Jump to content

Heuristisk sökning


Recommended Posts

Vad ni för tips på antivirusprogram som är bra på heuristisk sökning?

Det behöver inte vara gratis...

Menar du ett antivirusprogram som är bra på att upptäcka tidigare okända skadliga filer?

I så fall kan du t ex kolla resultaten för "Proactive detection" på sidan http://www.virusbtn.com/vb100/rap-index.xml och "Retrospective/Proactive Test" på sidan http://www.av-comparatives.org/en/comparativesreviews/retrospective-test

Link to comment
Share on other sites

I så fall kan du t ex kolla resultaten för "Proactive detection" på sidan http://www.virusbtn.com/vb100/rap-index.xml

Hm

For each product entered for a review, we measure detection using our standard on-demand scanning procedure; this uses default product settings and ignores detections labelled as 'suspicious' only.

Suspicious är just vad vissa AV-utvecklare kallar heuristiska detektioner (Heur.Suspicious@[siffror] använder Comodo, t.ex.). Och hur man skall tolka resultatet av ett detektionstest, där en del av detektionerna ignoreras, baserat hur det detekterade hotet benämns, är oklart för mig. Men jag har kanske missuppfattat alltihop :blink:

Link to comment
Share on other sites

Stackars den användare som får reda på att filer i datorn är misstänkta. Hur ska den personen veta vad som är lämpligt att göra, ska filerna vara kvar eller ska de bort.

Jag har inga problem med det. :)

Dessutom kan även vanlig detektering av virus ge falska varningar ibland.

Link to comment
Share on other sites

Användaren kan ju istället stänga av heuristiken, och slipper då få veta att filerna är misstänkta. :P Bättre så?

Den som tar fram antivirusprogrammet bör förstås ha lika stort förtroende för resultatet oavsett om det kommer fram via traditionella signaturer, heuristik, beteendeanalys etc och lämna klara besked till användaren.

Jag har inga problem med det. :)

Dessutom kan även vanlig detektering av virus ge falska varningar ibland.

Du och jag har säkert inga problem oavsett hur ett antivirusprogram rapporterar, men vi är inte heller typiska datoranvändare.

Javisst förekommer falsklarm ibland, men det gör det ju oavsett hur antivirusprogrammet har kommit fram till att en viss fil är oönskad.

Link to comment
Share on other sites

Vad är klara besked baserat heuristik? Att skriva t.ex. Heur.Malware, utan att ha verifierat att det är malware, är det ett klart besked? :rolleyes:

Varken de som utvecklar, eller de som använder programmen bör jämställa en heuristisk gissning med den analys som har lett fram till att en definition för en skadlig fil har skapats.

Link to comment
Share on other sites

...

Varken de som utvecklar, eller de som använder programmen bör jämställa en heuristisk gissning med den analys som har lett fram till att en definition för en skadlig fil har skapats.

Menar du att antivirusprogram med definitionslistor aldrig har fel?

Link to comment
Share on other sites

Med 50 000 - 100 000 nya skadliga filer varje dygn är det endast ett litet fåtal som genomgår en manuell process. Om endast dessa få skulle sättas i karantän automatiskt av antivirusprogrammet och alla andra bara flaggas som misstänkta filer så hamnar vi i situationen att antivirusprogrammen i stort sett bara rapporterar att filer är misstänkta. Hur ska en vanlig datoranvändare veta vad som ska göras med dessa?

Jag kan se några vanliga alternativ beroende på personens inställning.

Optimisten: Det är nog inget farligt när filen bara är misstänkt. Det fanns ju ingen kommentar i trackern att filen skulle vara farlig. Hmm, undrar varför datorn har blivit seg, det är nog bäst att jag defragmenterar.

Den orolige: Oj, vad konstigt med misstänkta filer. Det är nog bäst att jag ringer mitt barn/datorkunniga grannen/släktingen.

Ingetdera ser jag som något bra alternativ. Det förstnämnda ger upphov till en mängd infekterade datorer och det andra att vi som är datorkunniga drabbas av en massa telefonsamtal etc.

Link to comment
Share on other sites

Du blandar nu ihop heuristisk detektion och automatiskt framställda definitioner Dessa benämns vanligen olika av AV-programmen.

