BOTHUNTERS.PL bezpieczeństwo, trojan, botnet, wirus i łamanie haseł z serwisu nasza-klasa, hacking i cracking. Ciemna Strona Mocy u nas w świetle reflektorów.

Jeżeli ktoś uruchomi jakiś program na Twoim komputerze, to ten komputer przestaje być już Twój.

Konto:

Niezalogowany
Zaloguj się

Menu główne:


Blog

7 komentarzy do Antywirusy to prawie skuteczna ochrona, a prawie robi wielką różnicę

  1. whisper

    3 października, 2008 o godzinie 08:18

    Myślę, że tutaj wchodzi w grę też wydajność oprogramowania av, która by znacznie spadała, jeśli zostałaby dodana dekompresja polimorficznego kodu (nie wspominając już o stopniu skomplikowania takiej operacji).

  2. Borys Łącki [LogicalTrust.net]

    3 października, 2008 o godzinie 11:27

    To na pewno ważny aspekt. Już dzisiaj użytkownicy są mocno rozdrażnieni faktem, że AV im spowalnia system i nawet Ci początkujący wiedzą, że jak wszystko działa wolno to może czas zmienić AV…

  3. Gynvael Coldwind

    3 października, 2008 o godzinie 11:37

    @whisper
    Ale do antywirusów JEST dodawana obsługa dekompresji polimorficznego kodu, i to na dwa sposoby. Po pierwsze są to statyczne unpackery (sam kiedyś takie klikałem dla pewnego polskiego antywira), a po drugie są to unpackery oparte o minimalistyczne emulatory x86 które starają się rozpoznać czy app się rozpakowuje.

    Natomiast muszę przyznać że jestem zdziwiony że MEW i PeSpin aż tak bardzo namieszały w wynikach. Są to na tyle popularne pakery że spodziewałbym się raczej że większość AV ma zaimplementowaną ich detekcje/unpack.

    Bardzo ciekawy eksperyment btw ;>

  4. Borys Łącki [LogicalTrust.net]

    3 października, 2008 o godzinie 11:45

    Ciekawe czy do wszystkich produktów ;] Moze część zwyczajnie nie posiada unpakera a udaje, że posiada ;]]] I markuje jako podejrzany bo się boi ;]]]

  5. THEO-retyk

    3 października, 2008 o godzinie 19:24

    No wyniki nie są jakieś uber zaskakujące, przy ograniczeniach, które stawa nam rozstrzygalność a zwłaszcza wnioskowanie nietrywialnych własności programów/kodu raczej z góry jesteśmy (i będziemy) skazani na porażkę.

  6. schizyk

    4 października, 2008 o godzinie 14:21

    Uznawanie spakowanego programu za malware z jednej strony prowadzi do wielu false-positives ale z drugiej nie jest aż tak absurdalne jakby się wydawało… Tutaj ciekawy dokument na ten temat:
    http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_counterattacking_packers.pdf
    Czytałem kiedyś statystyki świadczące o tym iż z niektórych packerów korzystają w 99% tylko wirus writerzy. Skomplikowane emulatory/unpackery to mnóstwo pracy, problemy wydajnościowe oraz bardzo często problemy z bezpieczeństwem… Więc moim zdaniem stworzenie blacklisty packerów na pewno spowoduje zmniejszenie ilości zarażeń – większość amatorów bierze znany soft i pakuje go aby uniemożliwić wykrycie przez av. Pozostaną tylko pr0 potrafiący sobie z tym poradzić.

    ps. sophos blokuje wszystko oprocz upx i aspack. do tej pory nie slyszalem krzyku żadnej firmy oskarżającej sophos o błędną klasyfikacje jej softu. wydajnosciowo tez nie wychodzi najgorzej.

    Pozdrawiam

  7. Gynvael Coldwind

    5 października, 2008 o godzinie 04:16

    Ano fakt faktem, łatwiej stworzyć blacklistę packerów + whitelistę legalnego softu korzystającego z tych packerów, niż unpackery, i w sumie to podejście jest imho lepsze niż tworzenie unpackerów. Jedna mała zmiana w protektorze/loaderze, i już unpacker sobie nie radzi – walka z wiatrakami.
    No nic, tylko czekać aż w AV dodadzą do okienka z alertem przycisk „to jest Intro scenowe, nie rób z tym nic” ;DD

Napisz komentarz

(*)
Pole wymagane