?

Log in

taurus

April 2017

S M T W T F S
      1
2345678
9101112131415
16171819202122
23242526272829
30      
Powered by LiveJournal.com
taurus

кэширующий антивирус

Почему до сих пор нет кэширующих антивирусов?

То есть, чтобы при второй проверке, он не проверял каждый файл на наличие каждого известного вируса, а просто считал хэш, и если тот остался без изменений - то либо вообще игнорировал этот файл, либо проверял его только на новые вирусы.

От защиты от подделки вирусом базы хэшей легко защититься - достаточно подсчитать хэш от самой базы, и слить его на сервер вендора антивируса (и сливать туда каждый раз после проверки). Потом по юзернейму или сериалу продукта - скачать его назад и убедиться, что локальная база хэшей - правильная.

Более того, для бОльшего ускорения, можно иметь заранее локальную базу хешей безвирусных популярных файлов - то есть, скажем, нет нужны каждый день проверять стандартные виндовские программы - вендор вполне может держать у себя популярные файлы и прогонять каждую новую сигнатуру по этой базе один раз (на случай если вирус сто лет назад окопался в популярной программе, но только сейчас обнаружен). Пользователь у себя имеет усеченную базу хешей - скажем, кусок для Windows Vista ему не нужен, если у него XP.

Это ж просто и незатратно, а время ежедневной проверки сократилось бы до пары минут (только новые и модифицированные файлы)
Tags:

Comments

в симантеке файловый кэш давно есть. правда лучше он от этого ни капли не становится
это то что я описал или он как-то иначе работает?
Вот что говорит справка:

Кэширование файлов сокращает объем памяти, используемый функцией автоматической защиты, и помогает отслеживать неполадки. Кэш файлов содержит индекс незараженных файлов, найденных в ходе осмотра. Symantec Client Security добавляет в индекс кэша 16-байтовую запись, которая сохраняется в нем до тех пор, пока Symantec Client Security не обнаружит, что файл изменен.
да, похоже на то
основная загводка в том что, чтобы вычислить црц файла (чтоб посмотреть - а не изменился ли он?) его (файл) весь всеравно надо прочесть. все это сводит на нет затею.
ну считать файл - это все ж таки проще чем считать и потом еще прогнать всеми сигнатурами а потом еще и эвристиками
Касперский тоже подобным занимается