Михаил Кондрашин

Как сравнивать Real-time-сканеры различных антивирусов?

В этой теме 35 сообщений

Дополнительно: Открытие файла в Word, ввод туда текста, сохранение.

В эту же схему вписывается тестирование прочих программ (1C, photoshop, ...)

Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Меня смущает использование зараженных данных. С одной стороны очень хорошо, так как автоматически учитывается ослабление защиты (не полностью, но все-таки). Если какой-то вирус не будет пойман, значит мы перестарались с оптимизацией скорости. С другой стороны

- это опасно

- единственный универсальный и безопасный вирус eicar.com не канает на роль "универсального", так как его не в DOC-файл и в Веб-страничку не вставишь.

- При обнаружении вируса, антивирусы могут потребовать интерактивности, а это плохо для автоматической системы тестирования

- Выбор репрезентативной выборки вирусов очень зыбкая тема.

Может быть пока ограничиться тестированием без всяких вирусов?

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами). Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Полагаю, что это не принципиально так как

1. Тест будет длится считанные секунды и эта функция не успеет сработать

2. Все вендоры в одинаковых условиях и не принципиально, как на самом деле ведет себя Word.

3. В любом случае лучше тестировать с настройками по-умолчанию (не антивирусов, в самого Word, 1C и пр)

4. Если какая-то функция внесет случайный разброс в результаты, то повторный запуск скрипта должен это выявить. Тогда и будем думать.

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами).

Полагаю, что стоит начать с чистых объектов и считать это отдельным тестом.

Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

Когда первая часть теста будет готова, результаты будут опубликованы и обмусолины на этом сайте, тогда и перейдем к следующей части.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

Правильно! Он удобен для определения, активен ли антивирус вообще.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

Во первых, на мой взгляд, использовать виртуаьные машины - некорректно.

Для проведения эксперимента потребуются 3 компьютера

1. С web-сайтом и почтовым сервером

2. С возможностью посылать письма как чистые так и зараженные

3 Собственно тот, на котором проходит эксперимент

Для эксперимента нужен комп с 128М оперативки на меньшее количество не встанет ХР (наиболее распространенная клиентская ОС).

Возвратв исходно состояние - программа типа Ghost от Symantec Партиции (образы) создать заранее. Можно хранить на том же винте, но на другом логическом диске.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, забыл добавить, желательно проводить отдельные тесты для файловой системы FAT 32 и NTFS так как результаты даже на чистой системе будут разными!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На форуме virusinfo.info идет параллельное обсуждение.

http://www.virusinfo.info/showthread.php?t=3947&page=2

Хотя ничего серьезного по этой теме там не предложили, но выложили интересную утилиту. Ее принцип работы:

Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Использование как

AV-Monitor-Tester.exe <file name> <file size in mbytes> <amount> [use RW mode?]

1. параметр - название файла в который будем писать

2. максимальный размер файла

3. по сколько кб писать бедем возможные варианты - 64/128/256/512/1024 кб

4. параметр - если имеется то файлы открываюся и на чтение и на запись иначе только на запись

http://www.hot.ee/ssxp/AV-Monitor-Tester-w...static-rand.rar

http://www.hot.ee/ssxp/AV-Monitor-Tester%20Source-Code.rar

Для одной из составляющих теста она бы могла пригодиться, если тестировать конечно на одной и той же конфигурации, а не так как на virusinfo.info :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

Имеет отношения к пользователям, использующий софт, который :) генерирует кучу временных файлов.

например emul, качающий кучу файлов :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее