), ehkki endale esimese hooga ühtegi sellise tegutsemismalliga levijat meelde ei tule. |
Selliseid pole isegi kohanud, kuid oli kogemus, kus näiliselt süütu progejupi käivitamine tähendas seda, et too jupp tiris netiavarustest ussi masinasse. Asi tahtis netti kohe minna ning sai müüriga blokitud. Kolm nädalat (sic!) hiljem pistis Norton kisama, et see uss on... Ise niisiis pideva heuristika tööshoidmise poolt (kui see ikka õigesti töötab... 8) )
_________________
Albert Einstein: "Vaid kaks asja on lõpmatud, universum ja inimlik rumalus, ja selles esimeses pole ma nii kindel." |
|
| Kommentaarid: 29 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
23 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
25.08.2008 08:59:39
|
|
|
| udusiil kirjutas: |
Selliseid pole isegi kohanud, kuid oli kogemus, kus näiliselt süütu progejupi käivitamine tähendas seda, et too jupp tiris netiavarustest ussi masinasse. Asi tahtis netti kohe minna ning sai müüriga blokitud. Kolm nädalat (sic!) hiljem pistis Norton kisama, et see uss on... Ise niisiis pideva heuristika tööshoidmise poolt (kui see ikka õigesti töötab... 8) ) |
Peand kinni vähe, mis konkreetsel näitel heuristikaga pistmist on?
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
vasjata
HV vaatleja
liitunud: 22.06.2005
|
|
25.08.2008 11:25:51
|
|
|
| nexus kirjutas: |
| rycyve kirjutas: |
Mis sellest teemast välja peaks arenema  |
varem või hiljem läheb sujuvalt Kaspersky reklaamiks 8) |
Kui selle teema oleks algatanud keegi kohalikest NOd-i gurudest, siis tõsine arutelu teemal, misk NOD on mäekõrguselt üle teistest konkurentidest. Kuna teema algatas kasutaja Ezh, kes on siin tuntud Kaspersky maaletoojana (ja mitte ainult), siis otse loomulikult on tegemist varjatud Kaspersky reklaamiga. Oh kui alatu...
| sukelduja kirjutas: |
| Kaspersky unustasin halva poole pealt tõesti lisamata. Kaspersky on juba samasugune mõttetu bloatware nagu eelpoolnimetatud 2. Ütelge, mis tahate aga mina ei paneks oma arvutisse ühtegi venemaa juurtega toodangut. Kõige vähem veel sellist, mis turva-asjadega tegeleb. Põhimõtteliselt. |
Mul pole lihtsalt sõnu. Saage ometi suureks ja tulge liivakastist välja. Mul on pikem kui sul... Põhimõtteliselt.
|
|
| tagasi üles |
|
|
maxorator
HV kasutaja
liitunud: 30.08.2006
|
|
25.08.2008 17:19:05
|
|
|
| HacaX kirjutas: |
| Küll aga jääb lootus, et kui järgmine FD image raali satub mille alguses ei istu MK vaid midagi kurjemat, siis pistab NOD selle peale samamoodi lõugama. Ning mis peamine - ma saan lähtuda sellest kui neid "kahtlane!" teateid hakkab äkitselt rohkem ette hüppama, ka selliste failide kohta mille osas varem pretensioone pole olnud. Vaid signatuuridel põhinev skänner on aga senimaani vait kuni ta ei oska täpselt öelda mis viirus mu süsteemis paljuneb. Ja kui ühel hetkel too isend ta andmebaasi sisse saab kantud avastab õudusega, et kõik EXEd, halvimal juhul ka skänneri enda omad, on nakatunud. |
Pole absoluutselt vahet, kas viirus on masinal jooksnud 5 sekundit või 10 aastat, kuna tegemist ei ole bioloogilise viirusega, millel levimiseks aega läheb. Paarituhande programmi sees paar juppi masinakoodi ära vahetada on käkitegu.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
26.08.2008 00:26:05
|
|
|
Eksid, on vahe. Vähemalt siis kui jutt käib viirusest. Ärgem unustagem, et viirus, trooja ja uss on erinevad asjad. Jah, praegusel hetkel on viirused praktiliselt ära kadunud ning seda tõesti enam kuigi palju ette ei tule et peaksid maadlema pahalastega mis end teiste programmide külge kinnitavad, pigem mässad troojate või ussidega mis, nagu ise kah ütled, vajavad vaid korra käima minemist, mispeale end startuppi kannavad (ning tänu sellele igal järgneval raali käimalükkamisel käima lähevad) ja võrku ronivad (kus nad kas ootele jäävad et mõni kuri kräkker teisel pool maailma saaks su masinasse sisse logida, või siis tolgendavad mõnel peidetud IRC kanalil ja ootavad looja käske, või siis saadavad su paroole lajali või tegelevad lihtsalt spämmi levitamisega).
