Aktív témák

• #2888 h_143570 addikt zed01 #2887

  2008-03-04 22:04:36 #2888

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  h_143570

  addikt

  válasz zed01 #2887 üzenetére

  Mivel polimorfikus virusokrol van szo igy nem nevetseges a 11 kartevo, minden mas esetben nevetsegesen alacsony lenne a szam. Mivel ez a kertevo fajta minden fertozeskor megprobalja ugy modositani magat, hogy minel kevesbe hasonlitson az eredetire. Azaz a 11 minta valojaban 30 ezer kinezetre kulonbozo kartevot jelente, ebben az esetben. Ezt a tipust a fejlet mutacios kepesegei miatt nagyon nehez elkapni, mivel nem 1 virusal van dolga az irtonak hanem nagyon sok latszolag kulonbozovel. Ezert a pusztan adatbazis alpu irtok el buknak ezekel a kartevokkel szemben. A fejlet kodelemzest es emulaciot alkalmazo gyartok valamivel jobban szerepelnek. A vedekezesre ellenuk az egyetlen esely a megfelelo minosegu virus olo motor es generikus mintak.

  Az av-comperatives tesztel polimorfikus virusokkal, pontsabban 12vel, de ezek eredmenye nem szamit bele a 100%os felimseresi rataba. A fentebb emlitett mutacios kepesegek miatt. A kerdeses teszt arra vilagitott ra, hogy melyek azok a gyartok akik ha rendelkeztek a kerdeses virus csalad mintaival akkor milyen szinten voltak kepesek generikus mintat gyartani hozza. Azaz motor es fejleszto garda egyesitett kozvetet minositese mar ha ismert szamukra a kerdeses csalad.

  Egy kis ertelmezesi segitseg a grafikonokhoz. Ha az irto gyarto talakozott a virus csaladdal akkor a minel magasabb felismeresi szazalek a lenyeg. Ha nulla akkor az valoszinuleg azert van, mert ahhoz a csaladhoz nem volt meg szerencsejuk. Ha nem tul magas az vagy azt jelenti, hogy nem sikerult normalis generikus mintat irni hozza, vagy mert benak vagy mert a motor nem tamogatja. Ha ez sok polimorfikus kartevo csaladnal megismetlodik akkor az nemileg lefele minositi a termeket.

  Ja igen a kerdeses csalad mintainak nem a darab szamat kell osszevetni, ennel a tipusu tesztelnel hanem a felismeresi bizonyossagot, azaz a szazalekos erteket.

  Azert csak nemileg mert egy rendes polimorfikus virust nem egyszeru irni ezert van belulok realitive keves.

  Roviden arrol szolt, hogy az ismert virus csaladok automatikusan generalt valtozataival mit tud kezdeni az irto, felteve ha ismerte a kerdeses csaladot.

  Itt van pl az F-Secure a legfrissebb AV-Comperatives teszt szerint az ismeretlen kartevok ellen nem teljesit tul fenyesen. Visszont ha ismert a kertevo akkor az automatikuan generalt valtozatait nagy biztonsaggal ismeri fel, meg akkor is ha azok rejtozkodesre lettek kihegyezve.

  Remelem igy mar nemileg erthetobbek az eredmenyek illetve, hogy mit vizsgaltak.

  [ Szerkesztve ]

Aktív témák