А как работают антивирусы? - Свободное общение - Страница 2

Arigato · 02.01.2012, 21:07

Цитата:

Сообщение от Пепел Феникса

вас интересует сканнер или активная защита?

На сколько я понял, ТС интересует, как быстро просканировать файл на наличие вируса, если количество сигнатур в базе превосходит 100 000 штук. Мне тоже это, в принципе, интересно.

Utkin · 02.01.2012, 22:37

Чисто теоретически - можно брать по первым двум байтам. Это значит что если первые два байта сигнатуры не совпадают с данными в файле, то нет смысла проводить полное сравнение. Соответственно, количество сверяемых сигнатур уменьшается с указанного Икс до Икс/65536. Скорость проверки обеспечивается тем, что сканируется не весь файл, а только определенные точки. Грубиянов не пустит сама ОСь. Значит нужно сканировать точку входа в программу и ряд других - например вызов конкретных процедур. Это намного быстрей чем полностью файл. Ну это уже у спецов нужно узнавать, например, критична проверка вызова ВинАпи.

Arigato · 03.01.2012, 12:42

Тогда можно создать вирус, который будет менять первые два своих байта и вся защита полетит

MooNDeaR · 03.01.2012, 13:07

Цитата:

На сколько я понял, ТС интересует, как быстро просканировать файл на наличие вируса, если количество сигнатур в базе превосходит 100 000 штук. Мне тоже это, в принципе, интересно.

Да, вы всё правильно поняли, именно это меня и интересует.

Цитата:

Соответственно, количество сверяемых сигнатур уменьшается с указанного Икс до Икс/65536.

Вполне возможно.

Эх... почему здесь нет программиста, работающего на Касперского или Dr.Web ?))))

Utkin · 03.01.2012, 13:09

Цитата:

Тогда можно создать вирус, который будет менять первые два своих байта и вся защита полетит

Он попадет в другую категорию. Первые два байта это селектор для ускорения поиска. Вроде алфавитных карточек в библиотеке. Никто не вносит полностью код вируса. Есть уникальные последовательности присущие только данному виду и всем его модификациям. Многие вирусы имеют подписи - последовательность символов.

Ципихович Эндрю · 03.01.2012, 13:19

а как насчёт:
Антивирусники долой
Установить программу Tweak UI
Открыть её, в этой программе выбрать
Мой компьютер -> Автовоспроизведение -> Дисководы
Нужно снять галочки
Мой компьютер -> Дисководы
Там наоборот не нужно снимать галочки
Нажать "Принять", "ОК"
И всё
Это делать при каждой переустановке Винды

Utkin · 03.01.2012, 13:22

Устанавливаем новую прогу и получаем трояна. Который меняет правила игры так как ему надо и легко записывает флешку, меняет автозапуск, передает данные по сети и т.д.

Пепел Феникса · 03.01.2012, 13:23

Ципихович Эндрю, а вы больше на своем компе ничего не запускаете?

наивны

Ципихович Эндрю · 03.01.2012, 13:27

передает данные по сети - пофиг.... ничего ценного (на мой взгляд) только время потратят
А так почуял тормоза с образа за 3 минуты восстановил Винду и дальше в путь...

Человек_Борща · 03.01.2012, 14:08

Собственно зачем сканировать файл, если с памятью работать легче? Потенциально вредоносный обьект(EXE) сам проецирует себя в память при запуске, и толку от физ. файла становится 0(там вирусу жить негде т.к. он не запущен). А с памятью легче и быстрее работать. АВ получает место, куда проецируется exe и там ловит гадости.

02.01.2012, 22:37	#12
Utkin Старожил Регистрация: 04.02.2009 Сообщений: 17,351	Чисто теоретически - можно брать по первым двум байтам. Это значит что если первые два байта сигнатуры не совпадают с данными в файле, то нет смысла проводить полное сравнение. Соответственно, количество сверяемых сигнатур уменьшается с указанного Икс до Икс/65536. Скорость проверки обеспечивается тем, что сканируется не весь файл, а только определенные точки. Грубиянов не пустит сама ОСь. Значит нужно сканировать точку входа в программу и ряд других - например вызов конкретных процедур. Это намного быстрей чем полностью файл. Ну это уже у спецов нужно узнавать, например, критична проверка вызова ВинАпи. Маньяк-самоучка Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика Последний раз редактировалось Utkin; 02.01.2012 в 22:41.

03.01.2012, 12:42	#13
Arigato Высокая репутация СуперМодератор Регистрация: 27.07.2008 Сообщений: 15,551	Тогда можно создать вирус, который будет менять первые два своих байта и вся защита полетит E-Mail: arigato.freelance@gmail.com

03.01.2012, 13:22	#17
Utkin Старожил Регистрация: 04.02.2009 Сообщений: 17,351	Устанавливаем новую прогу и получаем трояна. Который меняет правила игры так как ему надо и легко записывает флешку, меняет автозапуск, передает данные по сети и т.д. Маньяк-самоучка Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика

03.01.2012, 13:23	#18
Пепел Феникса Старожил Регистрация: 28.01.2009 Сообщений: 21,000	Ципихович Эндрю, а вы больше на своем компе ничего не запускаете? наивны Хорошо поставленный вопрос это уже половина ответа. \| Каков вопрос, таков ответ. Программа делает то что написал программист, а не то что он хотел. Функции/утилиты ждут в параметрах то что им надо, а не то что вы хотите.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Бесплатные антивирусы	m.mihail	Безопасность, Шифрование	14	10.06.2015 23:47
Антивирусы	Doker	Безопасность, Шифрование	16	07.01.2011 13:53
антивирусы	Айрат	Софт	59	31.07.2009 11:10
Антивирусы, фаерволы, брадмауэры	StudentPolitech	Свободное общение	30	09.07.2009 18:02
неубиваемый вирус! все антивирусы не находят его! кто знает как его убрать?	Yury111	Безопасность, Шифрование	12	05.06.2009 11:19

03.01.2012, 13:19	#16
Ципихович Эндрю Старожил Регистрация: 24.01.2011 Сообщений: 3,043	а как насчёт: Антивирусники долой Установить программу Tweak UI Открыть её, в этой программе выбрать Мой компьютер -> Автовоспроизведение -> Дисководы Нужно снять галочки Мой компьютер -> Дисководы Там наоборот не нужно снимать галочки Нажать "Принять", "ОК" И всё Это делать при каждой переустановке Винды

03.01.2012, 13:27	#19
Ципихович Эндрю Старожил Регистрация: 24.01.2011 Сообщений: 3,043	передает данные по сети - пофиг.... ничего ценного (на мой взгляд) только время потратят А так почуял тормоза с образа за 3 минуты восстановил Винду и дальше в путь...

03.01.2012, 14:08	#20
Человек_Борща Старожил Регистрация: 30.12.2009 Сообщений: 11,426	Собственно зачем сканировать файл, если с памятью работать легче? Потенциально вредоносный обьект(EXE) сам проецирует себя в память при запуске, и толку от физ. файла становится 0(там вирусу жить негде т.к. он не запущен). А с памятью легче и быстрее работать. АВ получает место, куда проецируется exe и там ловит гадости.