Вот вот, это главная причина на мой взгляд, отсутствие у ИИ доступа к реальному миру. В том объеме, в котором имеет его человек. Если представить робота, которого запустить в реальный мир, как ребенка, чтобы он собирал информацию из окружающего мира и выделял бы паттерны из опыта. Именно такие знания, адаптированность к реальной ситуации невозможно смоделировать, ибо кол-во ситуаций стремиться к бесконечности.
> мне лично был интересен вопрос как в этот список попадают те или иные программы.
Касательно белого списка — он определяется пользователем. Так реализовано у нас. Например вы знаете, что кейгены и кряки — это точно не вирусы у вас. Выделяете их в окне обнаружений, и добавляете самостоятельно.
Если это доверительный черный список — в нем хранятся сигнатуры файлов, которые не являются вирусами, но случайны образом выявляемые как зловреды. Такой список поставляется из каробки, и задается производителем. Наиболее вероятно, что сигнатура в базе и в черном списке совпадает. Или если это обнаружение по шаблону, то частично совпадает. Это может быть системный файл, или любая другая программа, случайным образом попавшая в базу сигнатур…
По поводу «предоплаченных» мест в белом листе, то тут скорее антивирусная компания должна мониторить, какие из известных программ не наказывать. False positive к тому же mail.ru или yandex.bar, может стоит места в рейтинге vb100. Поэтому эти продукты, не рассматриваются как зловреды.
К концу PE-секции исполняемого файла. У разных авиров по разному вычисляется хэш. Другое дело, что сейчас более популярно заражение через хак плагинов браузера, таких как Flash, Java, QuickTime. Только если они не выполняются в песочнице, и та может тоже содержать уязвимости.
На практике это реализовано так: определяем что файл exe-шник. Первые два байта — 'MZ'. Далее считываем его PE-секции, и из последней вычисляется MD5-хэш, который уникален. А в базе сигнатур уже хранятся хэши этих самих вирусов. Если файл не зашифрован, вирус не полиморфен итд., то хэши совпадают с высокой долей вероятности.
Есть Whitelist, а есть TrsutedBlackList. Это имелось ввиду. Первый белый список пользователя, а второй список доверительных инфекций, которые также false-positive, но задаются компанией разработчиком.
Очень круто для хоби однако, вы молодец. Что нужно добавить: шаринг в соц. сетях, в первую очередь вконтакте. Что можно добавить: живой поиск, допилить юзабилити (кнопки зума, возврата к себе/предыдущему другу, внятный интерфейс в общем, что-то вроде тулбара включая кнопку Hide from visualization), больше статистики. Можно сделать диалог с отображением степени связности. Возможность добавлять метки к друзьям, например когда познакомились, при каких обстоятельствах. Экпорт в файл само собой.
Позволю одно замечание. Бывшие начинающие, те кто скачивали статейки в универе по модемному инету, брали книжки в библиотеке итд., реально стремились к знаниям и ни один непонятный исходник не был помехой. Сейчас же, бери и на хлеб намазывай только. К слову меня всегда по хорошему задевал непонятный код или нетривиальный алгоритм, было желание дальше вникать снова и снова, пока не добьюсь понимания. При этом рядом наставников не было. Было бы желание у человека…
Касательно белого списка — он определяется пользователем. Так реализовано у нас. Например вы знаете, что кейгены и кряки — это точно не вирусы у вас. Выделяете их в окне обнаружений, и добавляете самостоятельно.
Если это доверительный черный список — в нем хранятся сигнатуры файлов, которые не являются вирусами, но случайны образом выявляемые как зловреды. Такой список поставляется из каробки, и задается производителем. Наиболее вероятно, что сигнатура в базе и в черном списке совпадает. Или если это обнаружение по шаблону, то частично совпадает. Это может быть системный файл, или любая другая программа, случайным образом попавшая в базу сигнатур…
По поводу «предоплаченных» мест в белом листе, то тут скорее антивирусная компания должна мониторить, какие из известных программ не наказывать. False positive к тому же mail.ru или yandex.bar, может стоит места в рейтинге vb100. Поэтому эти продукты, не рассматриваются как зловреды.
— о, а Java как обычно, нажралась памяти и спит себе