Перейти к содержанию
Михаил Кондрашин

Как сравнивать Real-time-сканеры различных антивирусов?

Recommended Posts

Михаил Кондрашин

Скорость Real-time-сканирования, это один из самых заметных параметров антивируса для рабочей станции. Как сравнивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Так как самое большая нагрузка на антивирусный монитор он же on-access сканер ложится при загрузке компа, то могу предложить такой вариант:

Вешаем на комп. определенный набор популярных домашних или офисных (в зависимости от тестируемых продуктов) программ, конечно лучше побольше. Затем мереем время загрузки компа + считаем количество отсканированных файлов.

Можно еще воспользоваться како-нить программной имулирующей чтение/открытие файла. Здесь можно все более точно провести, потому что скорость лучше мерить на классах файлов одинакового типа (например, исполняемые, архивы zip или cab, OLE-файлы).

Соответсвенно с помощью утилитки прогоняем файлы и смотрим время.

Я собственно хочу попробовать второй вариант. Может я ошибаюсь, корректна ли такая методика :?:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Так как самое большая нагрузка на антивирусный монитор он же on-access сканер ложится при загрузке компа, то могу предложить такой вариант:

Вешаем на комп. определенный набор популярных домашних или офисных (в зависимости от тестируемых продуктов) программ, конечно лучше побольше. Затем мереем время загрузки компа + считаем количество отсканированных файлов.

Это сомнительная методика, так как слишком много факторов, которые различаются у разных вендоров. Пример: Клиент Trend Micro OfficeScan при старте системы запускает Damage Cleanup Services --- очистку системы от запущенных вирусов. Это может сильно (до минуты) увеличить время запуска на слабой машине (64MB). Это конечно не приятно, но как вы понимаете, (i) это хорошо в смысле безопасности и (ii) не имеет отношения к скорости Real-time-защиты.

Можно еще воспользоваться како-нить программной имулирующей чтение/открытие файла.

У любой проблемы есть очевидное, простое и, увы, не правильное решение.

Примерно то что вы предлагаете, делается следующим образом: При активном Real-time-сканере копируется каталог объемом в 1GB с одного локального диска на другой. Есть вариация: замерить время установки, например, MS Office. Такая методика проста и дает объективную цифру, но, увы, не имеет ничего общего с реальной работой пользователя в системе.

Полагаю, что может иметь смысл следующая методика: Моделирование поведения пользователя в системе (редактирование текста в MS Word, написание сообщений в MS Outlook, создание таблицы в MS Excel, ...). Для этого можно попробовать использовать какую-нибудь программу автоматизации, которая позволяет записать макрос с нажатиями на клавиши и кликами мышки. Дальше можно мерить время работы такого макроса.

Однако не все так просто, тест придется проводить множество раз

1. На двух, как минимум, системах: Современной и устаревшей (слабый компьютер, мало памяти);

2. Для всех тестируемых антивирусов и без антивируса вообще;

3. Каждый тест повторять несколько раз (3-5) после полной перезагрузки и без оной. (есть такое понятие "доверительность");

4. Для каждого антивируса определить, какие параметры влияют на производительность/безопасность. Например, какая-нибудь эвристика или что-нибудь подобное

Вы же понимаете, что сам тест – это ерунда. Главное, чтобы результат имел смысл.

Вы готовы на такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Если рассматривать приведенные примеры сравнения скорости работы сканеров реального времени, то могу высказать свое мнение следующим:

1. Вариант с загрузкой не подходит, полностью согласен с Михаилом.

2. Вариант с моделированием работы пользователя в системе, мне кажется, не даст достаточной разницы, которую можно будет заметить... Обычная работа пользователя не дает той самой нагрузки на сканер реального времени, если конечно не запустить копирование файлов с диска на диск или установку достаточно объемного ПО. Я думаю, любой пользователь забракует антивирусное ПО, которое вызывает заметное торможение системы при обычной его работе...

3. Остается старый верный способ - копирование файлов или установка. 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
У любой проблемы есть очевидное, простое и, увы, не правильное решение.

Примерно то что вы предлагаете, делается следующим образом: При активном Real-time-сканере копируется каталог объемом в 1GB с одного локального диска на другой. Есть вариация: замерить время установки, например, MS Office. Такая методика проста и дает объективную цифру, но, увы, не имеет ничего общего с реальной работой пользователя в системе.

При простом копировании какого-то большего каталога, типа папки Window или Office (я понимаю об этом идет речь), будет проблема сравнивать резулататы. Например мы установим, что с Trend Micro OfficeScan это заняло 10 минут, а с NOD32 - 5 минут, но тренд просканировал 200 файлов, а нод - 100. И что нам это даст?

