# бесплатное мыло на your_name#re-lab.org

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 6 сен 2010.

  1. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    в смысле js он столько анализирует
     
  2. PSR1257

    PSR1257 New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2008
    Сообщения:
    933
    wsd

    Не стоит рассматривать отдельного Криса супротив одного маленького сферического жабаскрипта. PDF 300кил - типичный (?) эксплойт - так наверное реальнее будет.
     
  3. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    PSR1257
    он не в пдф тиме
    у него браузерные сплоиты, они по несколько килобайт
     
  4. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    PSR1257
    вот он постил 15к
    https://wasm.ru/forum/viewtopic.php?pid=378056#p378056
     
  5. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    wsd
    > Крис про js толкует, а Вы с бинарями сравниваете
    > в смысле js он столько анализирует
    я толкую за то, что перенос с си на js производительности никак не добавляет, но решает увеличивает кол-во платформ на которых мы можем работать без какой-либо модификации и потому я сознательно выбираю проигрышное с точки зрения производительности решение, но выигрышное... нет, даже не с точки зрения маркетинга, но и просто здравого смысла (хотя отличия в js движках меня уже достали и реально все равно приходится портировать под все целевые платформы).


    PSR1257
    > Качественный аргумент и симпатии обывателя - это то,
    > чем прикрываетсо "честный" отъем денег у потребителя софта.
    это уже к марксу. _вся_ кап. индустрия только спит и видит как бы создать новые потребности, чтобы тут же их удовлетворить. софт тут совсем не исключение. кстати, бесплатного софта больше, чем бесплатного "железа" (в самом широком смысле слова). вот вы тут банки упоминали. случайно вы не в тиффини работаете (или как его там?). какого хрена он мне шлет бумажный спам, предлагая взять кредит?! причем очень настойчиво предлагает. и даже без посещения офиса банка. и даже паспорт показывать не надо. а кредит на 300 тыс. причем не только этот банк... или вы будете утверждать, что кредиты это не честный способ отъема денег? ну ладно, в россии хотя бы к нему не принуждают, а в штатах без кредитной истории -- никуда. а чтобы была кредитная история -- нужно брать кредиты, даже если мне они не нужны.

    > 90% троянов можно снести при помощи far и общих соображений.
    > Антивирус снесет в идеале те же 90%, реально - меньше,
    если отказаться от антивирусов -- станет меньше вирусов? а вообще я не понимаю о чем спор. о том, что антивирус с проактивкой больше мешает нормальной работе юзеров, чем помогает -- это я и сам отлично знаю. и всегда говорю, что лучший антивирус -- софтайс.

    > а если брать сэмплы которых вы никогда не видели
    > то скорее всего чуть меньше чем нисколько - потому
    а тут вы просто не понимаете назначение антивируса. антивирус не предназначен для предотвращения неизвестных угроз. это не прививка. это вакцина для гашения уже вспыхнувшей эпидемии.

    > что предсказательной силы тоже нема, ну а крутому руткиту просто сольет. За что платим?
    совершенно согласен, что предсказательная сила у антивирусов слабая, а в борьбе с руткитом я бы поставил на руткита. кстати, а вы платите? кому, сколько и зачем? ну так не платите. антивирус это не подоходный налог. это добровольное дело.

    >> тупой гопник -- какой у вас вызывает больше симпатии?
    > Если походить с холодной головой, то тот, кто мне меньше нанес урона.
    симптатии -- это эмоциональная оценка ситации. по определению. с холодной головой нужно подходить при вынесении приговора. а я вас про симпатии спрашиваю.

    > Например, компы счаз уже давно не продают "пустыми" с DOS
    > а в лучшем случае с предустановленной семеркой и сраным НортонАнтивирус
    > или типа того. Вы можете потом отказаться от всего этого и теоретически вернуть деньги.
    опять соглашусь. семерка в стартерной редакции на ноутах ценой от $2k+ меня просто бесит. а продавцы еще ехидно так заявляют, что я могу ее обновить до нормальной редакции. вот щас все брошу и стану обновлять. и если бы это один такой тупой ноут был... не говоря уже о том, что в семерке все по другому, а у меня нет времени переучиваться на новый интерфейс. вот видите какой я несчастный?!

    > Антивирусная реклама пухнет и вирустотал достиг 43 вроде.
    > И че? Стало меньше малвари? Да нет, ее все больше и больше.
    ну и что вы предлагаете делать? в антивирусную индустрию я пришел со своими идеями, у меня было и есть желание что-то делать в этом направлении. критиковать, ничего не предлагая взамен -- это не для меня и это совсем не дзен.

    > Покажите мне антивирь который будет детектить
    > хотя бы 90% сэмплов которые придут на следующей
    > неделе на вирустотал и я наверное куплю его.
    такие антивирусы есть, но не на вирус тотале. купить - денег не хватит. да вам и не продадут. вот тут у меня есть клиент. причем клиент это очень слабо сказано. это вся страна. или даже целый регион. хотят купить, а не могут. потому как им не продают. почему не продают -- не знаю. вероятно, это политическое решение.

    > А напарить пятилетних сэмплов и потерять где-то 0.04% (это наверное те
    > случаи когда движок выпал в осадок пытаясь какой-нить аспакнутый 10мег
    > распаковать :) - это да, для маркетинга сойдет.
    я уже приводил вам в пример fireeye. 90% _новых_ сэмплов он без труда распознает.

    >> я на данных своей коллекции (с поправкой на ветер) вывел цифру 20%
    > Ну вот это уже лучше, только манагеры продаж такое никогда.
    манагеры продаж публикуют те цифры, которые мы им даем. а больше 20% я и не заявляю. и как я уже сказал, 20% _гарантированных_ зачастую берут гораздо охотнее, чем 100% заявленных от имени неких мифических авторитетных естествоиспытателей.

    кстати, основная проблема антивирусной индустрии в том, что качество антивирусного движка не может быть измеряно непосредственным потребителем продукта. любой может сравнить MS Office с OpenOffice, но выбрать достойный антивиурс -- увы и ах. и потому достойные и честные продукты продаются наравне с полной сранью. все равно пользователь видит только интерфейс... хотя вирус тотал на новых сэплах позволяет сделать далеко идущие выводы, -- у кого эти сэмплы есть? и для правильных выводов нужна достаточно большая выборка за продолжительный промежуток времени, то есть опять -- нужны тесты. а результаты тестов очень чувствительны к методике тестирования. а поскольку ГОСТов на тестирование антивирусов нет, этой методикой можно манипулировать как угодно или же затачивать движок не под реальную жизнь, а под методики тестирования популярных тестовых лабораторий. в результате чего мы имеем то, что имеем...

    > А вообще можно сделать детект 100% только и FP тоже будет
    > чуть больше 100%, так что ваши 20% - это что такое?
    отсутствие фэлсов есть киллер фича моего движка. и потому 20% без фэлсов -- это уже очень круто. ну это вроде как из курса физики должно быть известно, что у радиоприемника есть чувствительность и избирательность и что приемник с хорошей чувствительностью, но плохой избирательностью -- это плохой приемник.

    >> я не слежу за новостям компании в которой работаю
    > Вы даже не знаете чем "отличилсо" продукт компании которая вас кормит и поит,
    странные у вас понятия о бизнесе для человека работающего в банке. компания купила нас чтобы теперь нас кормить и поить? браво! а мне вот кажется наоборот. она купила нас, чтобы мы ее кормили.

    > а еще спорите за "AV против гопников"? Такова видимо позиция типичного "софтоделателя"
    > он не видит как материццо юзверь пытаясь снять фалзную блокировку с файла и т.п.
    мы пишим IPS. что такое файловая блокировка?

    >> кстати, за три часа можно сделать не так уж и мало
    > Например?
    решить проблемы кастомеров. определить общий алгоритм. способ проникновения/посадки в систему, сетевую активность, etc.

    кстати, я опять не понимаю с чем вы спорите. ну вот вам кастомер дает сэмпл и говорит: "три часа или до свидания". с тем, что три часа мало -- я согласен. мне это объяснять не нужно. объясните это кастомеру. не можете ничего умного сделать за три часа -- значит, в iDef вам делать нечего. ну а ребята, которые там работают лично у меня вызывают восхищение.

    > Через сколько секунд вы поймете что полиморфег меняет морфление
    так, давайте не будем про "я". когда я узнал условия работы в iDef, то понял, что это не для меня.

    >> можно подумать что средний русский программист
    > Причем тут русский или узбекский?
    про индусов вы первый начали. у меня есть знакомый индус. и я могу сказать, что он очень талантливый человек.

    > Метода у манагеров такая - лучше набрать десять но подешевле.
    немцы говорят -- мы не настолько богатые, чтобы покупать дешевые вещи.

    > Спорить не буду, вы наверное напейсали немало _своего_ софта на продажу
    к сожалению да. "к сожалению" потому что на мне весь производственный цикл оказался. формулировка требований к проекту, ресерч, проектирование, прототипирование, имплементация, тестирование, документирование, поддержка, маркетинг. и все это за фиксированный оклад. правда есть плюс. вот щас я все брошу и уеду завтра в тай потрахаться. и никто ничего и не заметит ;)

    > от и до, не на спижженом VC компиллере как многие в 90х - а на купленном (или асме),
    использую бесплатную студию в редакции экспресс для внутренней сборки. в качестве IDE - FAR. конечная компиляция на gcc.

    > запроектировали все тоже сами.... Gimme somethin' to believe (c).
    у меня нет защиты. а JS и вообще сорцы наружу. и там даже обускации нет, зато много комментариев.


    >> а чем эти требования обоснованы?
    > Комфортной работой юзверя. Я пишу софт так что меряю по себе а у меня требования жесткие.
    > Если теоретически прога может работать в 4 раза быстрее со всей оптимизацией
    > но не показывает этого - это гуано.
    ну вот вы знаете, я как юзер на скорость работы внимание обращаю только тогда, когда оно уже совсем безбожно тормозит. мне главное чтобы оно работало.

    >> извините, но о чем после этого с вами можно говорить?
    > Откройте справочник россиянских банков и выберете несколько сверху.
    > Попадете (скорее всего) и на те, где работал наш софт.
    ну мой софт тоже много где работает. вопрос в том -- как он работает ;)

    > Что вы тут как Сацура терминами кидаетесь? Вы делом покажите
    > как работаете - покажите мне суперстатистику на вирустотале напротев McAfee.
    я вам еще раз объясняю, что мы работаем над IPS. на вирустотале он не представлен. продукт называется NTR. если (допустим) вы имели опыт работы с ним и вам есть что сказать -- тогда давайте и говорить. при этом я не говорю, что наш NTR -- это круто. вовсе нет. но я по крайней отвечаю за его часть и бок-о-бок работаю с людьми, которые пишут другие части, а, значит, могу в какой-то степени на них повлиять.

    >> но средняя все равно будет на уровне 10ms ~ 50ms
    > Грубо говоря, 25ms - 40 сэмплов в минуту, right? Cool.
    что-то я не понял как вы считали. угадайте за сколько я просканировал 57k файлов ;)

    > Теперь зайдем на что-нить типа ThreatExpert и обратим внимание на время.
    > Примерно 5-10 минут! На один сэмпл.
    ну вот у меня есть один интересный движок с довольно высоким d-rate, но... 10 сек на файл. причем там все очень просто и тупо сделано. и весь код написан в отеле за несколько вечеров. а сейчас под этот проект выделяются нехилые бабки и очень очень нравится многим. а все почему? да потому что 10 сек. это не приговор. к тому же это латентность. а пропускная способность легко увеличивается. можно ли было это оптимизировать? да, конечно. нужно ли? ну вот если вам нужно -- вы и оптимизируйте. а я не знаю еще ни одного продукта у которого скорость была бы киллер фичей. может, подскажете?
     
  6. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    PSR1257
    > Не стоит рассматривать отдельного Криса супротив одного маленького
    > сферического жабаскрипта. PDF 300кил - типичный (?) эксплойт - так
    > наверное реальнее будет.
    укажите конкретный сплоит -- скажу время анализа.

    wsd
    > он не в пдф тиме
    > у него браузерные сплоиты, они по несколько килобайт
    мой последний проект - это pdf/swf сканер.
     
  7. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    так я же сказал, что js он столько анализирует, а не js-ом он столько анализирует)
    мож тогда сделать паблик прожект по уневерсальной js либе, типа jquery?( секури составляющая самосабой приватна)
     
  8. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    wsd
    > так я же сказал, что js он столько анализирует, а не js-ом он столько анализирует)
    код двига целиком написан на Java Script. так что он анализирует js-ом js :)

    > мож тогда сделать паблик прожект по уневерсальной js либе,
    > типа jquery?( секури составляющая самосабой приватна)
    и как это поможет решить проблему отличий разных двигов? была красивая идея писать на js, чтобы однажды написанный код работал везде без дополнительных телодвижений, но оказалось, что это не так и что его нужно тестировать и писать с учетом особенностей конкретных двигов, т.е. все равно ни хрена не портабельно.

