Как новые AV компании справляются с базой данных подписей?

1006
RPK

Как новый интернет-Security / Anti-Virus запускает свою базу данных вредоносных программ? Я видел несколько новых продуктов, которые способны обнаруживать вирусы, которые были в дикой природе 10-15 лет назад.

2
Вы просите догадки или знания от кого-то изнутри? Saxtus 14 лет назад 0
Я не понимаю, насколько это актуально; Похоже, что это вопрос ведения бизнеса, а не вопрос компьютерного оборудования / программного обеспечения. James Polley 14 лет назад 0
О нет. Я не внутренний человек. Просто давно любопытство было. RPK 14 лет назад 0

1 ответ на вопрос

2
nik

У антивирусных компаний есть два аспекта:

  1. подписи, которые они должны соответствовать, и
  2. технология, используемая для сопоставления подписей

Сами подписи довольно хорошо стандартизированы (с количественными ложноположительными характеристиками).
Технология будет проприетарной и будет определять порядок использования подписей.

Таким образом, новая компания выберет стандартную базу данных из некоторого источника и «запустит» своих собственных переводчиков, чтобы преобразовать ее в базу данных, которая будет работать с их реализацией.
Компания примет их баланс между простотой преобразования и оптимизацией для их реализации.

Несколько ссылок для дальнейшего чтения,

  • Правила SNORT : Правила Исследовательской группы по уязвимости Sourcefire ™ (VRT)
  • Написание подписей ClamAV . Алена Зидууба. 4 марта 2009 г. (файл PDF)
  • PE Sig (связанный с здесь помимо всего прочего)
    • PE Sig - это инструмент, написанный на Ruby, который генерирует подписи ClamAV® для переносимых исполняемых файлов.
      Для получения дополнительной информации о PE Sig ознакомьтесь с описанием Брайана Касвелла в блоге VRT.

Похожие вопросы