Набор файлов неоднородный, одни может протормозить на одном зипе с 5 уровнями вложенности 10 минут, а другой даже проверять его не будет, зато проверит текстовик какой-нить. Я видел результаты подобных тестов, из них ничего нельзя вынуть, просто набор данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
2. Вариант с моделированием работы пользователя в системе, мне кажется, не даст достаточной разницы, которую можно будет заметить...

Почему? Упомянутый мной макрос не должен работать в реальном времени. Он будет пытаться сделать все как можно скорее, а антивирус будет его "тормозить". Особенно интересны результаты со слабого компьютера. Именно такая может учесть всякие особенности антивирусов, которые они предпринимают для ускорения. Например, если макрос попвтается открыть какой-нибудь файл повторно или запустить повторно программу, виден будет эффект от всяких там "TurboScan"-ов

3. Остается старый верный способ --- копирование файлов или установка.

Опять же, как интерпретировать? Представьте себе, что тестирование уже прошло и вы получили какие-то цифры. Что с того? То, что один из антивирусов обеспечивает копирование, например, 10 мин, а второй 12...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Опять же, как интерпретировать? Представьте себе, что тестирование уже прошло и вы получили какие-то цифры. Что с того? То, что один из антивирусов обеспечивает копирование, например, 10 мин, а второй 12...

Вот я это и имел ввиду. Просто на копировании какого-то набора файлов ничего не даст. Сравнивать цифры как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Просто на копировании какого-то набора файлов ничего не даст.

Придется подбирать программу автоматизации (желательно бесплатную) и обсуждать (до хрипоты), что же должно быть в тестовом макросе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Просто на копировании какого-то набора файлов ничего не даст.

Придется подбирать программу автоматизации (желательно бесплатную) и обсуждать (до хрипоты), что же должно быть в тестовом макросе...

Предлагаю преглись к этому обсуждению как можно больше экспертов, чтобы выработать качественную методику тестирования.

Потом будет проще отбиваться от нападок типа "вы все делали не так". :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Предлагаю преглись к этому обсуждению как можно больше экспертов, чтобы выработать качественную методику тестирования.

Давайте.

Как будем привлекать (учитывая количество зарегистрированных пользователей форума)?

Как будем определять "экспертов"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Давайте.

...

Как будем определять "экспертов"?

Эксперты определятся в течение обсуждения, специально их определять не надо. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

На самом деле сравнивать можно лишь при приблизительно одинаковых настройках антивирусов:

1. Настройки по умолчанию. Знаю что у всех разные, но в том-то и дело, что чаще всего АВ не настраивают, увы

2. Минимальные настройки (максимум скорости)

3. Максимальные настройки безопасности

4. Приблизительно одинаковые настройки (т.е. сканирование глубины вложений и т.д.)

Далее, копирование. Выбирать нужно одинаковые по типу файлы (делать массив файлов одного типа) и засечь время копирования. Делать на нескольких наборах

2. Открытие файла (Word, Excel).

3. Копирование архивов

4. Все то же самое, но с зараженными объектами. Причем первый тест на обнаружение, второй на обнаружение и лечение.

И так далее.

Просто приблизительно такие выполнял два года назад, за что периодически до сих пор отгребаю оплеухи, не тех в лидеры вывел.

Больше делать - не хочу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
На самом деле сравнивать можно лишь при приблизительно одинаковых настройках антивирусов:

1. Настройки по умолчанию. Знаю что у всех разные, но в том-то и дело, что чаще всего АВ не настраивают, увы

2. Минимальные настройки (максимум скорости)

3. Максимальные настройки безопасности

4. Приблизительно одинаковые настройки (т.е. сканирование глубины вложений и т.д.)

Но ведь эти настройки все равно будут разные, не лучше ли уж тогда брать настройки по умолчанию?

Далее, копирование. Выбирать нужно одинаковые по типу файлы (делать массив файлов одного типа) и засечь время копирования. Делать на нескольких наборах

2. Открытие файла (Word, Excel).

3. Копирование архивов

4. Все то же самое, но с зараженными объектами. Причем первый тест на обнаружение, второй на обнаружение и лечение.

И так далее.

Просто приблизительно такие выполнял два года назад, за что периодически до сих пор отгребаю оплеухи, не тех в лидеры вывел.

Больше делать - не хочу!

Вот я как раз тоже склонялся к такой методике тестировани, как наиболее доступной. Потому как вариант с программой автоматизации все же выглядит довольно трудоемким.

Кстати, ужасный вал критики прошел в выходные на меня по поводу последнего

теста по поддержке пакеров
на иностранных форумах, еле отбился, поэтому теперь я тебя понимаю, все тчательнее продумать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Но ведь эти настройки все равно будут разные, не лучше ли уж тогда брать настройки по умолчанию?

Нет, нельзя, так как по умолчанию настройки тоже разные.

