|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
lo chiedo da profano (non so come opera un antivirus..):
che differenza c'è fra un antivirus che scansiona la posta e gli allegati, bloccando quello che trova di infetto, e uno che non lo fa ma che blocca ugualmente tutti gli eseguibili che questa potrebbe contenere? Presumo che la rilevazione venga fatta dai codici dei files quindi, agli effetti pratici, cosa cambia?
|
|
Rank: Admin
Iscritto dal : 10/4/2000
Posts: 19,056
|
Il fatto stesso che Avira non lo inserisce come funzione nella versione gratuita dovrebbe far capire la differenza. Vuoi mettere lanciare un virus e poi bloccarlo invece di cancellarlo in anticipo senza mandarlo in esecuzione?
alfonso_aiutamici@hotmail.it
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
boh....direi che non cambia proprio niente.....in entrambi i casi il virus non agisce. O no?
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2010
Posts: 73
|
a.roselli ha scritto:Il fatto stesso che Avira non lo inserisce come funzione nella versione gratuita dovrebbe far capire la differenza. Vuoi mettere lanciare un virus e poi bloccarlo invece di cancellarlo in anticipo senza mandarlo in esecuzione?
In anticipo potrebbe anche cancellare un falso positivo ?? Meglio controllarlo prima così si ha tempo e modo di controllare cosa cancella.
|
|
Rank: Admin
Iscritto dal : 10/4/2000
Posts: 19,056
|
lui49 ha scritto:boh....direi che non cambia proprio niente.....in entrambi i casi il virus non agisce. O no? Lui49, se hai qualche azione della Avira che ti fa guadagnare qualche soldino, gli faccio volentieri pubblicità e denigro gli altri, personalmente preferisco che la posta me lo controlli prima, inutile perderci in discussioni inutili.
alfonso_aiutamici@hotmail.it
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
lui49 ha scritto:lo chiedo da profano (non so come opera un antivirus..):
che differenza c'è fra un antivirus che scansiona la posta e gli allegati, bloccando quello che trova di infetto, e uno che non lo fa ma che blocca ugualmente tutti gli eseguibili che questa potrebbe contenere? Presumo che la rilevazione venga fatta dai codici dei files quindi, agli effetti pratici, cosa cambia? Considera un antivirus "residente" che NON scansiona le email in arrivo. 1) le email (e i loro allegati) vengono sempre salvati sull'HD senza subire, prima, verifica alcuna; 2) la difesa del PC viene affidata unicamente alla "difesa residente", la quale avrà a che veder con un malware già "salvato sull'HD" e riuscirà a difendere il PC solamente se prevarrà sul malware in questione. Considera un antivirus "residente" che SCANSIONA SPECIFICAMENTE le email in arrivo e i relativi allegati. 1) le email (e i loro allegati) verran salvati sull'HD soltanto nel caso che la scansione non rilevi nulla di sospetto; se la scansione rilevasse qualsivoglia cosa, ne seguirebbe l'immediato intervento dell'antivirus. Se l'antivirus fosse in grado di eliminare il malware, lo eliminerebbe. Se non fosse capace invece di eliminarlo, salverebbe il PC comunque, dato che riuscirebbe comunque a BLOCCARE -prima che avvenga- il salvataggio dei files infetti sull'Hard Disk; di conseguenza, per quanto micidiale possa essere il "fetecchio", in questo frangente l'antivirus risulta invincibile; 2) solo se l'antivirus NON ha trovato alcunché di sospetto durante lo scaricamento dell'email, l'email viene salvata sull'HD. E qui esiste comunque (ed è perfettamente attiva) la "protezione residente". Sicché, l'eventuale attivazione di un malware che sia stato scaricato comunque (perché non era presente nel database), può essere bloccata (esattamente come accade anche con AntiVir FREE) su criterio euristico in base al suo comportamento. In questa fase, dunque, se l'antivirus prevarrà, il PC risulterà difeso (esattamente come accade anche con AntiVir FREE) qualunque sia l'antivirus usato. Risulta di tutta evidenza, dunque, che solo nella fase di "scaricamento dell'email" l'antivirus si trova davvero in una posizione comunque invincibile (giacché, per quanto forte sia l'attacco, può "chiudergli la porta in faccia"). Una volta salvato il malware sul proprio HD, si può solo sperar che l'antivirus, per questa volta, abbia a che fare con un malware di cui può facilmente aver ragione... Gli antivirus che effettuan specifica scansione delle email in arrivo, peraltro -e NON bisogna dimenticarlo- offrono DUE "livelli di protezione": la scansione specifica e la protezione residente, AntiVir FREE consente, invece, per la protezione del proprio PC, un solo livello (la "protezione residente" contro minacce già presenti sull'Hard Disk) e basta.
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
Cavolo....che risposta!! (quella di Alfonso) 
|
|
Rank: Admin
Iscritto dal : 10/4/2000
Posts: 19,056
|
Lui49, la risposta era chiaramente scherzosa :o)))
alfonso_aiutamici@hotmail.it
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
te li do io gli scherzi....stai diventando una zitellaccia acida  Monsee: un antivirus, diciamo che la scansione euristica non esiste, riconosce un virus dalla sua esecuzione o perchè incontra, nella scansione, un file o la memoria infetti dal medesimo?
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
lui49 ha scritto:Monsee: un antivirus, diciamo che la scansione euristica non esiste Questa è davvero nuova! I tutti gli antivirus (con ben poche eccezioni [ClamWin, ad esempio]) e in tutti gli antispywares (inclusi quelli compresi negli antivirus) la componente "euristica" gioca un ruolo assai importante, sia in fase di "scansione" che in fase di "protezione residente".
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
Sì, lo so, ma lasciala per un momento da parte . Diciamo che sul mio antivirus non esiste.
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
lui49 ha scritto:Sì, lo so, ma lasciala per un momento da parte . Diciamo che sul mio antivirus non esiste. E che ci possiam fare?... Se non ce l'hai, significa che ti va bene non averla. Ho visto -su Aiutamici- che un'Utente ha preferito installare un antivirus che non le può rilevare i rootkits nemmeno se ci inciampa (perché non riesce proprio a "vederli"), ma -a quel che pare- le va bene così...
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
|
|
Rank: AiutAmico
Iscritto dal : 12/28/2009
Posts: 234
|
Lascia perdere lui49 .... Hai presente Don Chisciotte, che combatteva i "mulini a vento", scambiandoli per "giganti"? Siamo lì...  Anche di fronte l'evidenza, non si vuole capire. Quindi, a cosa serve continuare?
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
Ma nò, che c'entra.....si sta, sto, tentando di capire come funziona un antivirus. La risposta iniziale di Monsee è sì piuttosto esplicativa ma volevo approfondire un aspetto.
|
|
Rank: AiutAmico
Iscritto dal : 12/27/2008
Posts: 2,018
|
ussigur  Code:Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente). edit : ricerca euristica può andare ?
|
|
Rank: AiutAmico
Iscritto dal : 5/4/2003
Posts: 2,845
|
Pyrate....??????
|
|
Rank: AiutAmico
Iscritto dal : 10/31/2004
Posts: 7,183
|
@lui49 .... se hai qualcosa da insegnare .... fallo e basta ! .... gli altri devono sentire la tua chat ? ... ormai lo sanno tutti che ... monsee .... ha le sue idee ..... cosa credi, che arrivi tu e li fai cambiare ? :O)))))))
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
lui49 ha scritto:Diciamo che l'antivirus Asdrubale può fare affidamento solo sul suo aggiornatissimo database delle definizioni virus. Niente di euristico.
