Gå till innehåll

Heuristisk sökning

Rune.K
 Dela

Recommended Posts

Cecilia

Cecilia

Postad
Postad

Vad ni för tips på antivirusprogram som är bra på heuristisk sökning?

Det behöver inte vara gratis...

Menar du ett antivirusprogram som är bra på att upptäcka tidigare okända skadliga filer?

I så fall kan du t ex kolla resultaten för "Proactive detection" på sidan http://www.virusbtn.com/vb100/rap-index.xml och "Retrospective/Proactive Test" på sidan http://www.av-comparatives.org/en/comparativesreviews/retrospective-test

Länk till kommentar
Dela på andra webbplatser
JoWa

JoWa

Postad
Postad

I så fall kan du t ex kolla resultaten för "Proactive detection" på sidan http://www.virusbtn.com/vb100/rap-index.xml

Hm

For each product entered for a review, we measure detection using our standard on-demand scanning procedure; this uses default product settings and ignores detections labelled as 'suspicious' only.

Suspicious är just vad vissa AV-utvecklare kallar heuristiska detektioner (Heur.Suspicious@[siffror] använder Comodo, t.ex.). Och hur man skall tolka resultatet av ett detektionstest, där en del av detektionerna ignoreras, baserat hur det detekterade hotet benämns, är oklart för mig. Men jag har kanske missuppfattat alltihop :blink:

Länk till kommentar
Dela på andra webbplatser
Rune.K

Rune.K

Postad
  • Författare
Postad

Stackars den användare som får reda på att filer i datorn är misstänkta. Hur ska den personen veta vad som är lämpligt att göra, ska filerna vara kvar eller ska de bort.

Jag har inga problem med det. :)

Dessutom kan även vanlig detektering av virus ge falska varningar ibland.

Länk till kommentar
Dela på andra webbplatser
Cecilia

Cecilia

Postad
Postad

Användaren kan ju istället stänga av heuristiken, och slipper då få veta att filerna är misstänkta. :P Bättre så?

Den som tar fram antivirusprogrammet bör förstås ha lika stort förtroende för resultatet oavsett om det kommer fram via traditionella signaturer, heuristik, beteendeanalys etc och lämna klara besked till användaren.

Jag har inga problem med det. :)

Dessutom kan även vanlig detektering av virus ge falska varningar ibland.

Du och jag har säkert inga problem oavsett hur ett antivirusprogram rapporterar, men vi är inte heller typiska datoranvändare.

Javisst förekommer falsklarm ibland, men det gör det ju oavsett hur antivirusprogrammet har kommit fram till att en viss fil är oönskad.

Länk till kommentar
Dela på andra webbplatser
JoWa

JoWa

Postad
Postad

Vad är klara besked baserat heuristik? Att skriva t.ex. Heur.Malware, utan att ha verifierat att det är malware, är det ett klart besked? :rolleyes:

Varken de som utvecklar, eller de som använder programmen bör jämställa en heuristisk gissning med den analys som har lett fram till att en definition för en skadlig fil har skapats.

Länk till kommentar
Dela på andra webbplatser
Rune.K

Rune.K

Postad
  • Författare
Postad

...

Varken de som utvecklar, eller de som använder programmen bör jämställa en heuristisk gissning med den analys som har lett fram till att en definition för en skadlig fil har skapats.

Menar du att antivirusprogram med definitionslistor aldrig har fel?

Länk till kommentar
Dela på andra webbplatser
JoWa

JoWa

Postad
Postad

Nej. Däremot menar jag att en manuellt skapad definition för en skadlig fil bör vara pålitlig. Det finns ju också automatiska processer för att skapa definitioner, och där minskar förstås pålitligheten

Länk till kommentar
Dela på andra webbplatser
Cecilia

Cecilia

Postad
Postad

Med 50 000 - 100 000 nya skadliga filer varje dygn är det endast ett litet fåtal som genomgår en manuell process. Om endast dessa få skulle sättas i karantän automatiskt av antivirusprogrammet och alla andra bara flaggas som misstänkta filer så hamnar vi i situationen att antivirusprogrammen i stort sett bara rapporterar att filer är misstänkta. Hur ska en vanlig datoranvändare veta vad som ska göras med dessa?

Jag kan se några vanliga alternativ beroende på personens inställning.

Optimisten: Det är nog inget farligt när filen bara är misstänkt. Det fanns ju ingen kommentar i trackern att filen skulle vara farlig. Hmm, undrar varför datorn har blivit seg, det är nog bäst att jag defragmenterar.

Den orolige: Oj, vad konstigt med misstänkta filer. Det är nog bäst att jag ringer mitt barn/datorkunniga grannen/släktingen.

Ingetdera ser jag som något bra alternativ. Det förstnämnda ger upphov till en mängd infekterade datorer och det andra att vi som är datorkunniga drabbas av en massa telefonsamtal etc.

Länk till kommentar
Dela på andra webbplatser
JoWa

JoWa

Postad
Postad

Du blandar nu ihop heuristisk detektion och automatiskt framställda definitioner Dessa benämns vanligen olika av AV-programmen.

