Перейти к содержанию
Skorpion

DrWeb самый медленный антивирус?

Recommended Posts

Skorpion

Добрый день!

Подскажите, почему за столь длительное время разработок компания ДокторВеб так и не смогла войти хотябы в 10-ку быстрых антивирусных решений? Что мешает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Что мешает?

Основные причины две:

1. Прежде всего это топорное коммерческое руководство компании, осуществляющее деятельность в стиле:

"председатель колхоза образца 70-х пытается соответствующими методами вести бизнес в современном мире".

2. Пункт 1 порождает отсутствие ресурсов (материальных, человеческих, etc.), в результате чего решение _банальных_ задач

(например реализация многопоточности) растягивается на годы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Skorpion

Что по Вашему означает слово "Быстрый антивирус"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
@Aleksey

Я думаю топикстартер имеет виду скорость сканирования по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Я думаю топикстартер имеет виду скорость сканирования по требованию.

Главное не скорость, а главное детект. Можно за 5 сек. все просканить и ничего не найти, а можно и 5 минут, но найти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

не только по требованию, при доступе тоже самое.

Danilka, а как вам такое: Sality заражает файлы быстрее чем доктор успевает их вылечивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Danilka, а как вам такое: Sality заражает файлы быстрее чем доктор успевает их вылечивать :)

Ну на то он и Sality. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Главное не скорость, а главное детект. Можно за 5 сек. все просканить и ничего не найти, а можно и 5 минут, но найти.

Отчего же ваш антивирус быстрее и самое главное находит? ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Отчего же ваш антивирус быстрее и самое главное находит? ))))

Речь не о нашем. :) А о такой особенности Dr. Web (с Sality) я не знал. Тогда да, странная ситуация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Отчего же ваш антивирус быстрее и самое главное находит? ))))

Ложь!

1) Не надо путать сканер и сторож

2) При активном стороже файлы не смогут заразиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Ложь!

1) Не надо путать сканер и сторож

2) При активном стороже файлы не смогут заразиться.

Представьте, что есть вирус похожий на Sality, но ещё не классифицирован аналитиками, проходит заражение, через день, например вирус добавляют в базу, антивирс обновился.. и что будет дальше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Представьте, что есть вирус похожий на Sality, но ещё не классифицирован аналитиками, проходит заражение, через день, например вирус добавляют в базу, антивирс обновился.. и что будет дальше?

А дальше сторож будет лечить все файлы к которым будет обращение. А если нужна полная проверка - запускаете сканер, он вылечит все остальное, а повторному заражению воспрепятствует сторож.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
а как вам такое: Sality заражает файлы быстрее чем доктор успевает их вылечивать smile.gif

Каспер при лечении просто посылает в пешее эротическое почти все, что шевелится и заражение уже проваливается. Возможно (не знаю) у Доктора тоже что-то такое есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сканер по требованию у Доктора (с настройками по умолчанию) на настоящий момент один из самых медленных - это факт, к сожалению. А вот сканер в реальном времени подтянулся, относительно конкурентов выглядит вполне достойно. Говорю так, имея перед глазами результаты нового теста на быстродействие ;) Скоро сами все увидите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Скорость также возрастает, если есть системы оптимизации сканирования (кэш память проверенных объектов), ДокторВеб такие технологии так и не внедряют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Сканер по требованию у Доктора (с настройками по умолчанию) на настоящий момент один из самых медленных - это факт, к сожалению. А вот сканер в реальном времени подтянулся, относительно конкурентов выглядит вполне достойно. Говорю так, имея перед глазами результаты нового теста на быстродействие ;) Скоро сами все увидите.

Сканер - да, медленный, однопоточный. Спайдер - многопоточный, дефолтный расчет потоков - (кол-во ядер * 2 )+ 1. Можно изменить ручками, через интерфейс пока нет. Чтобы увидеть скорость нового сканера - попробуйте консольный сканер, он грузит все ядра по максимуму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Разрешите ещё раз выступить в ставшем привычным амплуа адвоката Dr.Web. Мож, чего нового расскажу.

Подскажите, почему за столь длительное время разработок компания ДокторВеб так и не смогла войти хотябы в 10-ку быстрых антивирусных решений?

1. Что касается файлового монитора SpIDer Guard, то уже писали в этой теме выше, что там со скоростью всё нормально, но...

2. Всё ещё не выпущен движок версии 6.0, который находится в бете. Скорость сканирования чистых файлов там возросла значительно, т.к. реализован существенно новый алгоритм поиска по вирусной базе, и на потребляемых ресурсах это скажется (лучшим образом) после релиза.

3. Сканера касается и движок, которого ещё нет, и отсутствие многопоточности. Отсутствие многопоточности осложнено тем, что для этого нужно создать фактически новый сканер (не внешне, а внутренне), который будет взаимодействовать с компонентом под названием ScanningEngine, SE (название компонента в разных источниках может разниться). Почти все остальные компоненты антивируса Dr.Web для Windows уже работают в многопоточном режиме через этот SE, в т.ч. и SpIDer Guard сейчас работает через SE, хотя ранее работал тоже со многими потоками, но на другой архитектуре. А для SE необходимо реализовать антируткит. Либо реализовать вообще отдельный компонент-антируткит. Ибо тот сканер, что сейчас в релизе, содержит антируткит в себе, и много делает самостоятельной работы, в нём дублируются многие функции, которые должны быть общими для всех компонентов.

Как видите, поменять нужно весьма много. Причём это изменения на архитектурном уровне. Поэтому мало того, что нужно всё перелопатить, так ещё нужно и оттестировать так, чтобы не на каждом втором сервере потом были BSOD'ы.

В целом да, выглядит всё так, что всё делается медленно. Но дело в том, что скорость работы была поставлена в приоритет у разработчиков не так давно. Раньше, сколько себя помню, в приоритет ставилось всегда качество лечения, т.е. конечный результат после работы сканера. Сейчас разработчики хотят сделать, чтобы и быстро, и не отломать ничего от того функционала по лечению, который уже реализован. Нетривиальная задача по-любому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
Сканер по требованию у Доктора (с настройками по умолчанию) на настоящий момент один из самых медленных - это факт, к сожалению. А вот сканер в реальном времени подтянулся, относительно конкурентов выглядит вполне достойно. Говорю так, имея перед глазами результаты нового теста на быстродействие ;) Скоро сами все увидите.

Дааа?

1302493504-clip-36kb.png

1302496838-clip-118kb.png

P.S.

Правда бета куреит ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

а чтож старье (AVP Tool 10) ? Вот свежак (11): ftp://devbuilds.kaspersky-labs.com/devbui...03_30_21_46.exe

Уже не бета, но еще не выложена на оф. сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
а чтож старье (AVP Tool 10) ? Вот свежак (11): ftp://devbuilds.kaspersky-labs.com/devbui...03_30_21_46.exe

Уже не бета, но еще не выложена на оф. сайте.

KY говорил что на чистых файлах скорость сканирования будет еще больше....и это не может не радовать. :facepalm:

1302865940-clip-71kb.jpg

1302866456-clip-23kb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Вот интересно, Беляшег, ты хоть сам понимаешь, что это ничего не показывает? Какой-нить УГ антивирус будет еще быстрее. Что это показывает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Какой-нить УГ антивирус будет еще быстрее. Что это показывает?

Забавно читать эту редкостную ересь.

тов. sww судя по всему заболел избирательной атрофией мозга амнезией и как-то враз забыл:

1. в чем заключается отличие Dr.Web от УГ-антивирусов

2. за счет чего была достигнута скорость сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Забавно читать эту редкостную ересь.

тов. sww судя по всему заболел избирательной атрофией мозга амнезией и как-то враз забыл:

1. в чем заключается отличие Dr.Web от УГ-антивирусов

2. за счет чего была достигнута скорость сканирования.

Таки даже никто не ставил знак равенства по 1 пункту. Выдыхайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Дааа?

Кто же проверяет скорость сканирования на инфицированных файлах! Некорректность таких замеров даже не следует обсуждать. Сто раз уже говорили на эту тему еще перед первым тестом на быстродействие. На зараженных объектах тормоза могут быть непредсказуемые, да и нетипичная эта ситуация изначально. Только чистые файлы!

Забавно читать эту редкостную ересь.

Слава как бы намекает, что нет смысла смотреть на время сканирования зараженных файлов. Что вообще это показывает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Кто же проверяет скорость сканирования на инфицированных файлах! Некорректность таких замеров даже не следует обсуждать. Сто раз уже говорили на эту тему еще перед первым тестом на быстродействие. На зараженных объектах тормоза могут быть непредсказуемые, да и нетипичная эта ситуация изначально. Только чистые файлы!

Случай из практики: валяется у меня почтовая база весом в 2 Гб. Состав разношерстный -- чистые объекты в перемешку с вредоносными. С релизным ядром сканер его почти сутки проверял. На бете - час. Найденное кол-во вредоносных объектов примерно совпадает (бета нашла чуть больше).

Прибавление в скорости более всего заметно на всякого рода инсталлерах (NSIS, WISE, GENTEE, etc.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×