karimovru: Родил вот...

Andy (

karimovru) wrote,
@ 2008-08-27 17:59:00

Родил вот...
Самая популярная фраза антивирусного сапорта "Присылайте файлик — скажем что-то, а без файлика никак".
Совсем недавно дошли руки сделать, что-то для этого.

Перефразируя Пруля:
Идея данной разработки такова: существующие антивирусы делят все найденные на вашем компьютере программы на "черные" и "всё остальное". Черные - это явно вирусы.
Autorun Angel делит программы по другому - на "белые" и на "всё остальное". Белые - это уже известные программы, контрольные суммы которых внесены в базу как явно честные невирусные программы. А всё остальное отсылается на антивирусный сервер для анализа и при следующем запуске AA (например, через пару часов), уже будет
проанализировано и вы точно узнаете, это белая программа или пока неизвестно что.

Оно онлайновое. Т.е. "баз" в привычном понятии у него нет.
Сама прикладуха пока убога, но я надеюсь найдутся люди которые или сделают ее краше и функциональнее или встроят онлайновый анализатор в свою. Мы сейчас сосредоточены именно на разработке самой технологии которая в идеале скажет вам "Ку" про любой файл.

Програмка берется тут: http://www.nictasoft.com/ftp/aa10.exe
Дальше оно будет само обновляться.
Репорты и вишесы можно сюда, можно мне на andy@karimov.ru
Note: Это бета-тестирование!

И как нынче модно ПОПИАРЬТЕ У СЕБЯ!

(34 comments) - (Post a new comment)

	lazylonelion 2008-08-27 03:05 pm UTC (link)
	а оно не сдохнет от трафика? (Reply to this) (Thread)

	karimovru 2008-08-27 03:12 pm UTC (link)
	нэ должно ) (Reply to this) (Parent)

	denns 2008-08-27 03:32 pm UTC (link)
	А как решены вопросы конфиденциальности? Вирусы во многие форматы селятся, те же DOC'и. Мне как-то стремно было бы отправлять все свои файлы по инету на удаленный сервак для анализа. (Reply to this) (Thread)

	karimovru 2008-08-27 03:42 pm UTC (link)
	А, что у нас часто .DOCи стоят в автозагрузке ? :) (Reply to this) (Parent)(Thread)

	denns 2008-08-27 04:07 pm UTC (link)
	а, я просто сразу не догнал, что только авторан анализируется. То-то смотрю, название проги странное :) (Reply to this) (Parent)

	lazylonelion 2008-08-27 09:10 pm UTC (link)
	Тогда может и не загнётся. А я-то понять не мог... (Reply to this) (Parent)

karimovru
2008-08-27 03:47 pm UTC (link)

В данный момент есть банальное шифрование перед отсылкой (я особо не вникал в структуру контейнера, он взят от Stop!-овского карантина, так-как в ближайшее время ее переделаю полностью).
Сейчас в процессе SSL для запросов и дополнительно цифроподпись ответов.
А отправлять или нет, личное дело каждого.

p.s. в принципе, при анализе макрософ мы содержимое документа и не смотрели никогда за ненадобностью, плюс для саплов макро-вирусов у нас существует фигня которая вайпит содержимое документа перед покладкой в коллекцию.
Исключение, кажется два макро-вируса которые клали заUUченные свои части в конец документа. Экзотика :)

(Reply to this) (Parent)(Thread)

	denns 2008-08-27 04:08 pm UTC (link)
	ага, понял. (Reply to this) (Parent)

	hijaq 2008-08-27 04:39 pm UTC (link)
	Эээ, онлайновый AdInf (или как оно там называлось в доисторические времена)? =) (Reply to this) (Thread)

	karimovru 2008-08-27 05:23 pm UTC (link)
	Куй его знает, но, что-то типа :) Родилось оно случайно и как это бывает, с бодуна :) (Reply to this) (Parent)(Thread)

hijaq
2008-08-28 06:52 am UTC (link)

А сделай ещё "enterprise" решение, чтобы база whitelist'а кэшировалась/хранилась на рабочем серваке с операционной системой, заведомо не подверженной вирусам =)))) и не надо было по поводу каждого чиха всем рабочим станциям лезть в интернет.