Sättas i karantän automatiskt? Nej tack, inte i min dator, men det kan nog passa andra användare, och då gör nog de flesta program ingen skillnad mellan detektioner utifrån heuristik eller definition. :)

Länk till kommentar
Dela på andra webbplatser
essob

essob

Postad
Postad

Det finns alltså inget annat antivirusprogram än Eset Nod32 som är bra på heuristisk sökning?

Se även tråden >

Så du påstår alltså att NOD32 har bra heuristik baserat på ett test med en fil. En fil som du själv skrivit.

:lol:

Länk till kommentar
Dela på andra webbplatser
essob

essob

Postad
Postad

Du missade nog frågetecknet... ;)

Försök igen!

Då försöker jag igen.... :D

Rune.K testar en fil (egenproducerad) som han använder som referens för NOD32´s heuristik.

Jag har testat malwareprogram med 87 zerodays för att testa heuristik.

Det visar sig att NOD32 fick medelmåttigt resultat avseende heuristik.

Gratisprogram som Avira, Avast fick bättre resultat.

B)

IMHO/EMRM.

Länk till kommentar
Dela på andra webbplatser
Rune.K

Rune.K

Postad
  • Författare
Postad

Då försöker jag igen.... :D

Rune.K testar en fil (egenproducerad) som han använder som referens för NOD32´s heuristik.

Jag har testat malwareprogram med 87 zerodays för att testa heuristik.

Det visar sig att NOD32 fick medelmåttigt resultat avseende heuristik.

Gratisprogram som Avira, Avast fick bättre resultat.

B)

IMHO/EMRM.

Det är bara att erkänna, du är ju självklart bäst! :)

Länk till kommentar
Dela på andra webbplatser
Rune.K

Rune.K

Postad
  • Författare
Postad

För testresultat som gäller nya skadliga filer kan man också kolla på Virus Bulletins proaktiva tester, det är ju inte bara heuristik som är inblandad utan där finns ju även sådant som beteendeanalys och likheter med tidigare skadliga filer.

http://www.virusbtn.com/vb100/rap-index.xml

Det var en intressant rapport, flertalet vanliga antivirusprogram ligger ganska lika...

Ska kolla mer på den webbsajten!

Lite det jag tänker på, är att numera och har varit så ett bra tag, det är att virusmakarna inte är ute efter att skriva "Ät mer nudlar" på så många bildskärmar som möjligt.

Konceptet numera är många olika virus och att ett enskilt virus inte distribueras till så många. Det är förstås för att viruset ifråga ska upptäckas så sent som möjligt av antivirusföretagen.

Har antivirusföretaget inget exemplar av viruset, så kan de inte skydda mot det heller med hjälp av definitionslistorna, eller hur?

Det är liksom därför jag undrar över heuristisk sökning.

När jag skriver virus, så menar jag all sorts malware,virus,trojaner,maskar och så vidare, samlat i en hatt. :)

Länk till kommentar
Dela på andra webbplatser
Cecilia

Cecilia

Postad
Postad (redigerade)

Det var en intressant rapport, flertalet vanliga antivirusprogram ligger ganska lika...

Ska kolla mer på den webbsajten!

Lite det jag tänker på, är att numera och har varit så ett bra tag, det är att virusmakarna inte är ute efter att skriva "Ät mer nudlar" på så många bildskärmar som möjligt.

Konceptet numera är många olika virus och att ett enskilt virus inte distribueras till så många. Det är förstås för att viruset ifråga ska upptäckas så sent som möjligt av antivirusföretagen.

Har antivirusföretaget inget exemplar av viruset, så kan de inte skydda mot det heller med hjälp av definitionslistorna, eller hur?

Det är liksom därför jag undrar över heuristisk sökning.

När jag skriver virus, så menar jag all sorts malware,virus,trojaner,maskar och så vidare, samlat i en hatt. :)

Det är pga utvecklingen av de skadliga programmen som företagen allt mer lämnar definitioner som bara gäller en fil utan har gått över andra typer av detektering. Sedan varierar det lite vad det kallas men det finns t ex familjedefinitioner och beteendeanalys. Dessa falska antivirus-, defragmenterings- och registerstädningsprogram mm som har blivit så vanliga, och vanligen bara finns ute några dagar innan de ersätts av något annat, är besläktade med varandra och det går att hitta igen kodbitar som återkommer även om användargränssnittet ser väldigt annorlunda ut. Har då ett antivirusföretag hittat en bra sådan kodbit kan de utan att tillföra någon ny definition detektera nya varianter under rätt lång tid.

Lite om heuristik, som är ett rätt luddigt begrepp: http://en.wikipedia.org/wiki/Heuristic#Computer_science

När det gäller proaktiva tester ska man inte heller glömma de som finns på http://www.av-comparatives.org/en/comparativesreviews/retrospective-test

Tillägg: Även http://www.av-comparatives.org/en/comparativesreviews/dynamic-tests

Redigerad av Cecilia
Länk till kommentar
Dela på andra webbplatser

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Dela
Gå till ämneslista
×
×
  • Skapa nytt...