Перейти к содержанию
Phoenix

Интересное сравнение антивирусов (данные jotti и virustotal)

Recommended Posts

Phoenix

http://enotus.at.tut.by/Articles/AVtest/index.html

Из минусов - "Так же здесь не учитываются ложные срабатывания", которыми вполне могут быть (а могут и не быть) уникальные определения вирусов антивирусами.

ClamAV подозреваю так мало нашел, потому что больше заточен под почтовые вирусы. По крайней мере то, что он у меня на шлюзе пропускал, не было и базе KAV...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
http://enotus.at.tut.by/Articles/AVtest/index.html

Из минусов - "Так же здесь не учитываются ложные срабатывания", которыми вполне могут быть (а могут и не быть) уникальные определения вирусов антивирусами.

ClamAV подозреваю так мало нашел, потому что больше заточен под почтовые вирусы. По крайней мере то, что он у меня на шлюзе пропускал, не было и базе KAV...

Странный вывод про UNA. "вот UNA в некоторых случаях може пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает" Если посмотреть на график, то найдется еще не мало АВ, которые интересны по тому же критерию, что и ЮНА.

По опыту общения с вир аналитиками известно, что с вирустотала очень много крэпа идет. И уникальность обнаружения не всегда хорошо. Не имея доступа к файлам нельзя однозначно сказать крэп ли это был или действительно уникальной детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Лично я вообще не считаю правильным использовать данные с VT или Jotty для оценки антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

Да, обычно туда посылают вирусы, которые не находятся установленным антивирусом, что по идее должно снижать показатели распространенных АВ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

По интересной для меня теме КАВ/Доктор:

В этом тестировании, судя по графикам, эффективность примерно одинакова у них, что весьма близко на самом деле к истине по тестировавшимся параметрам.

Незначительную разницу можно списать на погрешность измерений.

Это соответствует моим внутренним ощущениям.

Доктор бывает часто лучше в детекте сложных полиморфных вирусов, но их количество мало (не количество заражаемых объектов, а количество видов вирусов), поэтому на этих графиках этого не видно и не может быть увидено.

И детект - это лишь один из параметров работы антивирусов. Есть ещё лечение, скорость и т.д.

Добавлено спустя 3 минуты 45 секунд:

Лично я вообще не считаю правильным использовать данные с VT или Jotty для оценки антивирусов.

Вообще говоря, _любой_ тест весьма субъективен.

Понятия "хороший" или "плохой" антивирус - это не больше, чем метафоры. У каждого из продуктов есть сильные (иначе бы они не продавались) и слабые (иначе бы кто-то захватил 99% рынка) стороны.

Тут стОит говорить о том, какой из продуктов больше подходит к какой категории пользователей, т.е. какую нишу занимает. В этом "однобокие" тестирования помочь могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На мой взгляд интересное сравнение, хотя бы потому, что статистика эта закрытая. Но мне не совсем пока ясно, какие выводы из этого правильно делать, ведь как писали выше, на virustotal и jotty сыпется реально много хлама, а ложные срабатывания мы тут никак выделить не можем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
И детект - это лишь один из параметров работы антивирусов. Есть ещё лечение, скорость и т.д.

Более того, этот тест тестирует детект лишь частично. Так как во-первых, поведенческие технологии не действуют, ибо зловредов не запускают; а во-вторых, тестируется только сканер по-требованию. Так что по сути, этот тест проверяет исключительно движок (подобно тесту Клементи да и большинству других тестов).

Что касается Др.Веба - да, движок у него качественный, так что результаты не удивительны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Кто-нибудь может объяснить, что имеется в виду в части "Количество обнаруженных вредоносных программ из всех заражённых файлов с разбивкой по возможностям антивируса." под терминами "общие", "уникальные", "не уникальные" ?

"Уникальные" - это то, что определяет только этот антивирус и больше никто ? В таком случае для nod32 и bitdefender эти показатели подозрительно малы (если в статистике учитывались срабатывания эвристика). Если не учитывались, то это сравнение можно прямиком отправлять в треш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Да вообще сравнение не особо убедительное. Файлов никто не видел, дат обновления баз у каждого продукта - тоже нет. Как-то всё "плюс-минус лапоть"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Да вообще сравнение не особо убедительное. Файлов никто не видел

А что, обычно всем желающим коллекции раздают после тестирования для проверки?

Нет, я имел в виду, что сами организаторы тестирования коллекции не видели. И тестирования не проводили, собственно =) Просто взяли результаты графиков с virustotal...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Интересный вывод сделал автор статьи: если в файле только 1 антивирь обнаружил вирус, то значит в этом файле точно вриь, а все остальные его не знают :). Интересно. Как правило такой результат означает ложное срабатывание. Поэтому график "Количество обнаруженных вредоносных программ из всех заражённых файлов с разбивкой по возможностям антивируса. (больше - лучше)"-бред и по нему нельзя ничего конкретного сказать .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Буквально за пару дней тема из обсуждения теста перерасла в обсуждение вирлабов, поэтому все сообщения :off: были перенесены сюда:

Как работают вирлабы и кто это делает лучше?

Название придумал на свой вкус, уж извиняйте :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout

Так себе.

По опыту -- с этих сайтов идет очень много крэпа.

1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

3. Выводы странные:

вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

4. Нет разбора на то как брался файл -- exact детектирование или эвристик. Срабатывания эвристика Fortinet или VBA скорее всего False.

5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.

Идея хорошая, но реализация так себе. не зачот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Аналогичную диаграмму можно привести для лучших антивирусов.

Просто "лучших" антивирусов ещё не придумали. Очень некорректное предложение. Лучшие в чём-то, в соответствии какой-то определённой методикой - это ещё да, может быть.

Однако тестирования антивирусов по этому важному показателю пока далеки от совершенства.

Вот это верно, и это тестирование - не исключение :)

Остальные тестирования не так информативны и с первого взгляда не вызывают большого доверия. Хотя имеются и весьма серьёзные.

Какое-то разброд-шатание мысли.

Вот здесь и таится проблема. Статистика ресурсов virusscan.jotti.org и virustotal.com не предоставляется в открытом доступе. Вероятно, её получают только производители антивирусов. Вероятно за деньги.

Вероятно, вероятно... Да, я могу написАть "вероятно" по поводу тестирований, ибо сам их практически не проводил и имею к этому процессу косвенное отношение, но для результатов тестирования - эо слишком.

Обращаю внимание на отсутствие некоторых известных антивирусов, таких как McAfee или Symantec Norton AntiVirus

Почему, собственно? Большой минус.

Так же здесь не учитываются ложные срабатывания.

Тоже плохо.

Общую картину это не искажает. Во-первых, совершенно неизвестно, сколько срабатываний ложны.

Гы :)

Во-вторых, ложные срабатывания, согласно av-comparatives.org, происходят менее чем в 1% случаев.

В недавнем тестировании, которое цитировалось на этом форуме все чуть не погрызлизь из-за этих "меньше 1%", а тут так просто этим пренебрегают. Молодцы :) Так что оправдать можно при желании любые результаты любого "подходящего" кому-то тестирования.

Вероятно, значительная часть уникальных вредоносных программ, обнаруженных AntiVir, является ложными.

Гадание на кофейной гуще. Это результат тестирования или гороскоп? :)

Лидерами являются Kaspersky Anti-Virus, Dr.Web, AntiVir, VBA32 и BitDefender (не забываем, что некоторые популярные антивирусы не тестировались).

Поэтому они не лидеры? :lol:

"Остался только один важный вопрос. Распространённость вредоносных программ и на сколько она совпадает с другими источниками."

В огороде бузина, а в Киеве дядька. Значит, для определения "самого лучше антивируса" эти вредоносные программы оказались подходящими и "достаточно распространёнными", а тут вот сомнение в конце возникло.

Да и совпадения с другими источниками сложно добиться. Хотя, как я и сказал уже, добиться сходства тоже можно, если очень захотеть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Enotus
1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

Согласен, но ложные срабатывания общую картину не меняют.
3. Выводы странные:
вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

Что странного. Раз UNA "знает" некоторые вирусы, которые никто другой не знает, значит в некоторых режких случаях он может пригодится. AntiVir - да лучше. Но всех вирусов НЕ знает.
4. Нет разбора на то как брался файл -- exact детектирование или эвристик.
Тут возникли некоторые решаемые трудности. Возможно в будущем добавлю.
Срабатывания эвристика Fortinet или VBA скорее всего False.
Согласно av-comparatives.org, эти "срабатывания" скорее всего True. У Вас есть другие данные или источники?
5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.
И о чём это говорит?

Добавлено спустя 3 минуты 34 секунды:

Valery Ledovskoy

Простите, я не понял что Вы хотели сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
1. Нет уверенности, что среди 5000 файлов все вредоносные программы.

2. Наличие уникального детектирования довольно часто является признаком ложной тревоги. Для 100% уверенности нужно иметь файл (для ручного разбора или перепроверки через некоторое время)

Согласен, но ложные срабатывания общую картину не меняют.

Ложные срабатывания меняют картину координально. Пользователей, которые счастливы от FP нет. Во-вторых, сделайте прогу, которая на все файлы будет орать -- подозрение на вирус и вы будете №1 не только в вашем тесте, но и гарантированно получите VB100%.

3. Выводы странные:
вот UNA в некоторых случаях может пригодиться. Ведь UNA определяет некоторые виды вредоносных программ, которые никакой другой антивирус не знает

Тот же AntiVir знает "уникальных" вирусов больше, да и качество явно лучше.

