REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.
Thursday, June 23, 2011
Антивирус мертв?
Ну и кто после подобного опровергнет утверждение: "Антивирус мертв"?! В любом случае, наверное, следует согласиться с Шнаером что он лучше, чем его отсутствие.
Думаю, еще проще. Очевидно, что размер сигнатурной базы небезграничен, а ежедневно появляются тысячи новых образцов. Что касается всякого рода эвристики, то, опять же, из опыта, сколько раз было, что сегодня мы зафиксировали нового червя (не антивирусом! IDS-ом, например), отослали образец антивирусному производителю, он выпустил патч, поставили, вылечили, а через неделю фиксирум того же червя, с тем же поведением, но, понятное дело с другой md5, размером именем бинарника и пр., и антивирус снова бессилен, - снова все повторяем...
Это мое мнение, практические опыты не ставил, времени нет :-(((
Интересно, за 2 года ничего не изменилось? Сейчас также легко сделать необнаруживаемый PDF?
ReplyDeleteДумаю, еще проще.
ReplyDeleteОчевидно, что размер сигнатурной базы небезграничен, а ежедневно появляются тысячи новых образцов. Что касается всякого рода эвристики, то, опять же, из опыта, сколько раз было, что сегодня мы зафиксировали нового червя (не антивирусом! IDS-ом, например), отослали образец антивирусному производителю, он выпустил патч, поставили, вылечили, а через неделю фиксирум того же червя, с тем же поведением, но, понятное дело с другой md5, размером именем бинарника и пр., и антивирус снова бессилен, - снова все повторяем...
Это мое мнение, практические опыты не ставил, времени нет :-(((