Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
news:r5d53e.kb4.ln@kwinto.prv...
> Użytkownik "Konrad Kosmowski" <konrad@kosmosik.net> napisał w
> wiadomości news:e3522n$49o$2@atlantis.news.tpi.pl...
>> Popełniasz fundamentalnie złe założenie - zakładasz, że AV będzie w
>> stanie zapobiec każdemu wirusowi - AV jest z założenia opiera się
>> jedynie na sygnaturach *znanych* ataków.
>
> Niektóre AV opierają się także na tzw. heurystyce. A heurystyka to nie
> tylko czysta analiza kodu, ale także badanie wywoływanych przez dany
> plik funkcji systemowych. Jeżeli uruchamiane są odwołania do poleceń
> kasujących pliki, formatujących partycję, listujących zawartość
> partycji, albo do jakichkolwiek innych funkcji do których zwykły obrazek
> nie powinien nigdy sięgać, to jest to podejrzane i AV powinien
> zareagować. Tak sobie to wyobrażam przynajmniej, ale może jest to
> zupełnie inaczej rozwiązane, nie jestem programistą.
Dokladnie z ta heurystyka to jest taki problem, ze kazdy wirus dazy
przedewszystkim
do maksymalnego posiewu, a nie zniszczenia. Tzw. payload to tylko kwiatek do
kozucha,
w dzisiejszych czasach coraz zadziej stosowany, bo syf-ware maja robic ddos,
spamowac albo jeszcze
inne hgw i intencja tworcow jest aby wykryty zostal jak najpozniej (wiec nie
powinien zamazac
MFT tydzien po infekcji). Heurystyka w probach detekcji powielania sie
wirusow jest duzo mniej
skuteczna (niestety). Ogolna konkluzja dla mnie jest taka, ze nalezy przejsc
od podejscia otwartego
(uruchamiamy wszystko z wyjatkiem) do jedynie slusznego :) podejscia jak z
fw - blokuj wszystko
z wyjatkiem. Wyjatki mozna podpisac i liczyc skroty, do tego jakies
narzedzie typu GFI SIM
i opcjonalnie AV na ostatniej linii.
BTW - dzieki za fajna dyskusje, ciekawe przemyslenia mi sie nasunely :-)
t
Received on Tue May 2 00:05:06 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 02 May 2006 - 00:42:01 MET DST