Comments 22
Если хочется только файлового антивируса (без проактивок и прочего) и только по сигнатурам без эвристики — хороший выбор Microsoft Security Essentials, причем действительно и ловит и работает, а один файл в архиве который лежал уже три года без присмотра он нашел при полном сканировании даже после того как его раньше много раз сканировали KIS и OSS ( и ничего не видели :( )
Сейчас очень популярно ставить перехваты на функции и нагора выдавать якобы отсутствие заражения. Ну если уже совсем прямо — руткит-технологии. MSE в этом плане достаточно убог: так что сканирование сработает только на неактивной системе: т.е. сняли винт, просканили на стороне. А в таком плане несравненно проще и лучше LiveCD.
Второй аспект: пакованные файлы. Ловить по пакерам — это заработать кучу фалсов на кейгенах/патчах и прочем. Анпакерами похвастаться могут отнюдь не все, в основном — впереди Каспер и Веб, далеко позади — Авира.
Ну вот как-то так :)
Второй аспект: пакованные файлы. Ловить по пакерам — это заработать кучу фалсов на кейгенах/патчах и прочем. Анпакерами похвастаться могут отнюдь не все, в основном — впереди Каспер и Веб, далеко позади — Авира.
Ну вот как-то так :)
Сейчас очень популярно ставить перехваты на функции и нагора выдавать якобы отсутствие заражения. Ну если уже совсем прямо — руткит-технологии. MSE в этом плане достаточно убог: так что сканирование сработает только на неактивной системе: т.е. сняли винт, просканили на стороне. А в таком плане несравненно проще и лучше LiveCD.
Второй аспект: пакованные файлы. Ловить по пакерам — это заработать кучу фалсов на кейгенах/патчах и прочем. Анпакерами похвастаться могут отнюдь не все, в основном — впереди Каспер и Веб, далеко позади — Авира.
Ну вот как-то так :)
Второй аспект: пакованные файлы. Ловить по пакерам — это заработать кучу фалсов на кейгенах/патчах и прочем. Анпакерами похвастаться могут отнюдь не все, в основном — впереди Каспер и Веб, далеко позади — Авира.
Ну вот как-то так :)
Глючит ответ — извините за дубль.
Как показала практика по лечению «на живую» круче всех AVG. Я офигел когда одному товарищу поставил на его кишащий кучей бацилл всех мастей (которых пропустила моя любимая в то время Авира) ноут AVG (по его прямому настоянию), и эта штука взяла всё и тут же вычистила резидентом, я думал так не бывает, привык со съёмом харда или через LiveCD лечить.
занятное исследование, тоже порой от скуки не знаю, чем себя занять )
Прорекаю набег холиварщиков в комменты, но надеюсь, обойдётся.
Прорекаю набег холиварщиков в комменты, но надеюсь, обойдётся.
Насчет эвристики и распаковки протекторов с ВМ, провел эксперимент:
1) Программа с двумя импортируемыми функциями (MessageBox и ExitProcess), написанная на FASM'е (VT: 0/41). Криптуем последней темидой. Результат (20/41).
2) Берем троян (взял первый попавшийся — Trojan.Win32.Sasfis.acqz (KAV)), криптуем все той же темидой. Результат (14/41).
В итоге, безвредный файл набрал на VT 20 детектов, а вредоносный — 14.
1) Программа с двумя импортируемыми функциями (MessageBox и ExitProcess), написанная на FASM'е (VT: 0/41). Криптуем последней темидой. Результат (20/41).
2) Берем троян (взял первый попавшийся — Trojan.Win32.Sasfis.acqz (KAV)), криптуем все той же темидой. Результат (14/41).
В итоге, безвредный файл набрал на VT 20 детектов, а вредоносный — 14.
То, что я сказал двумя постами выше. Тут сложно обвинять тех, кто дал стойку на Темиду — ну не знают они Вашего ворованного ключа на анпак :)
А вот граждан BitDefender, F-Secure, G-Data, Panda, PC-Tools, Symantec надо бить канделябром за такую ошибку.
Но стоит отметить показатель Microsoft — его Вы не надули :) Хотя тоже вряд ли это связано с анпаком — скорее, с эвристиком (префикс gen).
А вот граждан BitDefender, F-Secure, G-Data, Panda, PC-Tools, Symantec надо бить канделябром за такую ошибку.
Но стоит отметить показатель Microsoft — его Вы не надули :) Хотя тоже вряд ли это связано с анпаком — скорее, с эвристиком (префикс gen).
А кто знает, почему антивирусы большинство кигенов считают троянами? Нарочно пугают?
Пример: ты работаешь в крупной фирме. Сделал всю свою работу, есть 5 минут свободных. Думаешь, дай скачаю Photoshop последний, фотки отредактирую. Качаешь — опа, требует ключ. Ты знаешь, что делать — качаешь crack/patch/keygen, активируешь. Все хорошо, но тут проверка приходит, ищут контрафактное ПО. Ну и получает твой директор люлей, а потом IT-отдел, а потом и ты. А если бы стоял правильно настроенный антивирус, он бы не допустил подобной ситуации.
Кстати, кейгены (и т.п. софт) детектятся не как трояны, а как HackTool или KeyGen. Не стоит забывать, что иногда сами кейгены склеены с малварой.
Кстати, кейгены (и т.п. софт) детектятся не как трояны, а как HackTool или KeyGen. Не стоит забывать, что иногда сами кейгены склеены с малварой.
С описанной ситуацией совершенно согласен. В общем-то (на деле у меня так и есть). Вот только сколько я себя помню, ни разу кигены не детектировались как HackTool или KeyGen, всегда как троян или что-то в этом роде, и вот врать-то нехорошо, imho, могли бы так и писать что киген, ато «Обнаружен вирус! Называется троян.такой-то.номер.такой-то-матери! Помещён в карантин! Отправить на анализ?».
Крякерские группы не хотят, чтобы найденный ими алгоритм перехватывали другие группы и наживались на их работе. В итогу — пакуют кейгены/патчеры. Этими же пакерами пользуются вирмейкеры, чтобы прикрывать свои творения. Как я говорил, анпакеров достаточно мало и их достаточно трудно сделать — потому детект производится по упаковщику. В итого, например, и кейген и троян получат одно имя Themida или Black.a :)
Эвристик на BAT-файле — это, конечно, сильно :-)
Sign up to leave a comment.
Об эвристике: очевидное-невероятное