Индивидуални тестове, анализи и сравнения на Антивирусни програми

[Гост tnn]

Че те и повечето кракове, така са класифицирани, но всъщност са "безвредни".

 

Това, че Касперски и Аваст не са му дали определение, не ги прави "лоши".

Подобен обобщен извод е абсурден - Касперски и Аваст също класифицират вредоносен код в множество творения от типа фикс-крак-патч,а тогава други програми може да не реагират. Това, че временно не ги предпочитам не означава, че догодина например няма повече да ми харесват.Може доста да ги подобрят. А бизнесът със защитен софтуер е за много милиарди - нормално е всякакви тестове да има, включително и тенденциозни, и предопределени.

[Night_Raven]

Защо тогава съществуват тест-организации,които правят тестове на антивирусни продукти с вируси.Какъв е смисъла тогава.

Защо съществуват точно не мога да кажа. Може би изкарват някакви пари от цялата работа. Може просто да обичат да тестват продукти и да изнасят резултати. Не че тестовете са напълно безполезни, просто ползата е много малка.

Да вземем предвид първо тестовете на специализираните организации. Тестове на антивирусни чрез ръчно сканиране на архив/папка с гадинки вътре е изключително относителна практика. Колкото повече гадинки са налични в дадена колекция, толкова повече от тях не са толкова актуални. Колкото по-неактуален е даден зловреден код, толкова по-малко е от значение дали се засича или не. Грее ли те, ако антивурсна X засича гадинка Y, но тази гадинка е на няколко месеца и шансовете да се заразиш с нея са минимални? Важно е как дадена антивирусна се справя с актуални гадинки. Освен това не винаги резидентната защита е в синхрон с модула за ръчно сканиране. Понякога има разминавания. Това, че дадена антивирусна засича дадена гадинка при ръчно сканиране, не значи, че със сигурност ще я засече и блокира при опит за стартиране. Понякога резидентната защита блокира заплахи, които ръчният скенер пропуска, а понякога се случва пък модулът за ръчно сканиране да засича заплахи, които резидентната защита проспива.

 

Тестовете в текущата тема са с една идея по-добри - като цяло са актуални, но пък са прекалено малко на брой, за да имат някаква реална статистическа стойност. Някой публикува линк към гадинка, която се засича от антивирусни 1, 2 и 4. Това доказва ли, че те са добри, а другите не са? Не, защото после се публикува линк към гадинка, която се засича от 1, 3 и 6. Следващата гадинка се засича от 2, 4 и 5. Следващата - от 1, 5 и 6. И така до безкрай. Няма антивирусна, която да лови всичко. Една антивирусна, която засича 8/10 гадинки, не е задължително по-добра от друга, която засича 7/10. Може на следващата партида гадинки да си разменят местата, а може и да не си. Дори и да се запази тенденцията, общата бройка на тествани заплахи си остава прекалено ниска, за да се правят някакви крайни изводи за качествата на продуктите. Ако пък решим да изчакаме да се натрупат по-солидни статистически данни коя антивирусна какъв процент от заплахите засича, попадаме обратно на споменатия по-горе проблем, че някои гадинки са вече старички и не са особено актуални.

 

Към това добавяме, че една антивирусна няма за цел само да предотвратява зарази, но и да ги почиства. С оглед на това, че всички антивирусни пропускат зарази, това не е въобще маловажен фактор. Това, че дадена антивирусна е засякла дадена заплаха в някоя си там папка, не значи, че иначе ще успее да предотврати заразата или пък че ще успее да почисти системата след това, ако получи съответните обновления на базата си от данни. Едно е да се сканира колекцийка от статични заплахи, друго е антивирусната да работи в полеви условия на вече компрометирана система.

Освен това има и други фактори: стабилност и надеждност на антивирусната дали има конфликти с други програми, колко натоварва системата, колко е лесна за работа и т.н.

 

Не че имам толкова против дискусията коя заплаха от коя антивирусна се засича, каквото се случва в тази тема, просто това е толкова относително и в никакъв случай не може да е се използва за база на крайни изводи коя програма е добра и коя - не.

[Бетонов]

Грее ли те, ако антивурсна X засича гадинка Y, но тази гадинка е на няколко месеца и шансовете да се заразиш с нея са минимални? Важно е как дадена антивирусна се справя с актуални гадинки.

Тук не съм съгласен! Логиката е точно обратната, и това даже се подчертава в последните тестове на AVC. Именно, когато една заплаха е нова, неизвестна, то тя е много по-слабо разпространена (даже в моментите на епидемия), отколкото "стара" зараза. Ако се нарисува диаграма на статистическото разпределение на заразите, то тя има нормално разпределение във формата на "камбана". В краищата на "камбаната", които са близки до основата (т.е. с ниска разпространеност), в единият край се намират прекалено старите зарази, а в другият- най-новите. И двата типа са много слабо разпространени! В останалата част на диаграмата, т.е. в "тялото" на камбаната са всички останали зарази...а те са огромното количество! Именно тяхната детекция е от реално практическо значение за средностатическият потребител!

