Phoenix

Интересное сравнение антивирусов (данные jotti и virustotal)

В этой теме 28 сообщений

http://enotus.at.tut.by/Articles/AVtest/index.html

Из минусов - "Так же здесь не учитываются ложные срабатывания", которыми вполне могут быть (а могут и не быть) уникальные определения вирусов антивирусами.

ClamAV подозреваю так мало нашел, потому что больше заточен под почтовые вирусы. По крайней мере то, что он у меня на шлюзе пропускал, не было и базе KAV...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
http://enotus.at.tut.by/Articles/AVtest/index.html

Из минусов - "Так же здесь не учитываются ложные срабатывания", которыми вполне могут быть (а могут и не быть) уникальные определения вирусов антивирусами.

ClamAV подозреваю так мало нашел, потому что больше заточен под почтовые вирусы. По крайней мере то, что он у меня на шлюзе пропускал, не было и базе KAV...

Странный вывод про UNA. "вот UNA в некоторых случаях може пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает" Если посмотреть на график, то найдется еще не мало АВ, которые интересны по тому же критерию, что и ЮНА.

По опыту общения с вир аналитиками известно, что с вирустотала очень много крэпа идет. И уникальность обнаружения не всегда хорошо. Не имея доступа к файлам нельзя однозначно сказать крэп ли это был или действительно уникальной детект.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лично я вообще не считаю правильным использовать данные с VT или Jotty для оценки антивирусов.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, обычно туда посылают вирусы, которые не находятся установленным антивирусом, что по идее должно снижать показатели распространенных АВ.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По интересной для меня теме КАВ/Доктор:

В этом тестировании, судя по графикам, эффективность примерно одинакова у них, что весьма близко на самом деле к истине по тестировавшимся параметрам.

Незначительную разницу можно списать на погрешность измерений.

Это соответствует моим внутренним ощущениям.

Доктор бывает часто лучше в детекте сложных полиморфных вирусов, но их количество мало (не количество заражаемых объектов, а количество видов вирусов), поэтому на этих графиках этого не видно и не может быть увидено.

И детект - это лишь один из параметров работы антивирусов. Есть ещё лечение, скорость и т.д.

Добавлено спустя 3 минуты 45 секунд:

Лично я вообще не считаю правильным использовать данные с VT или Jotty для оценки антивирусов.

Вообще говоря, _любой_ тест весьма субъективен.

Понятия "хороший" или "плохой" антивирус - это не больше, чем метафоры. У каждого из продуктов есть сильные (иначе бы они не продавались) и слабые (иначе бы кто-то захватил 99% рынка) стороны.

Тут стОит говорить о том, какой из продуктов больше подходит к какой категории пользователей, т.е. какую нишу занимает. В этом "однобокие" тестирования помочь могут.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд интересное сравнение, хотя бы потому, что статистика эта закрытая. Но мне не совсем пока ясно, какие выводы из этого правильно делать, ведь как писали выше, на virustotal и jotty сыпется реально много хлама, а ложные срабатывания мы тут никак выделить не можем.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И детект - это лишь один из параметров работы антивирусов. Есть ещё лечение, скорость и т.д.

Более того, этот тест тестирует детект лишь частично. Так как во-первых, поведенческие технологии не действуют, ибо зловредов не запускают; а во-вторых, тестируется только сканер по-требованию. Так что по сути, этот тест проверяет исключительно движок (подобно тесту Клементи да и большинству других тестов).

Что касается Др.Веба - да, движок у него качественный, так что результаты не удивительны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кто-нибудь может объяснить, что имеется в виду в части "Количество обнаруженных вредоносных программ из всех заражённых файлов с разбивкой по возможностям антивируса." под терминами "общие", "уникальные", "не уникальные" ?

"Уникальные" - это то, что определяет только этот антивирус и больше никто ? В таком случае для nod32 и bitdefender эти показатели подозрительно малы (если в статистике учитывались срабатывания эвристика). Если не учитывались, то это сравнение можно прямиком отправлять в треш.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да вообще сравнение не особо убедительное. Файлов никто не видел, дат обновления баз у каждого продукта - тоже нет. Как-то всё "плюс-минус лапоть"...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да вообще сравнение не особо убедительное. Файлов никто не видел

А что, обычно всем желающим коллекции раздают после тестирования для проверки?

Нет, я имел в виду, что сами организаторы тестирования коллекции не видели. И тестирования не проводили, собственно =) Просто взяли результаты графиков с virustotal...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересный вывод сделал автор статьи: если в файле только 1 антивирь обнаружил вирус, то значит в этом файле точно вриь, а все остальные его не знают :). Интересно. Как правило такой результат означает ложное срабатывание. Поэтому график "Количество обнаруженных вредоносных программ из всех заражённых файлов с разбивкой по возможностям антивируса. (больше - лучше)"-бред и по нему нельзя ничего конкретного сказать .

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Буквально за пару дней тема из обсуждения теста перерасла в обсуждение вирлабов, поэтому все сообщения :off: были перенесены сюда:

Как работают вирлабы и кто это делает лучше?

Название придумал на свой вкус, уж извиняйте :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так себе.

По опыту -- с этих сайтов идет очень много крэпа.

1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

3. Выводы странные:

вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

4. Нет разбора на то как брался файл -- exact детектирование или эвристик. Срабатывания эвристика Fortinet или VBA скорее всего False.

5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.

Идея хорошая, но реализация так себе. не зачот.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аналогичную диаграмму можно привести для лучших антивирусов.

Просто "лучших" антивирусов ещё не придумали. Очень некорректное предложение. Лучшие в чём-то, в соответствии какой-то определённой методикой - это ещё да, может быть.

Однако тестирования антивирусов по этому важному показателю пока далеки от совершенства.

Вот это верно, и это тестирование - не исключение :)

Остальные тестирования не так информативны и с первого взгляда не вызывают большого доверия. Хотя имеются и весьма серьёзные.

Какое-то разброд-шатание мысли.

Вот здесь и таится проблема. Статистика ресурсов virusscan.jotti.org и virustotal.com не предоставляется в открытом доступе. Вероятно, её получают только производители антивирусов. Вероятно за деньги.

Вероятно, вероятно... Да, я могу написАть "вероятно" по поводу тестирований, ибо сам их практически не проводил и имею к этому процессу косвенное отношение, но для результатов тестирования - эо слишком.

Обращаю внимание на отсутствие некоторых известных антивирусов, таких как McAfee или Symantec Norton AntiVirus

Почему, собственно? Большой минус.

Так же здесь не учитываются ложные срабатывания.

Тоже плохо.

Общую картину это не искажает. Во-первых, совершенно неизвестно, сколько срабатываний ложны.

Гы :)

Во-вторых, ложные срабатывания, согласно av-comparatives.org, происходят менее чем в 1% случаев.

В недавнем тестировании, которое цитировалось на этом форуме все чуть не погрызлизь из-за этих "меньше 1%", а тут так просто этим пренебрегают. Молодцы :) Так что оправдать можно при желании любые результаты любого "подходящего" кому-то тестирования.

Вероятно, значительная часть уникальных вредоносных программ, обнаруженных AntiVir, является ложными.

Гадание на кофейной гуще. Это результат тестирования или гороскоп? :)

Лидерами являются Kaspersky Anti-Virus, Dr.Web, AntiVir, VBA32 и BitDefender (не забываем, что некоторые популярные антивирусы не тестировались).

Поэтому они не лидеры? :lol:

"Остался только один важный вопрос. Распространённость вредоносных программ и на сколько она совпадает с другими источниками."

В огороде бузина, а в Киеве дядька. Значит, для определения "самого лучше антивируса" эти вредоносные программы оказались подходящими и "достаточно распространёнными", а тут вот сомнение в конце возникло.

Да и совпадения с другими источниками сложно добиться. Хотя, как я и сказал уже, добиться сходства тоже можно, если очень захотеть :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

Согласен, но ложные срабатывания общую картину не меняют.
3. Выводы странные:
вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

Что странного. Раз UNA "знает" некоторые вирусы, которые никто другой не знает, значит в некоторых режких случаях он может пригодится. AntiVir - да лучше. Но всех вирусов НЕ знает.
4. Нет разбора на то как брался файл -- exact детектирование или эвристик.
Тут возникли некоторые решаемые трудности. Возможно в будущем добавлю.
Срабатывания эвристика Fortinet или VBA скорее всего False.
Согласно av-comparatives.org, эти "срабатывания" скорее всего True. У Вас есть другие данные или источники?
5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.
И о чём это говорит?

Добавлено спустя 3 минуты 34 секунды:

Valery Ledovskoy

Простите, я не понял что Вы хотели сказать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

Согласен, но ложные срабатывания общую картину не меняют.

Ложные срабатывания меняют картину координально. Пользователей, которые счастливы от FP нет. Во-вторых, сделайте прогу, которая на все файлы будет орать -- подозрение на вирус и вы будете №1 не только в вашем тесте, но и гарантированно получите VB100%.

3. Выводы странные:
вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

Что странного. Раз UNA "знает" некоторые вирусы, которые никто другой не знает, значит в некоторых режких случаях он может пригодится. AntiVir - да лучше. Но всех вирусов НЕ знает.

По тесту никто не знает всех вирусов. Еще раз про фолсы -- откуда вы знаете, что те уникальные "вирусы" обнаруженные только UNA не есть FP? Поэтому тест, тестом назвать нельзя. Статистика.

4. Нет разбора на то как брался файл -- exact детектирование или эвристик.
Тут возникли некоторые решаемые трудности. Возможно в будущем добавлю.

Очень стоит. См коммент A.

Срабатывания эвристика Fortinet или VBA скорее всего False.
Согласно av-comparatives.org, эти "срабатывания" скорее всего True. У Вас есть другие данные или источники?

Fortinet нет у Клименти, а VBA занимает почетное первое место по фолсам. Про Фортинет знаю от информированных источников и им верю.

5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.
И о чём это говорит?

Это значит, что цифры не верные т.к. доподлинно не известно что есть Trojan.Generic или "Подозрения на что-то там".

Дело полезное, но вот с методологией проблемы. Вон Сергей Ильин сделал достойный тест, присоединяйтесь к нему.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень стоит. См коммент A.
Будет через неделю.

Добавлено спустя 28 секунд:

Вон Сергей Ильин сделал достойный тест, присоединяйтесь к нему
Ссылку можно?
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ложные срабатывания меняют картину координально. Пользователей, которые счастливы от FP нет. Во-вторых, сделайте прогу, которая на все файлы будет орать -- подозрение на вирус и вы будете №1 не только в вашем тесте, но и гарантированно получите VB100%.

Вы эту прогу просто не сможете продать :) Поэтому процент ложных срабатываний очень мал и с ними все борются. Сравнение антивирусов по количеству ложных срабатываний идет в пределах этого мизерного процента. Так что все относительно.

Fortinet нет у Клименти, а VBA занимает почетное первое место по фолсам. Про Фортинет знаю от информированных источников и им верю.

У Клементи наш антивирус тестировался с установкой максимального уровня эвристики, который не рекомендуется для нормального использования (при попытке установить этот уровень эвристики, программа выдает предупреждение и доаполнительно запрашивает подтверждение). К слову, в подробном отчете приведен перечень ложных срабатываний, которые были вызваны именно за счет установки этого уровня эвристики, они помечены как '(+)'. Если их не принимать во внимание, то VBA уже не занимает первое место по ложным срабатываниям. Хотя остается вопрос, смогли ли бы мы занять второе место по качеству детектирования троянов после NOD32, если бы тестирование проводилось на нормальном уровне эвристики :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А VBA ложных срабатываний _относительно_ много (на максимальном уровне эвристики), но еще хуже дикие тормоза в этом режиме - тысячу файлов обрабатывает почти час. тормознее только последний нод (но опять же в режиме максимальной эвристики, хотя ему проще - он только строчки обсчитывает, а не кусочки кода =)

Аффтор, соедени наконец эмуль и эвристик - не придется два раза одну и тоже работу делать, может ВБА хоть на 20% быстрее станет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних, малого того далеко не все движки которые используются сервисами являются последними движками вендоров. Если быть более точным, то существуют намного более продвитые версии продутков чем те которые юзаем вирус тотал и джотти. Это точно, я списывался с ними по имейлу.

Эти сервисы не актуальны ни в оценке продуктов ни в наполениии баз. Их можно использовать лишь как махонькую помощь в процесе разработки баз антвирусов-антиспая

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Raven_River

Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних
Virus definitions are updated every hour.
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних
Virus definitions are updated every hour.

Я больше доверяю переписке тет-а-тет чем тому , что они освещают на своих страницах.

Мало того сегодня я проверял, дата обвления базы Макафи на вирустотал стоит сегодняшним числом, а последнее обновление было в пятницу :)

+ Они не могут обновлять базы каждый час - это ложь.

Эти онлайнсканеры используют только консольные движки продуктов, не программу целиком, джоти под юникс, вирустотал под винду. А это значит, что такого приложения как updater у них попросту _нет_. Они обновляют базы руками, получают их от вендоров и подставляют движку. А тут сам понимаешь, то вендор на письмо не отвечает , то вообще старую базу выдал... ну вообще базы у них не актуальные.

В целях убеждения можешь списаться по почте с вирустотал и джоти и узнать все сам. Их адреса на есть на сайтах.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья, в связи с явным оффтопом сообщения, относящиеся к обсуждению скорости работы антивирусов были перенесены сюда

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1069

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS