Перейти к содержанию
AlexxSun

:) Virusovnet Февраль 2012:

Recommended Posts

AlexxSun
С февраля 2012 года портал Comss.ru начинает проводить ежемесячные сравнительные тестирования антивирусов, комплексных решений и программ безопасности. Серия независимых тестов будет называться Virusovnet.

По итогам каждого теста, антивирусные программы будут получать соотвествующие награды “Virusovnet High+”, “Virusovnet High” и “Virusovnet Average”.

Тестирование в Феврале 2012 года проводилось на виртуальных машинах с ОС Windows 7 SP 1 x86 с использованием 500 последних образцов реальных угроз, собранных в сети Интернет.

Где

Типа метода ;)

Отзывы о конторе, которые уже были на АМ, просьба не повторяться :P

virusoff001.jpg

virusoff002.jpg

virusoff003.jpg

post-3858-1329840924_thumb.jpg

post-3858-1329840932_thumb.jpg

post-3858-1329840941_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

AlexxSun,

писали 40 минут назад - ушло в трэш. Еще раз писать про это не интересно :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Почитав, так и не понял сколько у TrustPort на самом деле движков.

5 разных что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Отзывы о конторе, которые уже были на АМ, просьба не повторяться tongue.gif

В апреле контора должна шестую версию выпустить,возьмите

images2233.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StamilT
OC Windows 7 SP1 x86, Virtualbox

Дальше можно не читать :facepalm:

И, да, троллям-защитникам на заметку: отмазки о том, что это проблемы вендоров (несовместимость с полным УГ-VB) не катят :lol:

UPD: у ребят с грамматикой проблемы были в школе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Ответьте на мой вопрос кто-нибудь, ПЖАЛУСТО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Какие-лиюо комментарии к этому "тесту" мне кажется излишни.

Парни реально рвут стереотипы. Все "попсовые" антивирусы замыкают рейтинг - решето :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

я плакалъ над методикой. Просто прелесть - 500 образцов малвари - какие, сколько, как проверялись на "живую породу" и почему 500..... Модно, коллеги, модно. Как там у киношников - "миллионер из трущоб"? тут "тестер из подворотни" :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Дальше можно не читать :facepalm:

И, да, троллям-защитникам на заметку: отмазки о том, что это проблемы вендоров (несовместимость с полным УГ-VB) не катят :lol:

UPD: у ребят с грамматикой проблемы были в школе.

Да у всех руки из жопы растут :lol: У VB (с хуком драйверов проблемы), у Firefox с частыми обновлениями (плагины не дает сделать), у Мелкософта с патч-гуардом (безопасная среда через жопу) etc. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Радуют каменты про "крутую проактивку" Emsisoft и Comodo (в одном ряду :facepalm: )

Чую, скоро "это зверюги по проактивке" станет мемом.

Кстати, гении мысли в каментах также путают тесты блокировки и тесты удаления, ООК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
я плакалъ над методикой....

Для меня есть несколько неясных моментов в их "методе":

1) Образцы, взятые для тестирования - где, по каким признакам собрана коллекция и что это было в принципе?

2) Настройки в антивирусе, в частности в Касперском:

а) был ли доступ в облако?

б) была ли установлена галка "Другие" в окне "Угрозы", как известно только после установки этой галки будут детектироваться всевозможные "not-a-virus", которых наверняка было полно в этой так называемой "динамической коллекции" :)

3) с какого перепуга KIS стали тестировать на VirtualBox'e ?

OC Windows 7 SP1 x86, Virtualbox

Kaspersky Internet Security 2012 12.0.0.374 (a.b.c.d.e.f.g)

Настройки:

Выбрано сканировать все типы файлов

Не удалять подозрительные объекты - галочка снята

Эвристический анализ поставлен на средний уровень

Проверка составных файлов - поставлены галочки на архивы и инсталл пакеты

Отключена проверка только новых и измененных файлов

Контроль программ и проактивка - убрана галочка с доверять программам имеющим цифровую подпись

Поиск руткитов включен

Действие при обнаружении угрозы - удалить

virusoff004.jpg

post-3858-1329899379_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
с какого перепуга

хоть что-то стали тестировать на VB? :)

AlexxSun, не написал про то, что это делали пять разных людей на пяти разных системах.

to Виталий Я.

а народ ведь повелся на это:

Поздравляю с серебром в этом тесте

:lol:

Пора такие "шедевры" заносить в блэк-листы антибанера/антифишинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Я особенно рад за TrustPort, таки умудрился показать 3 разных результата :D в одном тестировании.

Аплодисменты организаторам теста, самим тестерам и спасибо за хорошее настроение :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Хм, а что тут удивительного, ведь у TrustPort три разных варианта, по комплектации антивирусными движками, для меня было бы смешно, если бы они показали одинаковые результаты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Почитав, так и не понял сколько у TrustPort на самом деле движков.

5 разных что ли?

Угадали :)

В разных вариациях используются 5 движков.

Я особенно рад за TrustPort, таки умудрился показать 3 разных результата :D в одном тестировании.

Аплодисменты организаторам теста, самим тестерам и спасибо за хорошее настроение :)

Зря смеётесь. За это организаторам не придётся краснеть :) Действительно использовались три варианта с разными движками.

А могли бы и 4 указать. :) Если бы включили в тестирование TrustPort USB Antivirus 2012 с одним движком от AVG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Какие-лиюо комментарии к этому "тесту" мне кажется излишни.

Парни реально рвут стереотипы. Все "попсовые" антивирусы замыкают рейтинг - решето :)

А мне вот интересно, кто станет использовать результаты для пиара, а кто нет.

Один российский дистрибутор уже опубликовал данные, попутно убрав два "лишних" результата TrustPort :) На оригинальном сайте Emsisoft пока нет результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Я тоже лет 5 назад занимался чем-то подобным, собирал по своим знакомым "образцы" малвари, скачивал их из паков в интернете и сканировал эти архивы всякими антивирусами на виртуалке. Потом мне это поднадоело, убедился что проку от такого "тестирования" не очень много.

Мне больше интересно мнение специалистов по так называемой "методе" тестирования. У нас на форуме все разговоры свелись в основном к тому, что зря они всё это затеяли на VB. А вот на такие нюансы, как я указал выше, никто особо внимание не обратил.

Этих типа "тестеров" я понял - они не дали доступ в облако потому, что побоялись спалить через KSN образцы своей "динамической коллекции". Далее наверно было следующее : -"Ну а как в отчётах укажем?". -"А давайте в отчётах вообще про это не напишем, авось никто и не заметит?"

Хотелось бы, чтобы соображающие в настройках других продуктов пользователи проверили их "методу" на предмет таких вот косяков и недомолвок. Можно конечно назвать их клоунами и закрыть глаза на такое "тестирование", но лучше показать на фактах, что доверять таким тестам нельзя. А то некоторые горячие головы уже стали предъявлять претензии, типа: "Почему у флагмана антивирусной индустрии только 18-ое место в тесте?"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Угадали :)

В разных вариациях используются 5 движков.

Зря смеётесь. За это организаторам не придётся краснеть :) Действительно использовались три варианта с разными движками.

А могли бы и 4 указать. :) Если бы включили в тестирование TrustPort USB Antivirus 2012 с одним движком от AVG

Абра-кадабра...

Я запутался... Что подумают другие, кто еще дальше от темы, чем я?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

еще - прогон был по "тушкам", а не по реально зараженной системе. Многие виды малвари на заражают виртуальные машины. Второе - тест просто на детект "тушек"? тогда что за "тушки", какие, откуда и как верифицировались на живую породу (часто используют "мертвую породу")?

У меня еще много вопросов, а ответов в сем "поделии" то и нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Дополнительный вопрос для организаторов "тестирования": если при контекстной проверке угроз не обнаружено - антивирусная составляющая неспособна обеспечить защиту? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну как бы ЛК в апреле выпускает антивирус для виртуальных сред, и предполагается поддержка многих виртуальных машин:
Но работать то он будет с виртуальными средами, т.е. совместимость обязана быть в обоих направлениях, или я что то не догоняю?

Вы совсем не догоняете. Слышали звон о выходе продукта, а в чем его особенность не удосужились даже прочитать http://www.anti-malware.ru/forum/index.php?showtopic=21402

Но все это к самом тесту не относится.

Меня больше всего прикалывается, что этот тест называется "динамическим". :) Я воспринимаю это как надругательство над самой идеей тестирования антивирусов и умышленное искажение терминологии. Вопрос только зачем и кому это нужно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Имхо:

1. В данном "тестировании" неразглашение коллекции может быть прикрыто чем угодно, начиная от статьи 273 УК РФ. Однако MD5 семплов под эти требования не подпадают и в теории должны быть публично известны. В противном случае этот тест не более чем "сезонное мартовское обострение" (правда обычно фигрурирует коллекция на 1000 вирусов), так как совершенно не ясно, что там - креки, кейгены, шутки, фолсы по детекту антивируса X, тулбары какие-то и т.п. Публикация базы MD5 сняла бы этот вопрос (причем если посмотреть посты выше, то вопрос о том, что за семплы, откуда брались, как проверялись и т.п. задается в каждом втором посте)

2. Пост Юрия Паршина про виртуалку ушел в оффтопик, а зря. Дело в том, что любая основанная на эмуляторе технология исследования малварей под виртуалкой может "просесть" на порядок (так как получим "виртуальный запуск малвари под виртуальной машиной" :)). Эмулятору же никто не даст изучать семпл 3 часа - и при одинаковой квоте времени на изучение семпла на реальном железе он изучит семпл и найдет зловредное поведение, на виртуалке - банально не успеет доэмулировать до нужного места

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Grover

http://www.comss.ru/page.php?id=887

Покажите мне другое тестирование другой и, как принято у некоторых, общепризнанной лаборатории с относительно признаваемой методикой, кто бы еще провел тест антивирусов именно от вэб угроз, еще и сравнительно с последующим долавливанием:

Колонка "Загрузка" показывает уровень обнаружения при загрузке вредоносных файлов из Интернета.

Колонка "Общий детект" показывает общий уровень обнаружения после сканирования по требованию остатков загрузки.

Если подобное не делалось, то почему?

Желательно в разрезе сравнения количества детектов проникновения через браузер с количеством реакций на изначально локальные запуски.

Отредактировал Grover

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Grover, гуглите на тему Whole Product Test или Dynamic Product Test на нашем форуме в том числе. Именно на вебе все и тестят. Мы тоже делали такой тест на примере 0-day угроз http://www.anti-malware.ru/antivirus_test_...-day_protection

Колонка "Загрузка" показывает уровень обнаружения при загрузке вредоносных файлов из Интернета.

Какое это вообще имеет значение? Главное, что атака устранена, каким компонентом это неважно.

Колонка "Общий детект" показывает общий уровень обнаружения после сканирования по требованию остатков загрузки.

И о чем это говорит? Ну остались какие-то там хвосты, что дальше? Если атака устранена, то все это никого не волнует опять же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×