Делятся ли антивирусные компании сигнатурами между собой?
Пишу программку на Делфи. 2007. Касперский ругается на определенную строку в коде. После изменения этой строки в коде - антивирус перестает ругаться. Решил отправить ехе файл программы, который не определяется Касперским им в лабораторию с пометкой - подозрительное ПО.
Таки что вы думаете? Пришли новые сигнатуры от Касперского. И ехе который не детектился вирусом. Вдруг стал вирусом. Я так понимаю, они в Касперском берут md5 хеш файла и тупо забивают его в сигнатуры?
Поменял снова код в программе. Касперский снова вирусы не находит. Такой вопрос. Отсылает ли Каспер свои "бравые сигнатуры" другим антивирусным компаниям? В других антивирусах этот ехе файл не детектируется.
Сигнатурамии не делятся. Делятся экземплярами. Процесс получения сигнатур из экземпляров - ноу хау каждой антивирусной компании.
На днях был скандал о том что ЛК якобы под видом зловреда чем-то таким делилась, что ломало работу конкурентов.
mace-ftl: по факту. В чем то тогда супер пупер крутизна Касперского, если после смены пару строчек в исходнике и перекомпиляции - программа уже не детектируется им. То есть, они берут просто md5 хеш файла, закидывают его в базы? И антивирус готов. Поменял хеш - файл не детектируется. По сути, вирусописатель может менять код хоть по 100 раз. И каждый раз программа будет не детектиться
Hitmanp: зачем ему крутизна? Ему нужно только чтобы у клиента было ВПЕЧАТЛЕНИЕ о крутизне и он (клиент) покупал продукт. Обрати внимание - это не в полной мере связано с реальным качеством продукта ))) Типичный маркетинг какбы
mace-ftl: Мдэ. Если мою программульку Касперский не палит, которая сделана на Делфи, то, что говорить о хакерах высокого уровня. По сути - это торговля херней. Чем то мне это напомнило наш бюрократизм в России. Который не замечает банальные вещи, но утверждает, что ваш компутер защищен.
Я представляю картину. Женька Касперский на супер пупер конференции представляет свой антивирус для компаний. Тут появляемся мы с самописным ехе и запускаем на тачке с инетом. И получаем доступ к ней. А антивирус не шумит. Это будет нечто
Включите ее на машине с включенным контролем запуска программ в том же касперском или эвристическом анализе в любом антивирусе. Детский сад устроили еп.
Контролю запуска программ в принципе все равно что у вас там за программа, сказано не запускать не будет, это к слову о настройках систем антивирусной защиты. А касаемо вашей программы написанной на делфи велика вероятность определения ее принадлежности, к вирусному либо обычному ПО, семантическим анализом в зависимости от описанных функций в ней, волшебства в общем нет. Пополнение баз происходит в том числе и от определения подозрительного ПО семантикой антивируса установленного у юзера. Ирония твоя весьма забавна но неуместна.
morgan: таки вы поймите суть. У гика будет включена эвристика с контролем. Гик еще и SRP включит. Но, как говорится, у Касперского из коробки контроль не включен
Дефолтных настроек известных антивирусов для обычного пользователя хватает поскольку они не являются лакомой целью для подготовленных атак. От атак нулевого защищен только тот кто включает помимо дополнительной защиты еще и голову.
А чего такого ваша программа делает, что должна детектиться антивирусом?
Ведь антивирусные компании не добавляют в базы все подряд файлы, которые пользователь им прислал.
Сигнатуры представляют из себя не конкретные куски кода, а определённую семантику. Так что одна сигнатура может определять несколько вирусов, написанных на разных языках.
обмениваются именно файлами, которые считают вредоносными (с некоторой задержкой)
другой пример - сервисы по проверке файлов on-line несколькими антивирусами, от них файлы попадают заинтересованным компаниям
Простой
Средний
Простой