    ну это как в си писать. пишите (и ведь по стандарту пишите!) foo(a,b){return a+b;} и на одном си-компиляторе это работает, а на другом... не очень.
     
  9. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    в смысле какие-то массово используемые действия и по разному писуемые на разных браузерах забацать в универсальные функции
    Код (Text):
    1. PORTABLEFUNC( ....){
    2. if( IE){
    3.      alert( "c таким браузером не заморачивайтесь, вам пипец по любому");
    4.      BSOD();
    5. }else if( FOX){
    6.  трым пырым трым пырым
    7. }else if( OPERA){
    8.  чих пых чип пых}
    9. и т.д.
    10. };
    и кстати по партабельности движка, я не утверждаю так как смотрел мельком, кажется жава аплеты и жс неплохо взаимодействуют друг с другом.
    а на полноценной яве можно развернутся в полный рост и по перфомансу и по наличию любого фреймворка.
    если Вам это пригодится буду очень рад)
     
  10. PSR1257

    PSR1257 New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2008
    Сообщения:
    933
    kaspersky

    Они бы мои текущие удовлетворили.... я (и другие) платить готовы, а товара нет / но причем здеся tout-ing товара путем оперирования несуществующими характеристиками? ("удалит любые угрозы" и т.п.)

    Если вы хотите консонантного солидного труда на эту тему (современ.), то можно попробовать вот это: Age of Propaganda: The Everyday Use and Abuse of Persuation. Anthony Pratkanis, Elliot Aronson.

    Повторю погромче: я не в банке отчеты пейсал на скрипте, я пейсал софт ДЛЯ банков. "Леджитимаэйт спам" - мне этого не понять - так же как и вам.

    И вообще я предлагал узконаправленную дискуссию а вы ее перенесли на тему "кто больше проект пейсал". Если вы считаете что после того, как одмин, крестясь, залил ваш очередной апдейт и внезапно - как странно! - массовый FP, то это можно откатить с ноги. Но если вы деньги в банке чуть не так по щетам раскидаете - этого с ноги вам уже не поправить.

    Никуда - это куда? Еще один кредит чтобы дали? Не в курсе на самом деле - tell us the story.

    Там наверное марсиане работают. Ибо экстраполируя свой скромный опыт реверсенга на некий незнакомый мне абстракнтый файл который наверянка не открытый HLL ... за три часа там можно только раскочегареццо наверное ... НЕ ВЕРЮ. Это сука менеджер впарил продукт а когда его спросили про время - бодро ответил - да за пару часофф, че там эксплойт-то ковырять, он же тупой как джабоскрипт. Главное не проворонить когда он будет по открытым хэндлам свое тело подчитывать - а так че хошь сделаем! И поехал отдыхать во Флориду а парни из iNCESSANT Defeat покурили так по-быстрому и опять к сэмплам ... так мне это видица.

    Первый шаг - он самый трудный. Ога.

    У меня наверное какая-то упрощенная ментальность или просто не-дуальность: обычно "плохо" для меня также и "несимпотично" (это наверное от того, что я считаю реальность единственна а не у каждого "своя").

    Я вам верю. Вы встретили вишну просто он еще об этом не знает. Обычно они натасканы на определенные методы работы и пытаются применить их. Хотя ситуация может тебе сказать что _абсолютно_ ни в чем не прав и тебе надо отказацо от догм.

    Кстати, немецкие машины - самые признанные в мире. На чем ездять ваши боссы? Это действительно качество и не надо создавать "потребность купить". Странно, я не слышал про antivirus made in German - ?

    К сожалению нет. Если я правильно понял ваш первый вопрос, под "своим" софтом можно понимать что-то созданное вами или вами как владельцем компании. ВЫ его пытаетесь продавать. А то что вы под крышей МакА пишете - за "свой" не считается, это "project" (internal!).

    Вы так говорите как будто юзер ожидает от антивируса каких-то постоянных полезных действий. Вовсе нет, это иллюзия. Он ожидает лишь двух весчей: когда он кликает на вложение он ожидает что 1) его Защитник реально сможет (за 25 наносекунд или хотя бы 2,5sec) остановить угрозу и 2) Если все же случилось непоправимое - стоит только нажать полный скан (внимание! вот тут-то становиццо интересено!) обязательно найдет и вылечит и спасет. Однако если вы тратите 7 секунд на скан одного сэмпла (как я посчитал) или пусть даже 1 секунда ... 0.1 секунда ... умножаем ... черт, в одной только system32 сотни файлов.

