Какие функции выполняет технология origins tracing
Обновлено: 05.07.2024
Появилось несколько вопросов по данной технологии:
1) Я правильно понимаю, что технология основывается только на информации, полученной с помощью статического анализа?
2) Насколько это (декомпиляции в промежуточный байткод) ресурсоемкая задача в контексте того, что это выполняется непосредственно на устройстве?
3) Для описания модели есть какие-нибудь признаки связанные с SMC кодом?
1) Да, так и есть.
2) По нашим измерениям, внедрение этого алгоритма никак не сказалось на потребелении энергии батарейки.
3) Конечно есть!
И еще:
1) Поддержка *.odex? (наверно глупый вопрос)
2) А в связи с тем что используется только статический анализ, то получается проходят time-bomb и evil-update атаки? Если вы как-то этому противодействуете, то хотелось бы услышать)
1) Да, поддержка odex есть
2) Если для конкретной вредоносной программы имеется соответствующая запись, то она и ее модификации будут детектироваться.
На все ваши вопросы по этой теме сегодня отвечают не какие-то там маркетологи, а аналитик «Доктор Веб» по мобильным угрозам Александр Горячев.
Одной из изюминок Dr.Web для Android является технология Origins Tracing. Интересно то, что она появилась не одновременно с рождением продукта, а была перенесена в него позднее. Уникальная технология, созданная исключительно силами сотрудников «Доктор Веб», Origins Tracing позволяет значительно увеличить способности антивируса детектировать различные виды вредоносных программ. Суть технологии в том, что для каждой угрозы создается описание алгоритма поведения, которое добавляется в антивирусную базу. Одной такой записи может быть вполне достаточно для покрытия целого семейства вредоносных приложений, за счет чего может обеспечиваться детектирование новых модификаций и версий из этого семейства без их предварительного анализа в антивирусной лаборатории. При этом существенно сокращается объем вирусной базы, так как отпадает необходимость вносить запись для каждого конкретного семпла, а именно такой метод был и является основным для многих антивирусных вендоров. Мы не можем раскрыть все секреты, однако кое-что об основных особенностях Origins Tracing расскажем.
Для начала вспомним, как выглядит базовое приложение Android: основной программный пакет, имеющий расширение apk (например, SuperGame.apk) — стандартный zip-архив, содержащий все компоненты приложения. Внутри него находится файл AndroidManifest.xml, в котором указывается имя приложения, его версия, используемые библиотеки, сервисы, а также необходимые для работы функции; имеется цифровая подпись приложения, а также dex-файл, classes.dex — основной исполняемый код (Dalvik Executable), скомпилированный для функционирования в виртуальной машине Dalvik (Dalvik VM). Именно dex-файл представляет основной интерес, так как большинство вредоносных программ так или иначе функционирует как стандартное приложение Android — в виртуальной машине Dalvik.
Во время сканирования приложений антивирусом технология Origins Tracing строит для dex-файла определенную модель, которая базируется на основе декомпиляции в промежуточный байткод. Вирусная база содержит информацию с такими моделями. Имеющаяся специальная функция расстояния умеет определять сходства одной модели с другой, благодаря чему и происходит детектирование угроз.
Рассмотрим работу Origins Tracing на примере:
Согласно AndroidManifest.xml, оба приложения имеют одинаковое имя rreh.nyur и версию 1.0. Теперь рассмотрим их непосредственно на мобильном устройстве.
Оформление и функционирование обоих приложений полностью совпадает. Теперь посмотрим, как реагирует на эти программы Dr.Web для Android:
Как мы видим, название угроз при детектировании содержит приставку .origin. Это означает, что технология Origins Tracing на основании заложенных в нее критериев обнаружила очередных представителей семейства Android.SmsSend 114-го подсемейства.