Ebbene...che fa? Un antivirus che un poco somiglia a quello che descrivi, effettivamente esisteva (nel senso che le sue funzioni euristiche giocavano un ruolo assolutamente minimale, né offriva altre funzioni oltre a quella antivirus, ma -con l'andar del tempo- ha incorporato una robustissima "componente euristica" assai potente e oggi fa proprio dell'euristica uno dei suoi vanti. Si tratta di F-Prot Antivirus (della Frisk: un antivirus commerciale -che esiste anche "per Linux"- che, da sempre, fa della semplicità spartana della propria offerta una bandiera). Sia oggi che quando ancora non aveva incorporato le sue odierne "capacità euristiche", questo antivirus offriva ed offre ai propri Utenti (tutti, ovviamente, paganti), una serie di script specifici e di moduli scritti in Perl che vanno ad aggiungere alle funzioni "standard" dell'Antivirus una ragguardevole capacità di scansionare le email. Rimarchevole, peraltro, che sia uno dei pochi antivirus che usan massicciamente anche nella scansione specifica delle email la propria "componente euristica" in aggiunta al database (in genere, nella scansione delle email la componente euristica gioca povero ruolo e viene usata quasi solo per scansionare gli allegati oppure in presenza di comportamenti maligni molto evidenti). Ma quel che importa per il nostro discorso è che codesta idea di mettere a disposizione dell'Utente una sorta di Mail-Scanner "autonomo" (si fa per dire, ovviamente: il Mail-Scanner poggia comunque sull'Antivirus!) non è recente, ma già si trovava anche in tempi in cui la componente euristica", nell'antivirus in questione, giocava ancora scarso ruolo. La componente Mail-Scanner viene descritta (in lingua inglese) in QUESTO ARTICOLO. Questo, per citare un caso esistito (ed esistente anche ora, ma ora c'è anche la "componente euristica"). Per rispondere alla tua domanda, direi che la migliore cosa, per un antivirus che NON usasse alcuna risorsa "euristica" sarebbe di fornire un valido scanner per le email in arrivo e i loro allegati. Il punto è questo: se una minaccia viene rilevata, non è comunque detto che la si possa sempre fronteggiare (vuoi a cagione di "falle" di questo o quel programma o del Sistema Operativo, vuoi per le specifiche "micidiali virtù" del malware incontrato [alcuni son davvero tetragoni al farsi eliminare])... Per questo è importantissimo (laddove si può) poter affrontare le minacce "da una naturale posizione di forza". Il che succede, appunto, quando la minaccia che vien rilevata NON ha ancora avuto modo alcuno per accedere all'Hard Disk. In questo caso, l'antivirus è "più forte", perché se pure non gli riuscisse di "affrontare il nemico e batterlo", potrà comunque "sbattergli il portone in faccia" e non lasciarlo entrare (risorsa contro cui il "fetecchio" -nello stato in cui è- non può far proprio niente)... Anche in questo caso, dunque, la via migliore sarebbe quella di avere un "antivirus residente" dotato di specifica scansione delle email in entrata.
|
|
Rank: Admin
Iscritto dal : 10/4/2000
Posts: 19,056
|
Ragazzi un po' di calma, parliamone senza farci salire la pressione. Lui49 che antivirus utilizzi? Gli antivirus utilizzano la lista delle definizioni per rintracciare e rimuovere un virus, se il virus non è presente nella lista definizioni passa come un file legittimo, quindi la differenza fra un programma antivirus sta solo nelle definizioni, ogni società aggiunge quelli nuovi e rimuove quelli vecchi, questo in fase di comparazione di vari antivirus da la classifica sbagliata di quale sia migliore e quale peggiore. Nelle versioni gratuite manca il controllo euristico, altrimenti nessuno comprerebbe la versione commerciale. La funzione euristica non vede il virus ma controlla le azioni sui punti critici del sistema, funziona come un firewall, se accede a qualcosa che non dovrebbe, il file viene bloccato e ci compare un avviso il Norton a partire dalla versione 2008 ha incluso un nuovo controllo chiamato SONAR che va oltre quello euristico, ovvero se un programma scaricato da internet è poco utilizzato lo marca come pericoloso e lo mette in quarantena, vedi i vari pacchetti AUP di aiutamici, l'ho dovuto disattivare e in seguito ho convertito tutti gli AUP autoestraenti in pacchetti ZIP proprio per non avere problemi. Che altro vogliamo aggiungere?
alfonso_aiutamici@hotmail.it
|
|
|
Guest |