 

Ето нагледно за какво иде реч:

 

http://prikachi.com/images/978/2546978q.png

 

 

Много ясно се вижда, че вероятността за засичане на прекалено стари зарази (да речем ДОС-овски, или зарази от преди 5-6 години), или прекалено нови зарази (например тип "zero-day") е нищожна в сравнение с масовите зарази. Е от кое по-важно да те умее да те предпазва АВ програма....питам аз?

Отговора е ясен!

[Гост tnn]

Китайският сканер http://virscan.org/reportlist.php предоставя публичен достъп до резултатите със сканираните там файлове - възможна е и статистическа обработка на данни. Преди 2 години пробвах - най-много вредители тогава класифицираха австрийските програми. Обаче колко от тях са случаи с FP не е ясно. Защо много програми са със стари версии там пак не е ясно. Наистина доста неща са относителни. Накрая - статистическата обработка на множество недостоверни данни не създава основания за някакви реални изводи. Поздрави

[Бетонов]

Наистина доста неща са относителни. Накрая - статистическата обработка на множество недостоверни данни не създава основания за някакви реални изводи. Поздрави

Абе нещата са относителни...ама и не чак толкова....по-скоро "относителността" идва от начина на обработка на резултатите. Какво имам впредвид?

Да вземем пак, уважаваните от мен, тестове на AVC. Ако обърнеш внимание, крайният процентен резултат детекция на всяка програма, се получава като се раздели общото (подчертавам го дебело) засечено количество зарази, на общият брой зарази в теста. Но! Тук има едно голямо НО! Общото количество учавстващи зарази в теста, се състои от отделни видове (пиша по памет)- троянски коне, червеи, общи вируси, полиморфни вируси, "бекдор-и". Да но отделните видове зарази, учавстващи в теста, са различно количество, като винаги най-много са били троянските коне, следвани от червеите, като при това количеството троянски коне, отнесено към общото количество зарази е огромно...някъде към 60% (по памет). Това означава, че засичането на троянски коне и на червеи ще бъде с най-голяма "тежест" в общият резултат..т.е. програма която се представя най-добре с троянците и червеите, даже и да се проваля на другите вируси, ще даде висок резултат. По този начин крайната успеваемост на всяка програма в тестовете се получава леко изкривена (като за по-слабите програми това "изкривяване" е още по-голямо). Считом, че по-обективен би бил метода, при който крайният процент детекция се получава от осредняването на детекциите по отделните видове вируси, а не както е в момента- разделяйки общият брой детекции на цялото количество зарази. Правил съм преизчисление на резултатите, и трябва да ти кажа, че нещата в класацията се променят доста, като някои "велики" слизат още по-надоле!

[Night_Raven]

Може би беше моя грешка, че не се изразих максимално точно. Масовите и/или известните зарази са си до голяма степен в своя категория (примери за такива са Virut, Sality, Conficker, TDSS, Chydo и др.). Те са вжни независимо от това дали са нови или не, защото са проклети и/или упорити и/или трудни за премахване и/или доста опасни. Аз говоря за не толкова масовите, те не са толкова опасни след определен период. Колкото по-неизвестна е дадена заплаха, толкова по-малък проблем е тя с остаряването си. Дори и по-масовите заплахи обаче имат толерантност към застаряване. Много по-нисък процент, но е наличен. Доста гадинки се обновяват често. TDSS е страхотен пример. Този рууткит понякога се обновяваше буквално всеки ден, за да преодолява методите на засичане. Усъвършенства се постоянно. Реално погледнато при него проблемът е в новите версии - те са трудни за засичане, а по-старите поизчезват и се заменят с по-новите. Ако днес е плъзнала версия 3.272, то утре навсякъде е 3.273. Не че по-старата никъде я няма, но лошите чичковци не спят и са с актуални версии на инструментите си за заразяване, така че засичането на по-старата версия е желателно, но по-важно е как антивирусната ще се справи с по-новата, защото именно тя е плъзнала навсякъде.

[Гост tnn]

http://www.virustotal.com/file-scan/report.html?id=6d4f146b61ae30b3b4d2d8b316078fbf09f292e130b6268cefd5055d01f47edf-1285927020 Някакъв пират е решил да направи "безплатна" SUPERAntiSpywarePro 4, прибавяйки свое вредоносно творение. Заради правилата не посочвам линк за изтегляне на файла. Нима още някои съфорумци ще пробват да ме убеждават, че добрите програми са мълчащите? Според Sunbelt е Trojan.Win32.Generic!BT, а според Comodo е Worm.Win32.Agent. Бих пробвал да го инсталирам - обаче при мен Emsisoft Anti-Malware 5.0 го отстреля като Riskware.Patch.SuperAntiSpywareProf!IK Затова предпочитам тези програми, които по-рядко мълчат, пък ако ще и параноични да са...

[damto]

ЗАРАЗНО ЗЛО

File name: exe.exe

MD5 : 40a6893800f9d5e839a569fc19540f3b

http://www.skatafka.com/download.php?file=40a6893800f9d5e839a569fc19540f3b

ВИРУС ТОТАЛ - 2/ 43 (4.7%)

 

Резултата от Kaspersky - 2.10.2010 г. 19:16:48 ч. Открит: HEUR:Trojan.Win32.Generic ht tp://sityz.net/Fan/exe.exe//UPX

 

МВАМ:

 

Files Infected:

D:\Downloads\Programs\exe.exe (Rogue.FakeMSEA) -> No action taken.

 

==========================================================================

 

Security Tool

MD5 : cdbd7fc50fde1f8635bee6e6344e894a

http://www.skatafka.com/download.php?file=cdbd7fc50fde1f8635bee6e6344e894a

VIRUS TOTAL - 11/ 42 (26.2%)

 

http://prikachi.com/images/441/2551441d.jpg

 

 

Как са водещите от последните тестове на AV компания?

 

ПП. Имам впредвид тия с умните дефиниции като АВАСТ например

 

Ей го и NIS 2011 на вторият линк

 

http://www.youtube.com/watch?v=97vCZvQYeNA

[tanganika]

 Файлове със статут неизвестни 

http://img1.imagehousing.com/59/771c3e226ca4e73c5c1eb080c32a1bd1.jpg

 

заминават за анализ 

http://img1.imagehousing.com/76/fd8484e2f5d36debd7e9aea589028090.jpg

 

и докато не получат ето такъв статут като PowerArchiver.exe

http://img1.imagehousing.com/35/fe65e397791d6745f1a8f39020910800.jpg

 

много трудно ще се намърдат в ХР-то ми

 

За SONAR-а на Norton не се съмнявам че е много агресивен и ще се справи , но защо мислиш че KAV ще се справи при стартиране на тези файлове ( дори и на параноични настройки  ) по-добре от Аваст ?

[damto]

 

За SONAR-а на Norton не се съмнявам че е много агресивен и ще се справи , но защо мислиш че KAV ще се справи при стартиране на тези файлове ( дори и на параноични настройки  ) по-добре от Аваст ?

 

Пробван е интегрираният пакет на Аваст - не се справя. За разлика от този на Касперски с настройките на WinLock

[Гост tnn]

http://virscan.org/report/965ccb641fbec1f5b9dbca8b6be13bd9.html http://virscan.org/report/97dbf808ed25138decb35a464860a7b6.html И кога всички ще създадат дефиниции?

[Бетонов]

Пробван е интегрираният пакет на Аваст - не се справя. За разлика от този на Касперски с настройките на WinLock

 

Пич, опитваш се да доказваш нещо на 1-2 единични файла, попадащи в крайният десен интервал на тази графика! Това абсолютно нищо не доказва! Пееш си една песничка вече няколко години, в моменти, когато любимата ти, единствена и неповторима програма е в периоди на криза! Казват ти хиляда пъти- Касперски като чист антивирус е по-слаб от доста други свои събратя! Силата на касапа се проявява в комплект с другите му (вече няколко дузини) допълнителни добавки! Ако искаш да сравняваш две АВ програми, постави ги в напълно равни условия и тогава ги сравнявай: изключи на касапчо (говоря за антивируса) всичките му щуротии, които има, и го остави на чисто антивирусни функции. взЕми тогава Аваст или НОД, сканирай нови вируси (поне 100 бройки) и тогава си прави клиповете!

[Гост tnn]

http://www.virustotal.com/file-scan/report.html?id=1adae713c75ec407e76e098e7c4341e4258d77aa21d2cee785caa2d4b9fe8ce9-1286190028 http://depositfiles.com/en/files/cbnv8jw84 Някой желаещ с Comodo, Kaspersky, Dr WEB, Microsoft може да пробва дали още мълчат...

[TechMaster]

Интересно, ClamAV се е обадил за нещо...

Ето как са нещата при мен, нищо неочаквано.

http://bezplatno.info/upload/images/cqs1286210283b.jpg

[Гост tnn]

Ха-Ха-Ха... Много обичам да се шегувам във форуми с фалшиви тревоги... Всеки 18-годишен човек следва да се въздържа от оценки с препоръки в централни теми - липсват му достатъчно опит и практика... А и се създава материал за изтриване от дежурния модератор! Поздрави