Statefull Packer Inspection against any kind of Malware!

[Dimitris Stasinopoulos]

On 11 Αυγ 2004, at 20:25 , ricudis at itc.auth.gr wrote:
>
> Kala re paidia, toso expensive operation einai pia to signature 
> matching?
>
> To clamd mou kanei 2msec gia na elegksei ena 1500 bytes file against 
> 22k
> signatures - oso to typical RTT se ena 10ri ethernet diktyo.

Άρα μόνο για 100kb/s constant traffic θέλεις γύρω στα 130ms. Και αυτό 
μόνο για για τα 22k signatures.

> An ypo8esoume
> oti exeis specialized hardware gi ayth th douleia, periorizeis ta
> signatures stous current ious (de me noiazei na elegxw pia gia to PIXEL
> virus)

Γιατί τέτοια περιφρόνηση για τον pixel παρακαλώ? Ελληνικός (αν θυμάμαι 
καλά) ιός και δεν θα τον προωθήσουμε?

> kai to syndiaseis me ena psiloeksypno state machine (de me
> endiaferei na elegxw ka8e paketo apo ena mp3 h avi file poy erxetai 
> apo to
> kazaa) nomizw oti mporeis na meiwseis to latency se PSILOanekta oria.
>
> Ola ayta einai sketh 8ewria, bebaia.

Το ζήτημα είναι..πόση ώρα θα σου πάρει να ξεχωρίσεις ότι αυτό το file 
είναι mp3 or avi κτλ? Kαι ύστερα, θα πρέπει να φτιάξεις ένα heuristic 
για να καταλαβαίνει αν ένα file είναι κομμένο στα 2 και συνεχίζει σε 
out-of-sequence πακέτα. Δεν γράφουν όλοι κώδικα του στυλ fd=socket(); 
write(fd, one_whole_file, strlen(one_whole_file)); close(fd); Aυτά (+ 
άλλα τόσα που βαριέμαι να γράφω), λίγο-λίγο σου προσθέτουν στο latency, 
και κυρίως δεν είναι προβλέψιμα. Εγώ γενικά είμαι ενάντια στο όλο 
σύστημα στη σκέτη θεωρία. Αν στην πράξη κάποιος το καταφέρει, το 
αγοράζω >:-)

Δ.

--
Σατανικοί επιστήμονες: Για ένα καλύτερο αύριο!

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: text/enriched
Size: 1849 bytes
Desc: not available
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20040811/770e703d/attachment.bin>