Statefull Packer Inspection against any kind of Malware!

Christos Ricudis ricudis at komodino.itc.auth.gr
Wed Aug 11 22:58:10 EEST 2004 

> > To clamd mou kanei 2msec gia na elegksei ena 1500 bytes file against 22k
> > signatures - oso to typical RTT se ena 10ri ethernet diktyo. An ypo8esoume
> > oti exeis specialized hardware gi ayth th douleia, periorizeis ta
> > signatures stous current ious (de me noiazei na elegxw pia gia to PIXEL
> > virus) kai to syndiaseis me ena psiloeksypno state machine (de me
> > endiaferei na elegxw ka8e paketo apo ena mp3 h avi file poy erxetai apo to
> > kazaa) nomizw oti mporeis na meiwseis to latency se PSILOanekta oria.
> >
> > Ola ayta einai sketh 8ewria, bebaia.
>
> Γενικά, όταν τα δεδομένα περνούν uncompressed & χωρίς αλλαγές από το
> δίκτυο ίσως να έχεις δίκιο.  Παίζει να καθυστερεί πολύ όμως το signature
> matching που σκέφτεσαι όταν μιλάμε για συμπιεσμένα δεδομένα ή δεδομένα
> που έχουν υποστεί μετατροπές τύπου base64-encoding.

A, katse, egw de milhsa gia encoded dedomena - gia aplo aploustato
signature matching milhsa. To base64/uuencode/ ktl de fainetai kai toso
problhmatiko panw se mia tetoia arxitektonikh, to compression kai
encryption bebaia einai allo zhthma. Kai pali bebaia xwrane optimizations.
Logou xarh polla worms stelnoun ena /identical/ file attachment ws pros to
content - opote to kaneis match xwris polla polla peri uncompression.

> Ας πούμε πως θα κάνεις check σε ένα .ZIP αρχείο που περνά uuencoded πάνω
> από ένα SMTP "connection" ως μέρος μιας σειράς από email μηνύματα με
> RSET εντολές ανάμεσα από κάθε μήνυμα; Δε θα χρειαστεί να κάνεις κάποιου

To mail einai eidikh periptwsh - einai arketa slow yphresia gia na mporeis
na kaneis online scanning sto application layer (kai meta na kaneis tarpit
to SMTP connection :P).

Gia na kseka8arisw. Oxi, de m'aresei h idea tou na kaneis match sto data
link layer application signatures. Th briskw frixth kai me to pou to
skeftomai mou rxetai na kanw emeto. Afou exw faei pitsa me ap'ola, anana,
KAI antzougies. Alla ayto de shmainei se kammia periptwsh oti den th blepw
texnika efikth lysh poy mporei na /periorisei/ to problhma ths diadoshs
iwn/worms (kai to congestion apo p2p traffic, kai kai kai...).

More information about the Linux-greek-users mailing list