Почему нельзя?

1. По умолчанию нужно т.к. см. выше

2. Минимум и максимум позволяет оценить настройки самого антивируса и их влияние на скорость.

3. Приблизительно одинаковые тоже понятно почему.

Да, забыл добавить. Все опыты проводить 3-5 раз, далее время усреднять.

Батниками замеряющими время копирования, открывания и т.д. могу поделиться. Сравнение такого типа проводил уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Влад, а что самое главное, что не понравилось людям в товей методике? Но что были самые большие замечания?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Стандарт. Не тех вывел в лидеры. Оспаривалась не методика, а ее результаты, хотя опыт проводился в присутствии представителей двух антивирусных лабораторий разработчиков.

Сама методика вызвала просто возражение НЕ ПРАВИЛЬНО!

Но почему не правильно - не объяснили, хотя я спрашивал неоднократно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Стандарт. Не тех вывел в лидеры. Оспаривалась не методика, а ее результаты, хотя опыт проводился в присутствии представителей двух антивирусных лабораторий разработчиков.

Сама методика вызвала просто возражение НЕ ПРАВИЛЬНО!

Но почему не правильно - не объяснили, хотя я спрашивал неоднократно!

Видимо, просто нечего было сказать на то, почему их продукты заняли не первые места. Всегда проще сказать что тест плохой и неправильный, чем искать объяснения и аргументировать почему так произошло. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Более того, несмотря на то, что сравнение проводилось более двух лет назад, мне до сих пор иногда попадаются письма (и заявления на форумах), о том, что тест заказной и т.д.

Кстати, на мои вопросы почему же антивирусы показали те или иные результаты от лабораторий разрботчиков (кроме ЛК и УНА) ответов так и не было.

Но это дело прошлое. Сейчас заниматься таким пока нет времени. Пытаемся запустить прогарамму по подготовке администраторов ИБ. Уровень выпускников вузов удручает! А так как я - руководитель программы, то времени просто нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Далее, копирование. Выбирать нужно одинаковые по типу файлы (делать массив файлов одного типа) и засечь время копирования.

Уже ранее задавал этот вопрос: Представте себе, что вы получили некоторые цифры. Как вы их собираетесь интерпретировать?!

Если бы я все вермя копировал различные файлы с места на место, то этот тест был бы мне интересен, а если я на компьютере занимаюсь чем-то другим, то не ясно, что для _меня_ означают эти цифры.

Если результат между вендорами будет отличатся на порядок (а лучше два порядка!), то можно делать определенные выводы. Боюсь, что разница будет, в лучшем случае, в разы, этого не достаточно для экстраполирования результатов на реальную жизнь.

2. Открытие файла (Word, Excel).

Нормальный тест.

3. Копирование архивов

Полагаю, что среднестатестический пользователь "копирует архивы" в сто раз реже, чем серфит или редактирует документы. Это значит, что в общий зачет результат по скорости копирования архивов должен войти с весом 0.01. Спрашивается, зачем это вообще нужно!

4. Все то же самое, но с зараженными объектами. Причем первый тест на обнаружение, второй на обнаружение и лечение.

То же самое, что и выше. С зараженными файлами пользователь сталкивается на несколько порядков реже, чем с незараженными. Например, каждый десятетысячный, используемый файл заражен. Значит в общий зачет этот результат пойдет с весом 0.0001. Спрашивается, зачем это вообще нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Есть еще один вариант. Попробуйте поставить себе программу, которая пишт в лог данные о быстродействии (процессор, память). Далее поработайте как обычно но без антивируса (не с выключенным, а именно деинсталлированным антивирусом), так как у ДрВеб при отключении монитора ничего на самом деле не происходит, т.е. монитор остается в памяти, но ничего не делает!

И в другое время - делайте все то же, но с антивирусом.

Если у вас хватит терпения - выведите средние цифры :)

Причем учтите, что нужно будет делать одно и то же, много дней подряд :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Уже ранее задавал этот вопрос: Представте себе, что вы получили некоторые цифры. Как вы их собираетесь интерпретировать?!

Если бы я все вермя копировал различные файлы с места на место, то этот тест был бы мне интересен, а если я на компьютере занимаюсь чем-то другим, то не ясно, что для _меня_ означают эти цифры.

Если результат между вендорами будет отличатся на порядок (а лучше два порядка!), то можно делать определенные выводы. Боюсь, что разница будет, в лучшем случае, в разы, этого не достаточно для экстраполирования результатов на реальную жизнь.

Если разница не будет незначительная, то конечно это ничего не даст, но по результатам того же VB по on-demand видно что разница может быть большой.

