Wie gehen neue AV-Unternehmen mit Signaturdatenbanken um?

1074
RPK

Wie bereitet ein neues Internet-Security / Anti-Virus-Startup seine Malware-Datenbank vor? Ich habe einige neue Produkte gesehen, die in der Lage sind, Viren zu erkennen, die vor 10 bis 15 Jahren in freier Wildbahn waren.

2
Sie fragen nach einer Vermutung oder einem Wissen von jemandem von innen? Saxtus vor 14 Jahren 0
Ich sehe nicht, wie dies relevant ist. Es scheint eher eine Frage der Geschäftsführung zu sein als eine Frage zu Computerhardware / -software. James Polley vor 14 Jahren 0
Ach nein. Ich bin keine innere Person. Hatte gerade eine lange Zeit Neugier. RPK vor 14 Jahren 0

1 Antwort auf die Frage

2
nik

Anti-Virus-Unternehmen müssen zwei Aspekte berücksichtigen:

  1. die Unterschriften, die sie zusammenbringen müssen, und
  2. die Technologie, mit der Signaturen abgeglichen werden

Signaturen selbst sind ziemlich standardisiert (mit quantifizierten falsch-positiven Eigenschaften).
Die Technologie wäre proprietär und regelt die Verwendung der Signaturen.

Ein neues Unternehmen würde also eine Standarddatenbank aus einer beliebigen Quelle übernehmen und seine benutzerdefinierten Übersetzer "ausführen", um sie in eine Datenbank umzuwandeln, die mit ihrer Implementierung funktioniert.
Das Unternehmen wird bei der Umsetzung ein Gleichgewicht zwischen einfacher Konvertierung und Optimierung annehmen.

Einige Referenzen zum weiteren Lesen,

  • SNORT-Regeln : Sourcefire Vulnerability Research Team ™ (VRT) -Regeln
  • ClamAV-Unterschriften schreiben . Alain Zidouemba. 4. März 2009 (PDF-Datei)
  • PE Sig (von hier aus ua verlinkt )
    • PE Sig ist ein in Ruby geschriebenes Tool, das ClamAV®-Signaturen für tragbare ausführbare Dateien generiert.
      Weitere Informationen zu PE Sig finden Sie in Brian Caswells Bericht im VRT-Blog

Verwandte Probleme