Какой антивирус лучше?

MaxRusak:

gooblin:

не составляет большого труда написать код, который будет порождать свой экземпляр, в котором не будет совпадать ни одного байта, также порядок внешних вызовов, код распаковки и код самомомодификации будут изменены и размазаны по времени.

Не получится создать такой код. Ибо сам алгоритм создания такого кода должен быть и он будет неизменен. Тяжело придумать 100500 рабочих вариантов одного алгоритма, причем так, что бы они именно генерировались и так, что бы одна и та же функция исполняясь по разному.

код алгоритма будет представлен различными командами процессора, в том числе и алгоритм создания такого кода, алгоритмов может быть несколько. Для того чтобы сравнить два экземпляра такого кода, надо декомпилировать его в промежуточное представление, что-то типа того,что передается в backend компиляторов , и анализировать это промежуточное представление кода. Как много антивирусов имеет в своем движке такой функционал?

gooblin:

код алгоритма будет представлен различными командами процессора, в том числе и алгоритм создания такого кода, алгоритмов может быть несколько. Для того чтобы сравнить два экземпляра такого кода, надо декомпилировать его в промежуточное представление, что-то типа того,что передается в backend компиляторов , и анализировать это промежуточное представление кода. Как много антивирусов имеет в своем движке такой функционал?

Поли\метаморфизм и прочее - такое куда проще детектировать по поведению. Вредоносная программа так или иначе работает в системе и что-то делает. Вот по поведению такое и ловится. Эмулятор не всесилен - его можно обойти, и там особо не разбежишься, т.к. нужно учитывать влияние на перфоманс. Но в целом антивирус современный - это не просто примитивный сигнатурный сканер. Есть разлчиные технологии детектирования и все действует в совокупности.

З.Ы. Харе тыщу страниц со школьником болтать

VasiliyB:

Поли\метаморфизм и прочее - такое куда проще детектировать по поведению. Вредоносная программа так или иначе работает в системе и что-то делает. Вот по поведению такое и ловится. Эмулятор не всесилен - его можно обойти, и там особо не разбежишься, т.к. нужно учитывать влияние на перфоманс. Но в целом антивирус современный - это не просто примитивный сигнатурный сканер. Есть разлчиные технологии детектирования и все действует в совокупности.

я на про эмулятор, я про offline анализ. И антивирус обычно хучит только то что известно его разработчикам. А про комплексность - оно понятно - чем больше сдадим - тем лучше (c)

По поводу школьников - мне воспитание на позволяет сказать - чувак, прочитай пару книжек каких умных для начала

gooblin:

я на про эмулятор, я про offline анализ. И антивирус обычно хучит только то что известно его разработчикам. А про комплексность - оно понятно - чем больше сдадим - тем лучше (c)

Не то, что известно разработчикам, а то, что позволяет МС и имеющий андок, чтобы в случае чего на очередном обновлении от МС не забсодить систему))

gooblin:

По поводу школьников - мне воспитание на позволяет сказать - чувак, прочитай пару книжек каких умных для начала

У него все впереди при должном интересе. А по кол-во писанины тут - интерес пока есть))

Kvantovich:

Может опробуете написанное на практике к системным файлам, после их переименовав ? Или будете продолжать веселить текстами ?

100500 раз делал.

Kvantovich:

Тем же шифровальщикам при доступе к жёсткому диску на уровне интерфейса до лампочки любые антивирусы и системы безопасности ОС, оказавшись загруженным до ОС, тот считает информацию на уровне комманд интерфейса и так же её запишет в зашифрованном виде.

Задача антивируса не допустить первоначальный запуск вируса. А из ниоткуда вирус не возьмется. Он сначала должен при работающей системе себя в систему установить.

Kvantovich:

Нет надобности перепроверять файлы у которых не были изменены параметры безопасности.

Что мешает вернуть параметры безопасности для измененных файлов?

Kvantovich:

Отсутствие прав установщика Windows. Такого пользователя или группы в моей ОС нет.

И не нужно. Достаточно прав администратора под которым вы сидите.

Kvantovich:

Интернет пестрит сообщениями о заражённости ОС с антивирусами.

Абсолютной защиты не бывает. Но еще больше зараженных компьютеров без антивируса.

Kvantovich:

Без изменений на права установщика которого нет в ОС вы не вернёте права обратно владельцу так как он не зарегестрирован. Изменения необратимы, а если поискать то возможно и дата изменений регистрируется.

Изначально известно кто владелец. Уже если сильно захотеть, то можно запомнить владельца, сменить его, завести этого владельца в системе, дать права этому владельцу, удалить владельца из системы. Это если не вдаваться в архитектуру файловой системы.

Kvantovich:

Во время экспериментов с безопасностью владельца для возвращения ему прав не нашёл, возможно существует специальное ПО в котором можно вернуть до символа копию, а если дата регистрации изменений записывается в свойствах файла ?

Если у вас есть Тотал Коммандер то посмотрите как в нем можно менять время создания, изменения файла. Это все делается элементарно.
А еще в NTFS есть потоки и файлу с одним и тем же именем можно назначить несколько потоков, а отображаться будет один.

Kvantovich:

По уровню заряда или намагниченности определяется не только когда, определяется сколько раз бит был перезаписан, а в ряде случаев и что было записано прежде.

Ну-ка расскажите как уровень намагниченности будете измерять?