Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: Symantec

Anti-virussoftware producent Symantec heeft een Amerikaans patent gekregen voor zijn heuristische anti-virus technologie. Deze methode kan automatisch nieuwe virussen herkennen op basis van de eigenschappen van bestaande virussen. De heuristische techniek is al geïmplementeerd in de producten van Symantec zelf en is vrijwel op elk platform toe te passen. Met deze techniek kunnen nieuwe virussen bestreden worden voordat ze zich gaan verspreiden:

Traditional antivirus software detects viruses by searching for previously identified fingerprints in files and on disks. In contrast, Symantec's patented heuristic technology identifies new threats by directly examining files for suspicious behavior, without the need for fingerprints. This new system provides a powerful complement to traditional fingerprint-based antivirus software by providing protection against new malicious threats before definitions are available.

Blacksnak gaf ons deze tip.

Moderatie-faq Wijzig weergave

Reacties (25)

Met deze techniek kunnen nieuwe virussen bestreden worden voordat ze zich gaan verspreiden
Foute vertaling van:
This new system provides a powerful complement to traditional fingerprint-based antivirus software by providing protection against new malicious threats before definitions are available
Er staat dus dat er beveiliging wordt geboden voordat er een nieuwe virusdefinite in de scan engine wordt gezet. Dat is dus heel wat anders dan dat er beveiliging wordt geboden voordat het virus zich gaat verspreiden.
Dat was ook helemaal geen vertaling van precies die regel. Het is namelijk een vrije vertaling van dit stukje:

"The U.S. Patent and Trademark Office is recognizing Symantec for its cutting-edge technology that can detect and block a high percentage of entirely new virus strains before they have a chance to spread," said Rob Clyde, vice president and chief technical officer at Symantec.
De kans dat dit tot veel valse herkenningen gaat leiden is wel erg groot. Volgens mij is het veel nuttiger om te scannen op generieke zaken die een virus doet zoals:
Zichzelf kopieren
Zich verstoppen
Dingen beschadigen
daarom kun je dat heuristische niveau ook aanpassen. Ik meen me trouwens te herinneren dat ThunderByte AV zoiets destijds ook al had. (is nu Norman geloof ik)

als je 'm op hoog zet, dan gaf ie bij een hoop dingen alarm, precies omdat die code 'vreemde' dingen doet zoals bootsectors aanpassen (format, fdisk of defrag) zich resistent in het geheugen laad (himem)...

edit:
typo's
ThunderByte AV had dat inderdaad.. Het is ook niet echt bepaald 'nieuw' deze 'uitvinding'. Ik vraag me ook af of het zinnig is hier een patent voor te verlenen.. ik ben zowiezo geen voorstander van software patenten.
Idd, Thunderbyte Anti-Virus had al heuristiek aan boord. Thunderbyte heeft heuristisch scannen zelfs uitgevonden, en dat is alweer lang geleden in het DOS-tijdperk...

Tegenwoordig is het idd Norman Anti-Virus.
Als ze nu het patent toegekend hebben gekregen, dan zullen ze dat wel een aantal jaar geleden hebben aangevraagd. Er gaat redelijk wat tijd overheen tussen 'een ontdekking' en het toekennen van een patent hierop. Bovendien kun je geen patenten krijgen op zaken die al in producten zitten of die al gepubliseerd zijn (iig in Nederland en de VS).
Het patent komt voort uit IBM AV. IBM had vroeger een antivirus pakket waar ze dit in geprogrammeerd hadden. Symantec heeft toen later alles van IBM in zaken AV overgenomen dus ook de patent aanvraag.
Je kan patenten krijgen op producten die al gepubliceerd zijn. Mits het nog niet gepubliceerd was op het moment van de filing, het hebben van een NDA tot het moment van filen is al voldoende.
Klopt, TBAV (ThunderByte) had ook heuristische scan-engine.
Leuk voor Symantec.

[van Dale]
heu*ris*?tiek (de ~ (v.))
1 de wetenschap die langs methodische weg tot vondsten of ontdekkingen leert komen

Voor de echte virusbouwers is een heuristische scan-engine natuurlijk alleen maar een extra uitdaging }>
Ik vraag me af wat de meerwaarde is van heuristiek: een extra gevoel van veiligheid :?
In ieder geval niet van reeele veiligheid: de virussen die ertussendoor glippen, hebben (per definitie) een andere werking dan bestaande virussen.

