часто возникает вопрос, как челу обьяснить...
а оказалось как всегда: "всё гениальное-просто"
один раз посмотреть, чем всех слушать
пусть никто не обижается - просто легкое видео (без звука)))
http://www.youtube.com/watch?v=fSNjVv_1154&feature=player_embedded

количество просканированных объектов не совпадает

Посмотрев это видео, неглупый чайник поймёт, что антивирус - не панацея (хватит и одного чтобы поиметь проблемы).
Если увеличить выборку (до, скажем, 100 тыс. вирусов) - то результаты (число пропущенных вирусов) будут примерно одинаковы.
К сожалению, очень мало чайников способны понять, что не бывает "лучшего" антивируса... Антивирус лучше, чем его отсутствие, но среди некоммерческих (и большинства коммерческих) не имеет почти никакого значения, какой поставить - рано или поздно, и в зависимости от того чем занимается и где шляется пользователь (речь про среднего русскоязычного чайника, кооторый привык шляться по сайтам с онлайн-фильмами, варезами etc), его антивирус промахнется, он разочаруется в нём, начнет ставить другой, потом промахнется другой, и всё пойдёт по кругу.

Лучший антивирусник - это вообще его отсутствие

Увы, это не так для подавляющего большинства пользователей, которые знают только как на ссылки давить и на почту отвечать.

поддерживаю!!!!

Поэтому, если они только давят на ссылки, да на почту отвечают, выбор очевиден - убунта. -)

реально может быть подвох тут
не было показано , когда обновление проходило антивиря. могли касперу прошлогодние базы пихнуть

"за что купил, за то и продаю" это видео
лично я считаю, что Каспер больше ориентирован на СНГ, а Авира на Европу
да... и пусть начинают учиться пользоваться мозиллой

Если у всех домохозяек и подростков будет убунта, не пройдёт и полгода, как появятся "крутые программки - посмотри, закачаешься!" - которые им будет предлагаться запустить, что они и будут делать. Эффект будет тот же

Твоё "если" к текущим реалиям отношения не имеет.

не будут. домохохозяйку можно уговорить кликнуть по яркой кнопке Get Firefox , но скачать диск , прожечь болванку и установить убунту для домохозяйки слишком

Угу... Не имеет. Равно как и убунта в качестве десктопа для масс не имеет отношения к реалиям.

12 миллионов человек это достаточно дофига людей.

дважды подряд распаковывать один и тот же архив с 5 тыс. файлов - это круто. Дальше не смотрел. Скажите, кто победил?

как их посчитали?

для удобства я использовал перемотку, просто не первый раз восхищаюсь скоростью работы "зонтика"

Зонтик "долгие" файлы просто пропустил мимо.

Каноникал каким-то образом считала своих пользователей, без понятия.

Как Вы неправы....Перед Вами почти бывшая домохозяйка, которая идёт учиться на FISI...Блин, стереотипы кругом...

На фоне сотен миллионов десктопов на Win - это капля в море. Они не представляют интереса для тех, кто создает и распостраняет вирусы.

Это не стереотипы - речь шла о массах. В качестве примеры могли быть названы и сантехники, плотники, музыканты etc. - т.е. все те, кто очень далек от техники (ещё раз подчеркну - *в массе*, исключения не в счёт).

Я уже тоже дошла до этого, что поторопилась, тут и правда не "как правило", а как "исключение" действует. Беру слова обратно, но надо иметь ввиду исключения, тоесть из виду не упускать. Речь сейчас не обо мне, а о людях, которые в любой момент могут быть исключением среди домохозяек, сантехников, слесарей

+1 (если имеется ввиду отсутствие резидентного антивира) мой рецепт прост Firewall+ VirtualPC(для блужданий по инету)+CureIT(для проверки новых файлов).

Остается только распостранить эту идею всем, кто с компутером "на Вы и шепотом"...

Расскажи это моим клиентам :) За последнии 2 года лечил столько компов от вирей. На компах стояла авира. Та, которая бесплатная. Лечилось каcпером.

оба антивируса г...

Поддерживаю.
Я Касперскому уже 6 лет не изменяю и не было никогда проблем из-за вирусов, НИКОГДА.

аналогично

в последнее время каспер сильно сдал. раньше если видел, что каспер стоит то и на вирусы проверять не было смысла, а теперь и каспер стоит и вирусов с десяток бродит и все тихо, каспер как тормозил так и тормозит. ну а про авиру я вообще молчу. чисто програмка чтоб себя успокаивать, что типа анитирус стоит значит все в порядке будет.

Это не заслуга касперского, смею Вас уверить... Если хотите, могу пару вирусов подкинуть, которых он не распознает
Если человек следует определенным правилам поведения (неважно - в силу знаний или в силу того что не бывает там где бывать не следует), то и вирусов у него не появится.
Универсальных антивирусов всё равно нет и не будет никогда.

Это не Касперский сдал, а разработка вирусов развивается, то-есть придумываются более изощрёные с более высокой скоростью, чем сам антивирус

Как раз на эту тему черкнула пару строк выше

И Вы всё ещё уверены, что с антивирусом (неважно каким) - как за каменной стеной?

разработка новых вирусов идет как и раньше, никаких революционных всплесков я не замечал. как появились полиморфные руткиты с десяток лет назад, так с тех пор ничего нового нет, тупо клепают клоны. ну несколько раз были приколы с бластером и засером, когда обнаружились дыры на 135 и 139 порту, но вирусов нормальных даже написать не смогли под это дело. проблема видимо все же в касперском. ленивый он стал

Вы правы, так как "команда" каспера ограничена в своих участниках, а создателей вирусов на огромных просторах инета не пересчитаешь, Касперские хоть и берут в "друзья" тех же самых создателей вирусов, но на один хороший мозг всегда найдётся лучший предыдущего... Развитие млин, как ни крути, и всех разработчиков не зарекрутируешь под себя...

Новое есть - и немало. Хотя основные функции руткитов и троянов не изменились (тут трудно было бы ожидать изменения), но изменились принципы их работы и способы маскировки, есть даже такие продвинутые, которые "заворачивают" в себя операционку (эдакий минимальный вариант VMWare), и дальше их уже хрен обнаружишь.
Опять-таки, раньше трояны часто проявляли себя, стремились нанести явный вред - теперь тренд ушел в иную сторону - они стараются не делать ничего видимого пользователю, тихо сидят в подполье и аккуратненько всё протоколируют, вплоть до таких, которые модифицируют просматриваемые веб-страницы на лету, добавляя тексты, формы etc., причём SSL, разумеется, не спасает.
Антивирусы, в том виде в котором они существуют сейчас, бессильны против этого последнего вида - клоны легко уходят от обнаружения по маскам, поведение практически не отличается от обычных (и вполне честных) программ, соответственно...
Миллионы раз уже сказано - что безопасность это не продукт, а процесс - но увы, объяснить этого рядовому пользователю невозможно.

Да нет, я так как раз таки не уверена, умею пользоваться информацией, вопрос только во мне лично, мне лень заниматься именно тем ,чтоб перейти на жизнь без антивируса, как ни крути, там есть свои особенности и надо хоть какое то время уделить этому переходу, но лень...
Речь просто была об "антивирусах", а не об "антивирусах и свободной жизни без них"
Эти споры стары как инет, ну почти какой антивирь лучше и однозначных ответов мало или нет вообще

Речь не идёт о том чтобы "перейти на жизнь без антивируса" - он нужен для защиты от того, что известно и легко обнаруживаемое. Но он не должен давать расслабиться - то есть, нужно ещё соблюдать ряд вещей, который позволят минимизировать шансы получить проблемы.
К сожалению, большинство пользователей считает, что поставив "лучший антивирус", они решат все настоящие и будущие проблемы - вот в этом опасность.

Ну как бы Вы это не называли, уделить этому время нужно:-)

то что ты описал и есть полиморфные руткиты. а по причиняемому вреду я вообще не стал бы их классифицировать, поскольку к уничтожению вирусов это отношения не имеет. уверен, что от вирусов нужно избавляться вне зависимости от их функционала. ну и конечно по маскам вирусы уже не ищут лет эдак 13... ищут по семантике, поскольку полиморфы по маске не найдешь

дело думаю не в команде, а в подходе к делу, иначе не было бы таких резких провалов

Полиморфность - это всего лишь способ ухода от обнаружения по маскам. Речь шла о свойствах, которых у вирусов лет 10 назад не было (хотя бы потому, что 10 лет назад ОС не содержали определенных возможностей).