(Reply to this) (Parent)(Thread)

	karimovru 2008-08-28 09:22 am UTC (link)
	как вариант (Reply to this) (Parent)

	karimovru 2008-08-27 05:23 pm UTC (link)
	О, да, спасибо :) (Reply to this) (Parent)

	olegart 2008-08-27 06:46 pm UTC (link)
	Новость на Ф-Центре тебе сделать?.. :) (Reply to this) (Thread)

	karimovru 2008-08-27 07:01 pm UTC (link)
	Буду ..ец как признателен :) (Reply to this) (Parent)(Thread)

	olegart 2008-08-27 07:02 pm UTC (link)
	Тады два вопроса: а) упоминать как разработку компании NictaTech Software? б) пару слов о NictaTech скажи — чем известны (Reply to this) (Parent)(Thread)

	olegart 2008-08-27 07:28 pm UTC (link)
	в) сейчас оно проверяет только автозагрузку или любые запускаемые программы? (Reply to this) (Parent)(Thread)

	karimovru 2008-08-27 07:33 pm UTC (link)
	сейчас оно проверяет автозагрузку, драйвера и все что есть в памяти на момент его (ангела) (Reply to this) (Parent)(Thread)

	olegart 2008-08-27 07:50 pm UTC (link)
	http://www.fcenter.ru/online.shtml?softnews/2008/08/27#material_id=24863 (Reply to this) (Parent)(Thread)

	karimovru 2008-08-27 07:54 pm UTC (link)
	Биг сенкс! Сажусь писать FAQ :) (Reply to this) (Parent)(Thread)

	olegart 2008-08-27 07:56 pm UTC (link)
	Вставь его в тот же файл, на который ссылка стоит -- и хотя бы email для связи обратной укажи в самой программе ;) А то ща народ начнёт качать... (Reply to this) (Parent)

karimovru
2008-08-27 07:33 pm UTC (link)

а) да
б) мы делаем антивирусный движок на котором работает к примеру Антивирус Stop! (http://www.proantivirus.com) и еще несколько продуктов http://www.nictasoft.com/partners/
к сожалению почти все наши толстые клиенты любят шифроваться и не хотят дабы их где-то упоминали...

(Reply to this) (Parent)

	trolling mode on jdevelop 2008-08-27 07:32 pm UTC (link)
	самый лучший антивирус - FreeBSD! (Reply to this) (Thread)

	Re: trolling mode on karimovru 2008-08-27 07:34 pm UTC (link)
	я все ждал когда пингвИны придут.. говорят запустили нас на линухах под вайном - работаем :) (Reply to this) (Parent)

	bashirov 2008-08-27 10:19 pm UTC (link)
	оно поддерживает windows 6.0 x64? (Reply to this) (Thread)

	karimovru 2008-08-27 10:25 pm UTC (link)
	с учетом того что это моя первая в жизни end user app то удивительно, что оно вообще работает. хз, не пробовал, в x64 ему никто не мешает работать в эмуляции как 6.0 к нему относится пока не знаю (Reply to this) (Parent)

	bashirov 2008-08-27 10:23 pm UTC (link)
	первый глюк - окно отрисовывается наполовину за пределами primary display. и чего он лишние программы в автозапуске понаходил? типа firefox, semagic, thunderbird (запущенные в настоящий момент)? (Reply to this) (Thread)

	karimovru 2008-08-27 10:28 pm UTC (link)
	ну это судя по всему desctopcentered завтра привинчу второй моник - шляну а он не только автозапуск пырит, он и то что запущено пырит :) (Reply to this) (Parent)(Thread)

	bashirov 2008-08-27 10:35 pm UTC (link)
	но слать я файлы не буду, пожалуй, почти полторы сотни драйверов, хе-хе. (Reply to this) (Parent)(Thread)

	karimovru 2008-08-27 10:42 pm UTC (link)
	жаба, да ? весь аплоад на торенты :) (Reply to this) (Parent)

	lazylonelion 2008-08-28 02:31 pm UTC (link)
	а сам софт обновляться не будет? (Reply to this) (Thread)

	lazylonelion 2008-08-28 02:32 pm UTC (link)
	упс! Обновляется! :) (Reply to this) (Parent)

	(Anonymous) 2008-09-10 12:03 pm UTC (link)
	я вот как пользовался авастом так и останусь ему верен и ни на какие ухищьрения не променяю (Reply to this)

	iozver 2008-09-10 12:11 pm UTC (link)
	я вот ИМХО как пользовался АВАСТом так и буду им пользоваться и ни на какие ухищьрения не поменяю (Reply to this)

(34 comments) - (Post a new comment)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs