Как новый интернет-Security/Anti-Virus запускает свою базу данных вредоносных программ? Я видел несколько новых продуктов, которые способны обнаруживать вирусы, которые были в дикой природе 10-15 лет назад.
1 ответ
2
У антивирусных компаний есть два аспекта:
- подписи, которые они должны соответствовать, и
- технология, используемая для сопоставления подписей
Сами подписи довольно хорошо стандартизированы (с количественными ложноположительными характеристиками).
Технология будет проприетарной и будет определять порядок использования подписей.
Таким образом, новая компания выберет стандартную базу данных из некоторого источника и «запустит» своих собственных переводчиков, чтобы преобразовать ее в базу данных, которая будет работать с их реализацией.
Компания примет их баланс между простотой преобразования и оптимизацией для их реализации.
Несколько ссылок для дальнейшего чтения,
- Правила SNORT: Правила Исследовательской группы по уязвимости Sourcefire ™ (VRT)
- Написание подписей ClamAV. Алена Зидууба. 4 марта 2009 г. (файл PDF)
- PE Sig (связанный с здесь помимо всего прочего)
- PE Sig - это инструмент, написанный на Ruby, который генерирует подписи ClamAV® для переносимых исполняемых файлов.
Для получения дополнительной информации о PE Sig ознакомьтесь с описанием Брайана Касвелла в блоге VRT.
- PE Sig - это инструмент, написанный на Ruby, который генерирует подписи ClamAV® для переносимых исполняемых файлов.