Ну конечно. Поэтому в антивирусах так много масок, о которых они не преминут заявить в рекламе. Как и 13 лет назад, этот способ всё ещё остается одним из действующих - потому что позволяет найти простейшие формы.
По поведению же или очень много ложных срабатываний, или наоборот - в зависимости от того с чем конкретно имеем дело, да и против тихих и навороченных троянов (типа SpyEye) эти способы неэффективны.

в рекламе говорится о том, что могут понять простые пользователи. что касается механизма маскировки, то тут вирусы оригинальностью не отличаются. есть около 100 мест в виндовсе куда можно вставить свой автостарт, из них используется реально около 10-15, а закрыть себя на уровне руткита можно только до определенного уровня, потом вирус уже сам себя найти не сможет

Закрыть себя руткит может по технологии "Blue Pill" - как раз этого 10 лет назад ещё не было
А поведенческий анализ затруднён по простой причине - для этого требуется, чтобы вирус уже был активен (симулировать всё невозможно), и попытался сделать то, что нормальные программы не делают.
Без сигнатур же антивирусы будут бессильны против уже известных вирусов - точнее, не смогут их обнаруживать до момента активации.

Что такое "мозго$$$тво" знаешь?
Какое это всё имеет отношение к тому, что убунта сейчас и в ближайшее время это наилучший антивирус?

самого блю пила может и не было, но в идее ничего революционного нет. виртуальные машины можно делать с момента появления 386 процессоров. кроме того это не вирус, а прототип. и давай закром тему - известные вирусы определяются не матрицей, а семантикой, поскольку ничего не мешает рандомно вставить нопы в код и тогда ни один антивирус, который ищет по матрице его уже не найдет, хотя сам вирус не изменился

То есть ты гарантируешь, что человек, который пользуется убунтой, никогда, ни при каких условиях не станет жертвой вируса, трояна etc - чтобы он не делал?

Я уже встречал описания руткитов, которые пользуются этим методом.

Как я уже сказал выше - это не дает даже 50% гарантии обнаружения, и допускает слишком много ложных срабатываний. Не говоря уже о том, что масса известных (уже много лет) не являются полиморфными, соответственно, маска - лучший способ.
К тому же, для семантического анализа требуется симулирование выполнения (или выполнение в Sandbox) - а это долго, ненадежно etc - применимость очень ограничена.
Если бы это было иначе - то был бы изобретен универсальный и 100% надежный антивирус, чего, как мы видим, не происходит.

Вопрос некорректен. Полтора вируса существует. Простому пользователю подхватить просто по незнанию практически нереально. Потому, что половину из полутора надо будет скомпилировать самому.

для семантики необязательно симулирование выполнения, достаточно разобрать код на ключевые комманды и сравнить с семантическим описанием. универсальный антивирус не поэтому не может быть создан, а потому что невозможно заранее определить какой код является вредоносным, а какой нет. это уже вопрос эвристического анализа, а он действительно может давать ложные срабатывания.

интересно было бы взглянуть

Вот тебе про простых пользователей: http://www.ubuntu.com/usn/usn-853-1 - даже компилировать ничего не надо, дыры есть, и обновления делают не все (что, впрочем, не спасает от новых дыр) - так что всё что нужно, это броузер и ссылочка на нужное место.
И не говори больше, что убунту - непробиваемый в принципе.

Если код зашифрован, зажат неизвестным методом, активируется не сразу а через время, etc - семантический анализ бесполезен - он до него не доберется. Хотя этот метод, всё же, всего лишь вариация масочного анализа - есть нечто и есть маска (которую ты называешь семантических описанием). Совсем другое дело - поведенческий анализ - куда лезет и что делает - тут уже проще защищаться (но не обнаруживать) - достаточно ограничить доступ к чему-то для неизвестных программ (это делает ряд антивирусов, хотя далеко не все), и не заморачиваться - всё равно ничего не сделает, если что.