    Если дискуссия на тему "так ли безопасны антивирусы" (или "так ли вредна малварь"), то вы просто нажимаете сейчас DDQD - в то время как я пытаюсь оперировать обсалютна открытой для всех информацией с официальных источников. Я не настаивал чтобы было обязательно про новейшие достижения в жабадетекции, вы же (например) указывали Клерку что его трюк для бинарнека не работает - я сделал вывод что вы можете и за "обычную" малварь поговорить.

    антивирус не предназначен для предотвращения неизвестных угроз

    Какова Ваша оценка подобного официального определения своего детища для любого AV? Слабо McAf начинать разговор с потенциальным клиентом с этой фразы?

    Если наткнусь - пошлю и скажу. Киньте вы, у вас там под рукой их много, я верю что он будет рандомный.
     
  11. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    PSR1257
    > Они бы мои текущие удовлетворили.... я (и другие) платить готовы, а товара нет
    то есть антивирусы все-таки не исключение и от остального софта они мало чем отличаются.

    > И вообще я предлагал узконаправленную дискуссию а вы ее перенесли на тему
    > "кто больше проект пейсал". Если вы считаете что после того, как одмин, крестясь,
    мы люди серьезные и пиписками тут не мереемся. вопрос не в том у кого длинее. просто программа, написанная за 15 минут, и программа, которая уже пишется несколько лет, сталкиваются с разными проблемами, которые очень сильно меняют взгляды на программирование.

    > залил ваш очередной апдейт и внезапно - как странно! - массовый FP,
    > то это можно откатить с ноги. Но если вы деньги в банке чуть не так по
    еще раз, он такой же мой, какой и ваш. причем, поскольку он вас трогает больше, чем меня -- то к вам он ближе. я работал и работаю на CJ, а смена вывески наши внутренние устои совсем не беспокоит.

    >> в штатах без кредитной истории -- никуда
    > Никуда - это куда? Еще один кредит чтобы дали?
    > Не в курсе на самом деле - tell us the story.
    ну вот подключаю иннет. у меня есть деньги. но у меня их не берут. иннет тока в кредит. а в кредит при наличии кредитной истории. а без кредитной истории я три часа сидел на телефоне и меня перекидывали по разным манагерам, выясняя как у меня взять депозит. коничилось тем, что взяли депозита сто баксов и мыщъх с облегчением вздохнул. но три часа потраченного времени -- жалко.

    >> не можете ничего умного сделать за три часа -- значит, в iDef вам делать нечего
    > Там наверное марсиане работают. Ибо экстраполируя свой скромный опыт реверсенга
    а вы что, каждый день реверсите малварь с утра до вечера? если нет, то -- откуда оценка? тут же не вопрос мозгов, тут чисто вопрос навыков. плюс еще ревисинг можно параллелить по тиму. один типа сидит и мониторит обращения к фс и реестру, другой изучает структуру сетевого трафика, трейтий смотрит какие дропперы и в каком кол-ве оно сливает, потом эти дропперы каждый анализирует уже сам... реально интересного кода - очень немного.

    но мы опять как бы спорим непонятно с чем. я же прямым текстом написал, что сам удивился -- а что можно сделать за три часа?! и даже не пытался туда устроиться после этого. потому подробности работы не знаю.

    > на некий незнакомый мне абстракнтый файл который наверянка не открытый HLL...
    вы просто не анализируете малварь... а потому вы не поверите, но там не просто HLL, там ENG. и можно по F3 в FAR это проанализировать. а все просто... встроили логгер детальный, а убрать не убрали. сидишь и читаешь себе последовательность операций ;)

    > Это сука менеджер впарил продукт а когда его спросили про время - бодро ответил
    это не манагер. это кастомеры. кастомер посылает файл и хочет отчет. и хочет его в реальном времени. изменения во втором полиморфном поколении -- его не интересуют. ему нужна общая картина. типа эта штука лезет через такую-то дыру (ну там браузер, pdf), это zero-day или уже есть заплатака (ссылка на заплатку). после того как оно залезет оно становится частью бот-нета (что за ботнет), устанавливает кей-логгер или еще что. признаком инфецирования является.... рекомендации админу....