Полагаю, что среднестатестический пользователь "копирует архивы" в сто раз реже, чем серфит или редактирует документы. Это значит, что в общий зачет результат по скорости копирования архивов должен войти с весом 0.01. Спрашивается, зачем это вообще нужно!

Копирование может и не часто, но открываются архивы и упакованные файлы все таки регулярно, особенно при работе с Инетом. + распаковка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Копирование может и не часто, но открываются архивы и упакованные файлы все таки регулярно, особенно при работе с Инетом. + распаковка.

Вот и нужно, чтобы скрипт загрузил архив, переписал куда-нибудь и распаковал его.

При таком развитии событий будет видна оптимизация некоторых антивирусов, которые по-разному проверяют файлы из Интернета и локальные.

Фокус в том, что это одно из множества других подобных, характерных действий для пользователя. Если все будет в едином скрипте, то результат --- скорость выполнения скрипта --- не потребует дальнейших спекуляций на тему "если результат по копированию архивов взять с коэффициентом 0.3, а офисных документов 0.5, то общий результат такой-то, а если для архивов взять более правдоподобный(?) коэфициент 0.001, то результат уже не в пользу вендора Х". И все это без малейшего понятия какие коэффициенты правильные!

Скрипт учтет все. Тогда можно будет сконцентрироваться на более интересной и важной части --- какие настройки антивирусов и как влияют на результат с одной стороны и на уровень защиты с другой. Начинать нужно с настроек по-умолчанию, но если этим и ограничется, то это будет халтура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Хорошо, направление понятно - создание единого скрипта, моделирующего поведение реального пользователя в системе (программа автоматизации).

Теперь давайте определим сценарий. Подводя итоги вчерашней дискуссии туда войдет:

1. Скачивание большего ЧИСТОГО файла Word, Excel, может быть Access через браузер и его открытие.

2. Скачивание большего ЧИСТОГО упакованного файла (поддерживаемым больнством АВ, например UPX) через браузер и его открытие.

3. Скачивание большего ЗАРАЖЕННОГО файла Word, Excel, может быть Access через браузер и его открытие.

4. Скачивание большего ЗАРАЖЕННОГО упакованного файла (поддерживаемым больнством АВ, например UPX) через браузер и его открытие.

* Повторение п. 1 - 4 в случае почтового сообщения.

5. Открытие специальной ЧИСТОЙ тяжелой веб-станицы (со скриптами, аплетами и т.д.)

6. Открытие специальной Зараженной тяжелой веб-станицы (со скриптами, аплетами и т.д.)

Наверняка что-то забыл, дополните плиз.

Потом все пункты прогоняем для различных категорий настроек антивирусов (стандартные, минимальная защита, максимальная защита).

Есть еще у меня идея как-то замерить скорость при работе с крупными прикладными программами типа Photoshop или 1С какой-нить. Знаю но тормоза в случае совместного использования с ними АВ поступает много жалоб. Что думаете по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Мне уже начинает нравиться!

Дополнительно: Открытие файла в Word, ввод туда текста, сохранение.

В эту же схему вписывается тестирование прочих программ (1C, photoshop, ...)

Меня смущает использование зараженных данных. С одной стороны очень хорошо, так как автоматически учитывается ослабление защиты (не полностью, но все-таки). Если какой-то вирус не будет пойман, значит мы перестарались с оптимизацией скорости. С другой стороны

- это опасно

- единственный универсальный и безопасный вирус eicar.com не канает на роль "универсального", так как его не в DOC-файл и в Веб-страничку не вставишь.

- При обнаружении вируса, антивирусы могут потребовать интерактивности, а это плохо для автоматической системы тестирования

- Выбор репрезентативной выборки вирусов очень зыбкая тема.

Может быть пока ограничиться тестированием без всяких вирусов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Мне уже начинает нравиться!

Дополнительно: Открытие файла в Word, ввод туда текста, сохранение.

В эту же схему вписывается тестирование прочих программ (1C, photoshop, ...)

Меня смущает использование зараженных данных. С одной стороны очень хорошо, так как автоматически учитывается ослабление защиты (не полностью, но все-таки). Если какой-то вирус не будет пойман, значит мы перестарались с оптимизацией скорости. С другой стороны

- это опасно

- единственный универсальный и безопасный вирус eicar.com не канает на роль "универсального", так как его не в DOC-файл и в Веб-страничку не вставишь.

- При обнаружении вируса, антивирусы могут потребовать интерактивности, а это плохо для автоматической системы тестирования

- Выбор репрезентативной выборки вирусов очень зыбкая тема.

Может быть пока ограничиться тестированием без всяких вирусов?

Скачивать нужно с вирусом. Но! Оба компа должны быть изолированы от прочей сети. После теста антивируса должна полностью подменяться партиция.

Тест нужно проводить без антивирусов в случае использования компа без антивирусов (чистой системы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×