Что странного. Раз UNA "знает" некоторые вирусы, которые никто другой не знает, значит в некоторых режких случаях он может пригодится. AntiVir - да лучше. Но всех вирусов НЕ знает.

По тесту никто не знает всех вирусов. Еще раз про фолсы -- откуда вы знаете, что те уникальные "вирусы" обнаруженные только UNA не есть FP? Поэтому тест, тестом назвать нельзя. Статистика.

4. Нет разбора на то как брался файл -- exact детектирование или эвристик.
Тут возникли некоторые решаемые трудности. Возможно в будущем добавлю.

Очень стоит. См коммент A.

Срабатывания эвристика Fortinet или VBA скорее всего False.
Согласно av-comparatives.org, эти "срабатывания" скорее всего True. У Вас есть другие данные или источники?

Fortinet нет у Клименти, а VBA занимает почетное первое место по фолсам. Про Фортинет знаю от информированных источников и им верю.

5. Таблица распространенности. Посмотрите внимательно -- микс excat вердиктов и ответов эвристика.
И о чём это говорит?

Это значит, что цифры не верные т.к. доподлинно не известно что есть Trojan.Generic или "Подозрения на что-то там".

Дело полезное, но вот с методологией проблемы. Вон Сергей Ильин сделал достойный тест, присоединяйтесь к нему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Enotus
Очень стоит. См коммент A.
Будет через неделю.

Добавлено спустя 28 секунд:

Вон Сергей Ильин сделал достойный тест, присоединяйтесь к нему
Ссылку можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
Ложные срабатывания меняют картину координально. Пользователей, которые счастливы от FP нет. Во-вторых, сделайте прогу, которая на все файлы будет орать -- подозрение на вирус и вы будете №1 не только в вашем тесте, но и гарантированно получите VB100%.

Вы эту прогу просто не сможете продать :) Поэтому процент ложных срабатываний очень мал и с ними все борются. Сравнение антивирусов по количеству ложных срабатываний идет в пределах этого мизерного процента. Так что все относительно.

Fortinet нет у Клименти, а VBA занимает почетное первое место по фолсам. Про Фортинет знаю от информированных источников и им верю.

У Клементи наш антивирус тестировался с установкой максимального уровня эвристики, который не рекомендуется для нормального использования (при попытке установить этот уровень эвристики, программа выдает предупреждение и доаполнительно запрашивает подтверждение). К слову, в подробном отчете приведен перечень ложных срабатываний, которые были вызваны именно за счет установки этого уровня эвристики, они помечены как '(+)'. Если их не принимать во внимание, то VBA уже не занимает первое место по ложным срабатываниям. Хотя остается вопрос, смогли ли бы мы занять второе место по качеству детектирования троянов после NOD32, если бы тестирование проводилось на нормальном уровне эвристики :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

А VBA ложных срабатываний _относительно_ много (на максимальном уровне эвристики), но еще хуже дикие тормоза в этом режиме - тысячу файлов обрабатывает почти час. тормознее только последний нод (но опять же в режиме максимальной эвристики, хотя ему проще - он только строчки обсчитывает, а не кусочки кода =)

Аффтор, соедени наконец эмуль и эвристик - не придется два раза одну и тоже работу делать, может ВБА хоть на 20% быстрее станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних, малого того далеко не все движки которые используются сервисами являются последними движками вендоров. Если быть более точным, то существуют намного более продвитые версии продутков чем те которые юзаем вирус тотал и джотти. Это точно, я списывался с ними по имейлу.

Эти сервисы не актуальны ни в оценке продуктов ни в наполениии баз. Их можно использовать лишь как махонькую помощь в процесе разработки баз антвирусов-антиспая

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Enotus

Raven_River

Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних
Virus definitions are updated every hour.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
Raven_River
Ребята на этих онлайн сканах не все базы антивирусов обновленны до последних
Virus definitions are updated every hour.

Я больше доверяю переписке тет-а-тет чем тому , что они освещают на своих страницах.

Мало того сегодня я проверял, дата обвления базы Макафи на вирустотал стоит сегодняшним числом, а последнее обновление было в пятницу :)

+ Они не могут обновлять базы каждый час - это ложь.

Эти онлайнсканеры используют только консольные движки продуктов, не программу целиком, джоти под юникс, вирустотал под винду. А это значит, что такого приложения как updater у них попросту _нет_. Они обновляют базы руками, получают их от вендоров и подставляют движку. А тут сам понимаешь, то вендор на письмо не отвечает , то вообще старую базу выдал... ну вообще базы у них не актуальные.

В целях убеждения можешь списаться по почте с вирустотал и джоти и узнать все сам. Их адреса на есть на сайтах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, в связи с явным оффтопом сообщения, относящиеся к обсуждению скорости работы антивирусов были перенесены сюда

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1069

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×