    ну а как там оно морфится - это вы сами будете анализировать если оно вам интересно. кстати, кто у нас последний полиморф?

    > да за пару часофф, че там эксплойт-то ковырять, он же тупой как джабоскрипт.
    что вы так манагеров не любите? ;)

    >> если отказаться от антивирусов -- станет меньше вирусов?
    > Первый шаг - он самый трудный. Ога.
    кто вам не дает его сделать?

    > У меня наверное какая-то упрощенная ментальность или просто не-дуальность:
    > обычно "плохо" для меня также и "несимпотично" (это наверное от того, что
    > я считаю реальность единственна а не у каждого "своя").
    и вы сидите на хакерском форуме. отлично.

    >> у меня есть знакомый индус. и я могу сказать, что он очень талантливый человек.
    > Я вам верю. Вы встретили вишну просто он еще об этом не знает.
    зато вы об этом знаете.

    > Обычно они натасканы на определенные методы работы
    > и пытаются применить их. Хотя ситуация может тебе
    скольно индусов знаете вы лично, чтобы делать такой глобальный вывод?

    >> немцы говорят -- мы не настолько богатые, чтобы покупать дешевые вещи
    > Кстати, немецкие машины - самые признанные в мире. На чем ездять ваши боссы?
    на японках

    > Это действительно качество и не надо создавать "потребность купить".
    > Странно, я не слышал про antivirus made in German - ?
    очень странно. вы этот антивирус только что упомянули незлым тихим словом.

    > К сожалению нет. Если я правильно понял ваш первый вопрос,
    > под "своим" софтом можно понимать что-то созданное вами
    да, созданное и/или спроектированное вами.

    > А то что вы под крышей МакА пишете - за "свой"
    > не считается, это "project" (internal!).
    он уже год как поставляется на рынки разных стран. и как уже писал выше, я был и постановщиком задачи, и проектировщиком, и исполнителем.

    > Однако если вы тратите 7 секунд на скан одного сэмпла (как я посчитал)
    57,955 файлов (pdf) просканировались на ноуте за десяток минут.

    > обязательно про новейшие достижения в жабадетекции, вы же (например)
    > указывали Клерку что его трюк для бинарнека не работает - я сделал вывод
    > что вы можете и за "обычную" малварь поговорить.
    поговорить могу, но только отвлеченно, т.к. с exe/dll дела практически не имею. у меня другая специализация. я работаю с документами. в основном это HTML/PDF, т.е. JS и SWF. как только дохожу до стадии, что они скачивают с иннета exe или exe уже включен в pdf -- моя работа заканчивается.

    >> антивирус не предназначен для предотвращения неизвестных угроз
    > Какова Ваша оценка подобного официального определения своего детища для любого AV?
    это не моя оценка. это то, для чего конструктивно (не)предназначен любой AV.

    > Если наткнусь - пошлю и скажу. Киньте вы, у вас там под рукой их много,
    > я верю что он будет рандомный.
    ну вот выше приводил время анализа 57,955 pdf файлов. все файлы разные. дубликатов нету. анализатор целиком написан на JS, который работает на движке от гугла, что говорит о том, что у гугла хороший движок и что скорость работы JS не сильно отличается от скорости компилируемых программ.
     
  12. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    wsd
    > в смысле какие-то массово используемые действия и по разному
    > писуемые на разных браузерах забацать в универсальные функции
    так для этого сначала нужно выяснить, что в разных двигах что-то реализовано по разному. а при выявлении различий -- сделать дополнительные телодвижения, хотя сказка обещала, что если писать на JS, то этого делать не надо ;)

    > а на полноценной яве можно развернутся в полный рост
    > и по перфомансу и по наличию любого фреймворка.
    как мне на Java перехватить функцию, вызываемую из JS? пусть для определенности это будет eval.
    я начал писать на JS сначала только обертки для перехвата всех интересных функций, а основной анализ сначала был вынесен отдельно, но потом оказалось, что так делать смысла нет.

    так же изначально код писался под вполне конкретный движок, которым был выбран гугл. и там было два пути -- делать все на расширениях c++ специфичных для гугла или делать все на JS и тогда можно использовать не только гугл, но и любой другой движок. поскольку подсажваться на гугл не хотелось (к тому же имеются бесплатные альтернативы от адобы и фф), было принято решение все писать на JS и тогда в случае чего мы могли бы в разумное время переключиться на SpiderMonkey, например.

    оказалось, что "переключаться" не надо. оно и так с ним работает. более того, оно работает не только на серверной стороне, но и на клиентской, используя браузер клиента как двиг. на сафари оно прекрасно отработало во всяком случае. это меня здорово возбудило. еще бы -- маштабируемость от кластера до сотового телефона. вот и стал переносить куски кода с си на js. однако, по мере роста кол-ва строк выяснилось, что демонстрация это одно, а вот реальная эксплутатация разных двигов -- это другое. с другой стороны, "расширение сферы обсуживания" это как бы бонус к изначально сформулированным требованиям, которые заключались в отсутствии жесткой привязки к конкретному движку, а жесткой привязки нет.
     
  13. GRRRLPower

    GRRRLPower New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2010
    Сообщения:
    46
    Извиняюсь, что беседу прерываю, но Крис, почему Вы в ПМ не отвечаете?) Или у Вас руки еще не дошли?
     
  14. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    это реально в природе столько уникальных семплов или шутка?
     
  15. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    kaspersky
    ещё вопрос. у фф по обсуждениям много дыр в плагинах и они сами говорят,что сами разбирайтесь что ставите и нас это не касается.
    у вас двиг учитывает дыры в приблудах или только в базовой поставке?
     
  16. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    wsd
    > это реально в природе столько уникальных семплов или шутка?
    не все из малварные. проверка чистых сэмплов обычно занимает больше времени, поскольку как только обнаружена малварь можно прерывать сканирование. а если малварь не обнаружена, то нужно проводить распаковку всех потоков, смотреть все жаба скрипты, флешь... и все это занимает время.

    > ещё вопрос. у фф по обсуждениям много дыр в плагинах и они сами говорят,
    > что сами разбирайтесь что ставите и нас это не касается.
    > у вас двиг учитывает дыры в приблудах или только в базовой поставке?
    ну на такой вопрос я могу ответить лишь теоритически, ибо чего-то живой малвари под плагины фф не припоминаю. публичные сплоиты - да, задетектились автоматом (не уверен, правда, что я их все проверял). но это ж PoCи. их вообще тривально детектить. если вы дадите ссылку на сплоит -- то я смогу точно сказать обнаруживается от или нет (и с какой степнью уверенности).

    кстати, самих атак на фф -- буквально единицы и то навскидку помню только одну крупную атаку, да и то не сам фф, а на флеш-плеер (правда там был разный код для IE и ФФ, ибо сами плееры разные).
     
  17. Satsura

    Satsura S4(uR4 __r00tw0rm__

    Публикаций:
    0
    Регистрация:
    22 апр 2010
    Сообщения:
    374
    Адрес:
    Узбекистон, бляать!!11 :D
    Ребята давайте жить дружно (с).
    Тщерт вы уже на четвертую страницу этот флудопаст растянули, причем тема совсем позади осталась.
    Поймите же наконец, спор VX vs AV, Windows vs Linux, C vs Pascal, PHP vs PERL , etc... просто глупая трата времени. Он бесконечен и нечего в конечно итоге не доказывает;)
    Каждый язык,Ось по своему уникальна. В ней есть свои преимущества и свои недостатки.
    Не нравится не пишите , не работайте на ней, но зачем оскорблять сообщество, людей ?
    Я вот вас многих так и не понимаю...
    И потом 2 ALL перестаните флудопастить мой ник повсюду. Займитесь делом наконец, воплощайте свои идеи в жизнь, радуйтесь жизни в конце концов, кто вам мешает ? помойму только вы сами;)
     
  18. dZentle_man

    dZentle_man New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2008
    Сообщения:
    414
    kaspersky
    Ну почему же именно герой... Я вас просто очень уважаю, как человека пишущего дело со знанием дела и со здоровой долей самокритики и юмора. Герой делает что то в противовес обстоятельствам и жертвуя/рискуя самым дорогим, а вы же просто увлеченный человек, хоть и близкий мне по духу и даже в чем-то пример)
     
  19. dZentle_man

    dZentle_man New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2008
    Сообщения:
    414
    А можно ему просто тихо сползти вниз и уйти в небытие без посторонней помощи? Или обязательно нужно закрыть, а то очень хочется?
     
  20. dZentle_man

    dZentle_man New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2008
    Сообщения:
    414
    А вы не думали с чем это может быть связано?) Может быть с крисом просто интересно поговорить?) И не факт что не могут, просто некоторым оно глаза мозолит.