Пороюсь в архивах - может найду ссылку. Сам руткит я тоже хотел получить - увы, вживую не нашел.

если код зашифрован, то вначале вируса будет расшифровщик в открытом виде, с этим тоже давно антивирусы справляются. а руткит вживую ты еще не скоро получишь, не думаю что он когда-нибудь покинет лабораторию

Какое отношение имеет уязвимость опубликованная полгода назад и тогда же закрытая к проблеме с вирусами?
Давай я тебе разжую, объясню на пальцах, раз уж ты упорно подменяешь понятия. Есть виндовс. Под виндовс сейчас известно около поллумиллиона вирусов. Из них действующих активно сейчас - несколько тысяч. Есть линукс. Под него известно сотня-две вирусов. Всё это количество - лабораторные вирусы. Из них действующих сейчас - ровно ноль. А может, не ноль, а один или два. Также, под виндовс сейчас и в ближайшем будующем активно разрабатываются новые вирусы и модифицируются для сокрытия от антивирусов существующие. Под линуксом такая работа не ведётся. И никого не ебёт, что будет "если бы". Нету и точка. Сейчас нет и через год не будет. Любая домохозяйка поставив линукс освободится от проблем с вирусами. И тот идиотский гипотетический случай, когда эта домохозяйка сделает sudo rm -rf / или умудрится найти, скачать, собрать и запустить имеющийся вирус не означает ровным счётом ничего. Также есть так называемые уязвимости. Они есть везде. Уязвимости в виндовсе приводят к появлению вирусов использующих эти уязвимости. В лимнуксе так не происходит. А причины этого совершенно не важны, потому, что:
ни сейчас, ни через год ничего не изменится. Как нет эпидемий вирусов, так их и не будет. А в виндовсе есть и будут.
Если ты чего-то не понял, я могу помедленнее, а то смотрю - не доходит, я про Фому, а ты про Ерёму.

С чего он там будет в открытом виде? Я уже упомянул выше - есть вполне невинный код, который даже что-то полезное может делать (или не делать ничего подозрительного), и только через некоторое время после запуска активируется зашифрованная часть. Всё - антивирус отдыхает, ибо единственный способ что-то сделать в данном случае - это симулирование выполнения и ожидание на тему "а вдруг?".
Существует масса способов скрыть реальную активность - и только один надежный способ её обнаружить - дать коду возможность выполняться, наблюдая за действиями в течение довольного длительного времени. Большинство вирусов и троянов этим не заморачиваются, потому и ловятся, но всё равно остается масса тех, которые не ловятся.

Интересно, почему ты так не думаешь? Технология отлично известна, даже исходники есть в сети - причём от разных авторов. Что мешает виросописателям их использовать?
В конце концов, есть же навороченные вещи вроде TDSS - а это в какой-то мере даже проще.

извини, это уже элементарные вещи, странно, что возникают такие вопросы. наверное ты не в курсе, что все программы на компьютере работают в машинном коде и могут быть исполнены только в открытом виде. стало быть если есть часть кода, которая зашифрована, то должен быть и открытый код который эту часть кода расшифрует. также элементарно что изучив код программы можно сделать вывод о ее алгоритме работы и вовсе необязательно заставлять ее работать в симуляторе. А что касается исходников виртуальных машин, то я очень сомневаюсь что ты сможешь показать мне когда-нибудь их исходники. сами разработчики их распространением в интернете не страдают, а сложность создания подобных систем по утверждению тех же разработчиков сопоставима со сложностью изготовления самого виндовс. что касается tdss то это обычный руткит на уровне драйвера, не имеющий ничего общего с виртуальными машинами

освободиться от вирусов и от всего остального ..Вот почему так мало домохозяек ставят себе линкус ?? А потому что .. многие домохозяйки , кроме выхода в инет , еще играют в различные компьютерные игры , а вы видели игру , которая бы шла под линкус ?
поэтому линкус даром не нужен , пусть даже он будет сто крат замечательный ..

Ты, вероятно, удивишься - но я очень даже в курсе. Ещё в 1989 году сам писал антивирусы (поскольку вирусы были, а найти антивирусы в бСССР было трудно в то время), и занимался защитой от отладки, и ещё массой других вещей - даже страшно вспомнить.

Безусловно. Вопрос в том, когда именно он начнёт выполняться после запуска. Представь, есть код, который после запуска тупо в цикле что-то делает (назовем это "отвлекает внимание"), и через N циклов переходит к следующему участку такого же типа. И только через X минут выполнения (в зависимости от процессора, или каких-то внешних событий - типа проверки времени etc), переходит к расшифровщику. И как ты это поймаешь без реального выполнения кода (в симуляторе или VM)?

Да - изучив вручную. Под отладчиком. Потратив на это кучу времени. С учётом того что одна и та же задача может быть выполнена бесконечным количеством вариаций машинного кода - никакой автоматический анализ, хотя бы без частичной симуляции, не даст результата - в противном случае, как я уже сказал - был бы уже создан универсальный антивирус (вот как раз в этом моменте ты постоянно себе противоречишь).

Да нууууу? Но посмотри на Xen - всё в исходных кодах. Или VirtualBox, Bochs etc - всё в открытом виде. Bluepill - пожалуйста: http://bluepillproject.org/. Подробное описание методик, сделанное микрософтом: http://research.microsoft.com/pubs/67911/subvirt.pdf.

Ты бы хоть по сети пробежался, прежде чем такие утверждения делать. Несложно это вовсе - с учётом уже имеющихся наработок. Бери, модифицируй и делай своё - никаких проблем.

хотя я и не пользуюсь линуксом, видел достаточно таких игр.
но всёже прошу не превращать ветку в очередной спор виндовс vs линукс.

1. это не я делаю подобные утверждения, а как раз цитирую слова представителя майкрософта. http://vmind.ru/2009/07/29/blue-pill-priotkryvaya-vual/
2. Давно уже есть автоматические способы пропускать циклы и прочие подобные ловушки, которые срабатывали для любителей ковырятся дебагером в 1989 году

Не, немногие на самом деле. Есть масса взрослых людей у которых "компьютер из Альди" и Т-онлайн с интырнет-эксплорером, впадающие в ступор от слова "браузер" и которым нафиг не сдались современные красивые игрушки. Не ставят они линупс от того, что знать не знают о нём, да и для переустановки ос зовут разбирающихся знакомых.
Таких - подавляющее большинство. И Линукс для них - панацея в плане стабильности и защищённости от вирусов. Эти люди играют, но в то, что есть в установленной системе - в "сапёры", "маджонги" и "косынки". Просто все "разбирающиеся знакомые" тоже далеки от линукса и типа посетителей этого форума - "специалистов по касперским", для которых - нет игрушек - NO WAY.

1. Им выгодно делать подобные утверждения (хотя я и не нашёл ссылок на оригинал, а vmind.ru не официальный сайт Microsoft) - дабы не сеять панику.
1a. Минимальное ядро виртуализации никак не может быть сравнимо с написанием OS - ибо нам не нужна все функции VM, нужно только скрыть себя и "сесть сверху" в ключевых местах.
1b. Сходи на bluepill и скачай исходники - трудозатрат для специалиста там не очень много.
2. Нет таких способов. Если бы ты этим занимался сам - ты бы это знал.
2a. Есть потенциально миллионы способов защиты от отладки (следовательно, и от антивирусов) - и некоторые из них применяются в обычном софте (с той же целью - защита, но уже от кракеров и пр.), то есть - ложные срабатывания неизбежны (и это если предположить, что есть такой навороченный антивирус - а его нет).
2b. Лучший способ исследования вирусов (и вообще потенциально опасных приложений) - это как раз Sandbox или VM - чем и заняты известные компании (Sunbelt, Norman etc) - приложение запускается, и изучается что оно делало.

чем занимаются антивирусные компании это политика самих компаний, мы же говорим о технологии. искать на сайте майкрософта подтверждения мне лень, хотя я уверен, что это не придумано vmind.ru. "сеять панику" - я вас умоляю, кто там паниковать будет, вирусы не сегодня придуманы. сходить и скачать легко, а ты мне покажи хоть один вирус, если все так просто, который реально работает на этой технологии. теперь об алгоритме - в семантике как раз описывается алгоритм, а не код, поэтому как бы не были написаны полиморфы, они все же будут четко классифицированы, не зависимо от того как они изменили свой код. если бы ты этим занимался, ты бы это знал

Назови мне хоть один антивирус, работающий по описанной тобой "технологии". А потом скажи, почему есть масса вирусов, которые он не ловит.

Возможно, и не придумано - но неверно интерпретировано. Я ведь дал ссылку как раз на оригинальный документ из Microsoft - как раз тот, на который ссылается vmind - но более чем уверен, что ты даже смотреть не стал, а зря.

Одно дело, когда это грипп. Совсем другое дело - когда он необнаружим и неизлечим. Не видишь разницы?

Не существует способов автоматического анализа алгоритма любой программы. В принципе. Иначе бы уже давно не было тайн - никаких, и вирусов тоже, и любой бинарник можно было бы превратить в исходник. Если ты утверждаешь обратное - приведи хотя бы один пример из жизни, реальный - пусть это будет хотя бы антивирус. Пока у меня создается впечатление, что ты начитался рекламной чепухи от касперского & co.

И снова - есть масса вирусов, которые не обнаруживаются ни одним из известных антивирусов. По мере обновления маск (а это не просто последовательность байт - это алгоритм сам по себе) их начинают обнаруживать, но следующая версия - уже снова в пролете. Как ты это объяснишь?

Я могу подтвердить свои слова - и уже частично сделал это, ты - пока нет. Пока ты говоришь о том, что есть универсальный способ обнаружить любой вирус - даже описываешь как он работает - но мы имеем факт - есть необнаруживаемые вирусы, и есть неизучаемые алгоритмы. Я могу набросать с десяток способов уйти от т.н. "семантического анализа" - влёт, хотя, если ты почитаешь соответствующие источники, ты узнаешь их сам.

наверное ты невнимательно читаешь то что я пишу, либо не хочешь понять, либо просто любишь спорить. я никогда не утверждал, что есть универсальный способ определить любой вирус. я говорил лишь о том, что когда конкретный полиморф выявлен, то в базу прописывают его семантику, поскольку код полиморфа всегда разный, оттого он и полиморф. другой полиморф имеет другую семантику, оттого он и не определяется уже. думаю пора заканчивать дискуссию, ты все равно говоришь о чем-то о своем...

Да нет, я внимательно читаю. Ты утверждаешь, что существует автоматизированный способ определения алгоритма работы программы, что легко обойти все "ловушки" (типа отложенного выполнения - а это всего лишь одна из сотен) путем простого анализа кода (без выполнения).
А тут - оказывается, семантика у всех полиморфов разная (хотя делают они одно и то же, по сути - с небольшими вариациями) - тогда какой смысл вообще это анализировать?
Давай так - ты даешь подробное описание (или ссылку на описание) алгоритма, который позволяет проанализировать алгоритм любой программы, с произвольным числом "ловушек", делает это с гарантией 100% - и за это получаешь сто евро. Идёт?

не, давай лучше так - ты мне вирус, использующий виртуальную машину в исходниках и в рабочем виде, а я тебя познакомлю с настоящими разработчиками антивируса, они тебе все на пальцах объяснят

Ты уже говорил выше - что исходников прототипов нет. Я дал ссылку на bluepill - вполне реальный прототип, и без особых сложностей.
Но речь не про вирус, который является VM, а про алгоритм анализа алгоритмов и обхода ловушек, о котором ты мне все уши прожужжал, но который, увы, не существует.

он существует и им пользуются, просто ты о нем не знаешь. его делал не я, поэтому и описывать его работу я тут не собираюсь, кроме того я думаю, ты все равно не поймешь. я бы мог тебя реально познакомить со своими партнерами, которые выпускают антивирус, но абы с кем они говорить не будут, а показать у тебя нечего, только пустая болтовня

Ну началось... Секретные партнеры, секретный антивирус, и не менее секретный алгоритм, о котором никто не знает, и при этом он может революционизировать всю область. Ну-ну...
Выше я в общих чертах уже обрисовал, почему это невозможно - но судя по твоей реакции ("А вот мои партнеры сделали!") - ясно откуда ноги. Ни одного конкретного заявления - одни общие слова.