Viiruste puhul aga on aeg määrav. Otsi netist märksõna slow infector, leiad kindlastu lugusid sellest kuidas omal ajal AV inimesed aja viitmisega (eriti koos slow polymorphismiga) õnnestus lolliks teha, kuna baitfailide genereerimine (milel põhjal saaks skänneri tarvis signatuuri valida) oli ropult aeglane (ning aeglase polümorfsuse puhul ka valeettekujutuse andis et too kättesaadud signatuur on universaalne, ehkki, nagu praktika näitas, ta seda polnud ja skänner sugugi antud viirust 100% tuvastada ei suutnud). Isegi kui aeglase nakatamise strateegiat ignoreerime ja arvestame tänapäevaste jõudlustega (mille juures pole kasvõi kogu masinatäie EXEde nakatamine loomulikult nii silmahakkavad nagu single threaded DOSi ja 286 prose puhul) võid umbmäärasegi ettekujutuse saamiseks proovida oma masinal kõik EXEd üles leida (lihtsalt otsing käima ja "*.exe" otsistringiks). Võtab ju siiski natuke rohkem aega kui 5 sekundit, eksju? Lisame siia juurde reaalseks nakatamiseks kuluva aja (mis idee poolest tõesti pikk ei ole - kleebid oma koodi EXEle külge ja muudad EXE päises paari väärtust ja valmis... et praktikas sind sellise lähenemise korral absoluutselt iga AV leiab ning sa selle vältimiseks pigem nakatatava programmi osalise disassembleerimise teed lähed et saaksid oma koodi programmi sisse integreerida (Win32/ZMist) on IMO igati tõenäoline, mis aga omakorda aega kulutab) ja jõuamegi selleni, et 5 sekundil ja 10 aastal on siiski radikaalne vahe.
Aga see kõik tuleb kõne alla loomulikult vaid siis kui räägime spetsiifiliselt viirustest ja mitte lihtsalt malware´ist.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
26.08.2008 11:48:23
|
|
|
| vasjata kirjutas: |
| sukelduja kirjutas: |
| Kaspersky unustasin halva poole pealt tõesti lisamata. Kaspersky on juba samasugune mõttetu bloatware nagu eelpoolnimetatud 2. Ütelge, mis tahate aga mina ei paneks oma arvutisse ühtegi venemaa juurtega toodangut. Kõige vähem veel sellist, mis turva-asjadega tegeleb. Põhimõtteliselt. |
Mul pole lihtsalt sõnu. Saage ometi suureks ja tulge liivakastist välja. Mul on pikem kui sul... Põhimõtteliselt. |
Kui mul on valida, kas osta toode, mis on valmistatud Soomes või toode mis on valmistatud Venemaal, siis sarnase hinna ja funktsionaalsuse korral ostan ma alati Soome toote. Olgu siis asi töökultuuris või korrektsuses või lihtsalt sümpaatias vennasrahva vastu. Teiseks ei saa kunagi välistada, et venemaa valitsus käsib oma firmadel midagi oma riigi heaks teha olgu see siis gaasikraani kinni keeramine või nuhkvara allalaadimine ja ma ei ole näinud et venemaa firmad eriliselt oma valitsusele vastu punniksid.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
vasjata
HV vaatleja
liitunud: 22.06.2005
|
|
26.08.2008 13:16:43
|
|
|
| sukelduja kirjutas: |
| vasjata kirjutas: |
| sukelduja kirjutas: |
| Kaspersky unustasin halva poole pealt tõesti lisamata. Kaspersky on juba samasugune mõttetu bloatware nagu eelpoolnimetatud 2. Ütelge, mis tahate aga mina ei paneks oma arvutisse ühtegi venemaa juurtega toodangut. Kõige vähem veel sellist, mis turva-asjadega tegeleb. Põhimõtteliselt. |
Mul pole lihtsalt sõnu. Saage ometi suureks ja tulge liivakastist välja. Mul on pikem kui sul... Põhimõtteliselt. |
Kui mul on valida, kas osta toode, mis on valmistatud Soomes või toode mis on valmistatud Venemaal, siis sarnase hinna ja funktsionaalsuse korral ostan ma alati Soome toote. Olgu siis asi töökultuuris või korrektsuses või lihtsalt sümpaatias vennasrahva vastu. Teiseks ei saa kunagi välistada, et venemaa valitsus käsib oma firmadel midagi oma riigi heaks teha olgu see siis gaasikraani kinni keeramine või nuhkvara allalaadimine ja ma ei ole näinud et venemaa firmad eriliselt oma valitsusele vastu punniksid. |
Mul ei ole midagi sinu valikute vastu ja ma ei tee ka mingil moel maha seda tarkvara, mida sa oled kasutuseks valinud. Samasugust suhtumist ootaks ka sinult. Ja kui sa väidad nii nagu sa üleval oled väitnud, siis tee seda vähemalt argumenteeritult.
PS. Muide, Soomes toodetud viirustõrjeprogramm kasutab Kaspersky mootorit ja signatuuribaase.
|
|
| tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
|
26.08.2008 14:48:22
|
|
|
| vasjata kirjutas: |
| sukelduja kirjutas: |
Mul ei ole midagi sinu valikute vastu ja ma ei tee ka mingil moel maha seda tarkvara, mida sa oled kasutuseks valinud. Samasugust suhtumist ootaks ka sinult. Ja kui sa väidad nii nagu sa üleval oled väitnud, siis tee seda vähemalt argumenteeritult.
|
PS. Muide, Soomes toodetud viirustõrjeprogramm kasutab Kaspersky mootorit ja signatuuribaase. |
Vahet pole, sama kehtib ka ükskõik millise teise maa kohta. Venemaa toodangu kasutamiseks peab olema põhjus, mitte mingi põhjus, vaid väga hea põhjus. Igal eestimaalasel on küllaga põhjust võimalusel venemaaga seotud tooteid mitte kasutada.
|
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
24 |
|
| tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
26.08.2008 15:04:24
|
|
|
Ok. Asi hakkab teema piiridest väljuma. Oma rahvuslikke eelistusi võite PS-i teel ka lahata 
|
|
| Kommentaarid: 729 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
550 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
