Új hozzászólás Aktív témák

• #13399 szaki26a aktív tag Szellem. #13398

  Új Válasz 2012-09-02 16:07:13 #13399

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  szaki26a

  aktív tag

  válasz Szellem. #13398 üzenetére

  Az átlag a win 7 64 bit. 55% al az xp 13% . (steam adatok)
  Egy átlagos háztartásban ma 3-5 gép is lehet. Nem véletlen olyan népszerűek ezek a csomagok. A MSE és Forefront kb.85-90% körüli eredményeket produkál virusbulletin szerint,
  ami alapján mondtam a különbséget. NAV Kav bitdefender 96%, több motoros trustport gdata és társai 98 jobb napokon 99%.
  Na most jön a lényeg. Ezek a rendszerek, illetve a minden féle plusz védelmi réteg vodoo próbálja leplezni, hogy a 90 es évek óta valódi forradalmi fejlesztés nem történt. A meglévő technologiákat össze csomagolták a 2000 res években. Elnevezték Security Suitnak. De a 90 es évek technologiái élnek bennük tovább. Egyre újabb és újabb motorok érkeztek a suitokba. Av mellett ma már elvárás a spyware védelem, adwearek, hips, tűzfal, hurisztika, sandbox stb. Szerintem mindenki fel tudná sorolni ugyan ezeket még régen külön termékben más fejlesztő csapatoktól. Ha nem segítek.: sunbelt counter spy, lavasoft ad-aware, NIDS pl. Snort, Hips tripwire vagy ossec, hogy csak a nagyobakat ismeretebbeket említsem. Ezeket szépen felvásárolták, és ment az új motor a meglévő 4-5 mellé. Most egy átlagos suite 4-5 különálló, külön fejlesztett és karbantartott motort tartalmaz. Nem tudom kinek ismerős az, amikor a legújabb telepítésnél több száz megányi definiciós fájlt is lehúznak. Illetve, mikor a egyébként gépet nem túl lassító védelmi program megálljt parancsol, mikor egy nagyobb adtbázist, esetleg motort sikerül neki lefrissíteni.
  A motorkról pedig, hogy mire is képesek igazából? Mindegyik av motor külön kis futtatókörnyezet saját nyelvvel és jó sok paraméterezhető egyéb funkcióval. Egy virusdefiniciós file ma már nem hasheket vagy más felismerendő kódrészleteket tartalmaz. Az adott vírust felismerő külön scripteket, vagy a motor saját nyelvén megírt programokat. Ezek karbantartása, és folyamatos patchelése ezeket a motorokat olyan bonyulultá tette, hogy mindegyikkel külön csapat foglalkozik. Egymást a motorok gyakran csak a kész termékben látják. Mert mindegyiket külön szálon kell fejleszteni. A régit kidobni és újra kezdeni roppant drága és veszélyes mulatság lenne. Se a stuxnet, se a későbbi híres média által felkapott malwarek nem voltak veszélyben, míg egy rendszergazda fel nem fedezte őket. A minták nem voltak meg az antivirus cégeknek. Honan is lett volna? Hiszen azokból már nem több tíz vagy százezer keringett a neten. A Stuxnet, de a Flame és a Duqu is megmutatta, hogy a célzott támadásik ellen az av cégek semmiféle védelmet nem nyújtanak. Régi vessző paripám a polimorf motorok költözése. Több olyan virus motor vásárolható a neten, ami képes elárasztani egy helyett, egyénileg legyártott közös mintának felismerhetetlen változattal, ami nem visszafejthető. A polimorf motor egyszerűen már nem benne van, hogy tanulmányozhassák. Egy szerverről szórja a polymorfizált verziókat a weboldalra, minden klikkelésre másikat beszúrva. Természetesen minden ilyen oldal garantálja, hogy a támadást a 0 dik napon a nagyobb gyártók megoldásai nem észlelik. Ugyanis ezekre letesztelik.

Új hozzászólás Aktív témák