Sättas i karantän automatiskt? Nej tack, inte i min dator, men det kan nog passa andra användare, och då gör nog de flesta program ingen skillnad mellan detektioner utifrån heuristik eller definition. :)

Link to comment
Share on other sites

Du missade nog frågetecknet... ;)

Försök igen!

Då försöker jag igen.... :D

Rune.K testar en fil (egenproducerad) som han använder som referens för NOD32´s heuristik.

Jag har testat malwareprogram med 87 zerodays för att testa heuristik.

Det visar sig att NOD32 fick medelmåttigt resultat avseende heuristik.

Gratisprogram som Avira, Avast fick bättre resultat.

B)

IMHO/EMRM.

Link to comment
Share on other sites

Då försöker jag igen.... :D

Rune.K testar en fil (egenproducerad) som han använder som referens för NOD32´s heuristik.

Jag har testat malwareprogram med 87 zerodays för att testa heuristik.

Det visar sig att NOD32 fick medelmåttigt resultat avseende heuristik.

Gratisprogram som Avira, Avast fick bättre resultat.

B)

IMHO/EMRM.

Det är bara att erkänna, du är ju självklart bäst! :)

Link to comment
Share on other sites

För testresultat som gäller nya skadliga filer kan man också kolla på Virus Bulletins proaktiva tester, det är ju inte bara heuristik som är inblandad utan där finns ju även sådant som beteendeanalys och likheter med tidigare skadliga filer.

http://www.virusbtn.com/vb100/rap-index.xml

Det var en intressant rapport, flertalet vanliga antivirusprogram ligger ganska lika...

Ska kolla mer på den webbsajten!

Lite det jag tänker på, är att numera och har varit så ett bra tag, det är att virusmakarna inte är ute efter att skriva "Ät mer nudlar" på så många bildskärmar som möjligt.

Konceptet numera är många olika virus och att ett enskilt virus inte distribueras till så många. Det är förstås för att viruset ifråga ska upptäckas så sent som möjligt av antivirusföretagen.

Har antivirusföretaget inget exemplar av viruset, så kan de inte skydda mot det heller med hjälp av definitionslistorna, eller hur?

Det är liksom därför jag undrar över heuristisk sökning.

När jag skriver virus, så menar jag all sorts malware,virus,trojaner,maskar och så vidare, samlat i en hatt. :)

Link to comment
Share on other sites

Det var en intressant rapport, flertalet vanliga antivirusprogram ligger ganska lika...

Ska kolla mer på den webbsajten!

Lite det jag tänker på, är att numera och har varit så ett bra tag, det är att virusmakarna inte är ute efter att skriva "Ät mer nudlar" på så många bildskärmar som möjligt.

Konceptet numera är många olika virus och att ett enskilt virus inte distribueras till så många. Det är förstås för att viruset ifråga ska upptäckas så sent som möjligt av antivirusföretagen.

Har antivirusföretaget inget exemplar av viruset, så kan de inte skydda mot det heller med hjälp av definitionslistorna, eller hur?

Det är liksom därför jag undrar över heuristisk sökning.

När jag skriver virus, så menar jag all sorts malware,virus,trojaner,maskar och så vidare, samlat i en hatt. :)

Det är pga utvecklingen av de skadliga programmen som företagen allt mer lämnar definitioner som bara gäller en fil utan har gått över andra typer av detektering. Sedan varierar det lite vad det kallas men det finns t ex familjedefinitioner och beteendeanalys. Dessa falska antivirus-, defragmenterings- och registerstädningsprogram mm som har blivit så vanliga, och vanligen bara finns ute några dagar innan de ersätts av något annat, är besläktade med varandra och det går att hitta igen kodbitar som återkommer även om användargränssnittet ser väldigt annorlunda ut. Har då ett antivirusföretag hittat en bra sådan kodbit kan de utan att tillföra någon ny definition detektera nya varianter under rätt lång tid.

Lite om heuristik, som är ett rätt luddigt begrepp: http://en.wikipedia.org/wiki/Heuristic#Computer_science

När det gäller proaktiva tester ska man inte heller glömma de som finns på http://www.av-comparatives.org/en/comparativesreviews/retrospective-test

Tillägg: Även http://www.av-comparatives.org/en/comparativesreviews/dynamic-tests

Edited by Cecilia
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...