Trouwens: ook Kaspersky, E-Trust en ongetwijfeld een hoop andere antivirus-software fabrikanten maken gebriek van scan engines met heuristische scanning.
meerwaarde heuristiek : anti-scriptkiddies.
Door de heuristiek zal hij een nieuw virus, gebaseerd op een bestaand virus herkennen als virus, echter welke het is weet hij niet. Zonder heuristiek herkend hij het helemaal niet
Niet alleen anti-scriptkiddie lijkt me, wat dacht je van polymorphische virussen? Die genereren zelf nieuwe variantjes van zichzelf. Aangezien ze altijd een stuk code van het oorspronkelijke virus hebben, zijn ze daar aan te herkennen als zijnde virus-394739.unknown

da's volgens mij waar het meer om ging bij Heuristische scan engines.
Vraag me toch af hoe zo een programma dan op spyware reageert en andere programma's met virus achtige eigenschappen.
spyware is op geen enkele manier een virus. een virus is
A virus is a program that reproduces its own code by attaching itself to other executable files so that the virus code is executed when the infected executable file is executed.
dus spyware zal je er nooit mee detecteren.
spyware is ook _niet_ schadelijk voor de computer, het verzend alleen prive-informatie naar site's/servers
spyware is ook _niet_ schadelijk voor de computer, het verzend alleen prive-informatie naar site's/servers
Die stelling is toch niet geheel correct.

Ten eerste veranderd spyware ongevraagd instellingen op je computer en nesteld het zich in bijvoorbeeld IE.

Daarbij komt nog dat bij mij bijvoorbeeld internet bankieren van de ING bank met geen mogelijkheid aan de praat te krijgen was (wazige foutmeldingen, dubbel ingelogged etc.). Na een telefoontje met de helpdesk* kreeg ik te horen dat het waarschijnlijk aan spyware op mijn pc lag en dat ik dat even moest verwijderen met Ad-Aware of iets dergelijks. En laat het nadat ik dat had gedaan ook nog eens weer perfect werken!

Een programma dat ongevraagd bestanden/instellingen op mijn pc wijzigt om informatie te versturen via het internet zie ik dus in zekere zin wel degelijk als een virus.

EDIT:
* Vergeten: vonden ze leuk, om 5 minuten voor sluitingstijd op de extra ingeplande zondag bellen dat je spulletje niet werkt }>
Dan vind ik WinWhatWhere anders toch behoorlijk op een virus lijken ....
en welke eigenschappen van een virus heeft het dan?
Een hele nuttige techniek. Hiermee voorkomen ze dat ze eigenlijk achter de feiten aanlopen en alsnog een update moeten uitbrengen, zoals voorheen het geval was. Netjes gedaan.

[reactie op Mr-Leo]
Het kan zijn dat achtergebleven bestanden van Norton werden aangezien als virussen. Ik heb datzelfde namelijk andersom gehad. McAffee vond niets, Norton wel. De virus library van de een wordt gezien als virussen door de anders. Immers het is een preciese defenitie van de virussen.
[/reactie op Mr-Leo]
dit soort technieken worden toch al lang gebruikt? ik kan me herinneren dat de heuristiscs opties al jaren in de McAfee en Symantec software zitten.
Eind jaren 80 zat dit soort technologie al in het (Nederlandse!) ThunderByte Anti-Virus (ook wel bekend onder TBAV).

Was toen al nuttig, omdat het inderdaad heel snel de varianten op bestaande virussen en virus algoritmen boven tafel kon halen.
Virusbouwers verzinnen gewoon altijd weer iets nieuws. Helaas loop je dan als virusscanner altijd achter de feiten aan. Zo'n heuristische scan is natuurlijk mooi, maar die 'slimme' jongens verzinnen vast wel in het vervolg betere virussen die niet gevonden worden.

Ik denk dat er in de toekomst vooral meer gelet moet gaan worden op het Internet. Het is voor een virus nu niet moeilijk om de hele inhoudt van je machine naar het Internet te sturen. En dat is toch niet echt een fijne gedachte.
de enige virusscanner die ik vertrouw is Sophos, die overigens geheel gratis is te downen en eigenlijk direct een virus-identiteit ter beschikking stelt als er een vers en nieuw virus geboren wordt.
tenminste niet van die multimegabytes installaties.
En andersom zul je het net zo goed krijgen hoor.

waarom denk je dat zoveel mensen zo prat gaan op minimaal 2 virusscanners hebben? en sommige zelfs 3 tot 5 verschillende virusscanners gebruiken. En zelfs als je d'r 5 hebt, met allemaal uptodate dat files, dan nog ben je niet 100% veilig.

en: soms denkt een virusscanner wel eens een virus te zien, terwijl het niet zo is. :) (erg leuk als je toevallig eens een unix binary neerpoot op je windows bak ;) )

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True