Użytkownik "Konrad Kosmowski" <konrad@kosmosik.net> napisał w
wiadomości news:e35e66$89d$1@atlantis.news.tpi.pl...
> ** Michal Kawecki wrote:
>
>>> Popełniasz fundamentalnie złe założenie - zakładasz, że AV
>>> będzie w stanie zapobiec każdemu wirusowi - AV jest z
>>> założenia opiera się jedynie na sygnaturach *znanych* ataków.
>
>> Niektóre AV opierają się także na tzw. heurystyce.
>
> Wszyscy o tym dobrze wiemy ale i tak jest to OKDR. Głównie używasz
> AV po to aby wyszukiwał wzorce znanej szkodliwej działalności, bez
> tego AV jest bezużyteczny. Metody heuerystyczne są tam jako
> dodatek, ale w gruncie rzeczy w praktyce są na nic.
Nie do końca. Mnie swego czasu tyłek uratował właśnie NOD32 i jego
heurystyka. Bezproblemowo wyłapał próbę infekcji BugBear-em, pomimo iż
żaden antywirus nie miał jeszcze gotowych sygnatur. Pojawiły się one
dopiero dwa dni później (np. w NAV). Dwa dni - to naprawdę dużo.
>> A heurystyka to nie tylko czysta analiza kodu, ale także badanie
>> wywoływanych przez dany plik funkcji systemowych. Jeżeli
>> uruchamiane są odwołania do poleceń kasujących pliki,
>> formatujących partycję, listujących zawartość partycji, albo do
>> jakichkolwiek innych funkcji do których zwykły obrazek nie
>> powinien nigdy sięgać, to jest to podejrzane i AV powinien
>> zareagować.
>
> W ogóle to jest to podejrzane aby user mógł wykonywać te czynności
> (kasowanie plików do których się nie ma uprawnień, formatowanie FS
> itp.). :)
Wiadomo przecież o co chodzi :-), ja podałem tylko takie bardzo obrazowe
przykłady. Swego czasu bawiłem się programikiem SurfinGuard, taką
"wirtualną piaskowicą" na pliki. Fajna sprawa. Wiadomo było od razu, co
dany pliczek usiłuje zrobić i gdzie chce pisać. Coś zbliżonego stworzył
teraz autor Gmera.
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Mon May 1 19:25:11 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 19:42:00 MET DST