Различия в размере исполняемого dex-файла (как мы видели на первом скриншоте) у похожих вредоносных программ, таких как рассмотренные СМС-троянцы, чаще всего обуславливаются попытками вирусописателей избежать детектирования антивирусами, использующими стандартный сигнатурный метод обнаружения. Для этого могут использоваться простые приемы, например изменение имен классов, функций и переменных в исходном коде приложения. После компиляции такого кода будет получен dex-файл с измененным содержимым, которое уже не будет соответствовать имеющейся сигнатуре в вирусной базе, что, в свою очередь, может предотвратить детектирование традиционным сигнатурным способом.
Большое преимущество технологии Origins Tracing в том, что она использует несигнатурный метод, и это зачастую позволяет ей более эффективно справляться с обнаружением обновленных или модифицированных версий вредоносных программ, а также вредоносных программ, работающих по принципу уже известных.
Следуйте за нашими новостями в удобном для вас формате
22 августа 2011 г.
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — успешно применяет технологию Origins Tracing™ в борьбе с угрозами для операционной системы Android. Эта уникальная технология позволяет заметно сократить объем вирусной базы без потери надежности защиты, что весьма актуально для современных мобильных устройств.
Традиционный метод детектирования угроз основывается на принципе создания для каждого вредоносного файла уникальной сигнатуры, по которой он в дальнейшем может быть опознан антивирусной программой. Соответственно, объем вирусной базы, состоящей из набора таких сигнатур, увеличивается по мере добавления в нее новых записей. В свою очередь, вирусописатели с целью обхода защиты нередко перекомпилируют вредоносные файлы, либо немного изменяют исходный код вируса, не затрагивая его функциональность. В связи с этим существовала вероятность того, что антивирусное ПО не отреагирует на проникновение вредоносной программы в защищаемую систему, поскольку ее сигнатура отличается от имеющейся в базе.
Иным образом работает технология Origins Tracing™ от специалистов компании «Доктор Веб». Для каждой вредоносной программы создается специальная запись, описывающая алгоритм поведения данного образца, который добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз.
Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 Seconds1 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
2. Dr.Web для Windows (Комплексная защита) 00:36 Да
2 Сколько базовых лицензий предусмотрено для программного продукта Dr.Web для Linux в составе Dr.Web Desktop Security Suite?
1.Одна — только антивирус 00:16 Да
3 Какой продукт Dr.Web может восстановить работоспособность ПК, когда запуск зараженной системы невозможен?
1. Dr.Web LiveCD 00:21 Да
4 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 01:49 Да
5 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для почтовых серверов Unix?
3. Центр управления 02:01 Нет
6 При покупке каких продуктов Dr.Web пользователь получает право бесплатного использования Dr.Web Mobile Security?
• Любых продуктов Dr.Web для защиты домашних ПК 00:17 Да
7 В случае новой покупки срок лицензии на Dr.Web Desktop Security Suite с Центром управления может составить
3. 12, 24 или 36 месяцев 00:13 Да
8 Укажите базовые лицензии, доступные при покупке продукта Dr.Web Desktop Security Suite для ОС Windows
5. Варианты 1 и 4 00:50 Да
9 Покупатель приобрел лицензию на Dr.Web Security Space для продления лицензии на Антивирус Dr.Web.
1.Покупатель сможет пользоваться дополнительными компонентами защиты начиная с момента активации серийного номера на Dr.Web Security Space. 00:20 Да
10 Антивирус Dr.Web поддерживает следующие ОС:
1. Windows 8/7/Vista/XP 00:40 Да
11 Коробочные продукты Dr.Web Security Space и Dr.Web Антивирус: 1.Можно использовать для защиты рабочего компьютера. 01:37 Да
12 Кто является правообладателем антивируса Dr.Web?
3. Компания «Доктор Веб» 01:22 Нет
13 Покупатель владеет лицензией на продукт Dr.Web сроком более 6 месяцев. Если вместо лицензии продления он приобретает новую лицензию по полной стоимости, предусмотрено ли увеличение срока ее использования?
2. Да, на 30 дней 02:21 Нет
14 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
3.SpIDer Gate 02:36 Нет
15 Какой дополнительный компонент НЕ лицензируется с программным продуктом Dr.Web для серверов Unix (Samba)?
4. Все ответы неверны 01:50 Нет
16 Дополнительный компонент Центр управления в продукте Dr.Web Desktop Security Suite лицензируется
3. для Windows, Mac OS X и Linux 01:18 Да
17 Какие варианты лицензий возможны для программного продукта Dr.Web для Linux
3. Антивирус + Центр управления 00:14 Да
18 После установки программ Dr.Web из коробочных продуктов их можно использовать даже без регистрации, однако:
2.Возможность обращаться за бесплатной поддержкой становится доступна только после регистрации. 00:53 Нет
19 Какие базовые лицензии предусмотрены для Dr.Web Desktop Security Suite?
4. Антивирус и Комплексная защита 00:36 Да
20 В какую группу продуктовой линейки Dr.Web Security Suite входит Dr.Web Office Shield?
4. Программно-аппаратные комплексы 00:15 Да
21 Dr.Web SelfPROtect — это:
4. Модуль самозащиты 00:13 Да
22 При количественной дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки 01:06 Да
23 При продуктовой дозакупке стоимость дозакупаемых лицензий рассчитывается:
• из диапазона суммарного количества защищаемых объектов без какой-либо скидки. 01:16 Да
24 Кто является потенциальными потребителями Dr.Web AV-Desk™? 6.верны ответы 1,2 01:07 Да
25 Если пользователь имеет право на несколько видов скидок, то
1. Скидки не суммируются, предоставляется наибольшая 00:09 Да
26 Комплект Dr.Web «Универсальный» — экономичное предложение для организаций с числом ПК
1. От 1 до 50 01:14 Нет
27 Выберите верное утверждение: Антиспам Dr.Web…
4. Все ответы верны 01:04 Да
28 В качестве дополнительных компонентов к базовым лицензиям для бизнеса предусмотрены
3. Антиспам, SMTP proxy, Криптограф, Центр управления 00:14 Да
29 Наценка при дозакупке криптографа для пользователей Dr.Web Desktop Security Suite равна:
• 10% 01:48 Нет
30 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта:
1. Dr.Web Desktop Security Suite — защита рабочих станций 00:19 Да
Смотрите в новом сезоне "Dr.Web возвращается". Никто не уйдёт больным.
При успешных кассовых сборах планируется выпустить ещё две части: "Dr.Web. Начало" и "Превосходство Dr.Web-а".
Последний раз редактировалось Segodnya; 09.07.2013 в 20:04 .
1 Сколько серийных номеров к критографу Atlansys Bastion поставляется в коробочном продукте Dr.Web Бастион?
2.2 00:07 Да
2 Какой дополнительный компонент не лицензируется с программным продуктом Dr.Web для интернет-шлюзов Kerio?
1. SMTP proxy 00:17 Нет
3 Базовая лицензия «Комплексная защита» предусмотрена для продуктов под управлением:
1. Windows 01:54 Да
6 При дозакупке стоимость дополнительных лицензий рассчитывается из диапазона, соответствующего:
2. Количеству приобретаемых дополнительно лицензий 00:32 Нет
8 Все скидки для продуктов и решений, в лицензиях на которые количество защищаемых объектов превышает количество, указанное в прайс-листе:
1. Согласуются с компанией «Доктор Веб» 00:17 Да
9 В состав коммерческого продукта Dr.Web Mobile Security Suite НЕ входит следующий программный продукт:
4. Все ответы верны 00:43 Нет
10 К числу преимуществ вирусной базы Dr.Web относится:
2. Способность определять множество вирусов одной вирусной записью 00:41 Да
11 Если пользователь имеет право на несколько видов скидок, то 1. Скидки не суммируются, предоставляется наибольшая 00:17 Да
12 Бонус 150 дней при продлении Dr.Web ОЕМ Универсальный будет предоставлен покупателю:
1.Если ОЕМ-лицензия будет продлена. 00:41 Да
13 Срок действия лицензионного соглашения при покупке коробочного продукта Dr.Web исчисляется с момента 2. Регистрации пользователем программы на сервере «Доктор Веб» 00:30 Да
14 В состав какой лицензии на продукты Dr.Web включены веб-антивирус SpIDer Gate™ и модуль Родительского контроля?
1. Dr.Web для Windows (Антивирус) 01:33 Нет
15 Право бесплатного использования сетевой лечащей утилиты Dr.Web CureNet! предоставляется при покупке коммерческого продукта: 1. Dr.Web Desktop Security Suite — защита рабочих станций 00:25 Да
16 Функция модуля Dr.Web SelfPROtect —
3. Самозащита 00:24 Да
18 При покупке электронной лицензии срок действия лицензионного соглашения исчисляется с момента
4. Регистрации серийного номера на сервере «Доктор Веб» 00:42 Да
19 Бонус в 150 дней предоставляется пользователю Dr.Web Security Space:
3.При продлении лицензии на Dr.Web Security Space или Антивирус Dr.Web, срок которой от 3 месяцев и больше. 00:28 Да
20 Выберите верное утверждение:
• Dr.Web Security Space — комплексная защита ОС Windows и Антивирус для Mac ОS X или Linux 01:28 Да
21 В состав Dr.Web Security Space входит:
8. В состав Dr.Web Security Space входят все перечисленные компоненты 00:16 Да
22 Согласно условиям лицензионного договора правообладатель передает конечному пользователю
3. Неисключительное право на использование ПО только тем способом и на тех условиях, которые указаны в тексте лицензионного договора 00:18 Да
23 Коробочный продукт Dr.Web Security Space:
1.Можно использовать и дома, и на работе — ограничений по месту использования в лицензировании нет. 01:26 Да
24 Какой модуль использует онлайн-сервис Dr.Web Cloud для мгновенной антивирусной проверки веб-ссылок?
4.Все ответы верные 00:11 Да
25 Кто является потенциальными потребителями Dr.Web AV-Desk™? 7.верны ответы 2,3,4 02:38 Нет
26 Какие компоненты защиты входят в базовую лицензию «Антивирус» для программного продукта Dr.Web для Windows в составе Dr.Web Desktop Security Suite?
3. Антивирус, Антишпион, Антируткит, Веб-антивирус 03:23 Нет
27 В состав коробочного продукта Dr.Web «Малый бизнес»:
2.Не входит защита для рабочих станций Mac OS X т.к. этот продукт не сертифицирован ФСТЭК России. 00:17 Да
28 Консольные сканеры Dr.Web лицензируются:
1. По количеству защищаемых ПК 01:04 Да
29 При приобретении Dr.Web Desktop Security Suite с Центром управления сроком на 24 месяца цена новой лицензии для НЕльготных категорий составляет:
3. 1,6 от цены соответствующего диапазона на 12 месяцев 00:18 Да
30 Для государственных учебных заведений предоставляется единая скидка на продукты Dr.Web в размере
1. 50% на все продукты и решения 00:59 Да
Добавка правильных 27 из 30
Ответы на экзамен по лицензированию DrWeb
Вынос мозга от Dr.Web.
Публикую ответы (правильные и неправильные) на экзамен DrWeb'а.
Последний раз редактировалось Genuine Savenger; 09.07.2013 в 16:47 .
Acid (19.11.2013), Ale (04.12.2015), alik (08.07.2013), dimasus (19.01.2016), Ильсур (09.07.2013), Гортор (09.09.2013), Find Server (15.02.2016), Graf (19.11.2015), GUFI*BASSCLUB* (08.07.2013), iga (08.07.2013), Nonlinear equation (08.07.2013), Rigiy (24.11.2016), rust17 (20.02.2017), Sadvakas Phantomov (08.07.2013), Segodnya (08.07.2013), SERGant1407 (26.11.2018), The Hamster (12.07.2013)Time Online: 2 Months 1 Day 9 Hours 26 Minutes 40 Seconds
Последний раз редактировалось Genuine Savenger; 17.07.2013 в 11:34 .
Читайте также: