Тест на лечение активного заражения VI (подготовка)

[strat 275]

возьмите vba32 (больше претендентов не видно), если нет, то просто оставьте вакантное место, тестерам меньше работы будет

[Сергей Ильин 1538]

возьмите vba32 (больше претендентов не видно), если нет, то просто оставьте вакантное место, тестерам меньше работы будет

vba32 мы долго тестировали до этого, пока это не перестало иметь всякий смысл. Компания сделал ставку на свой антируткит, при этом встроенные средства обнаружения руткитов не развивались. Так что сам по себе vba32 ничего не вылечит, увы.

[Виталий Я. 859]

Тогда остается заменить Панду на что-то более впеняемое.

И быть впеняемыми за то, что не тестировали продукт конторы из Топ15 АВ-решений, к тому же имеющему нормальное предст-во, паблишинг, бюджеты на онлайн- и ритейл-рекламу и даже ОЕМ-проекты в России? ОМГ, итс фрайдей.

BTW, облачный продукт Медведов имеет порядка пары-тройки % рынка free AV.

[vegas 7]

Вопрос по методологии:

Есть продукты, которые при обнаружении активного заражения, в связи с тем, что сами бессильны вылечить, выдают ссылку на свою же утилиту. (Так раньше помнится Симантек с тдсс поступал).

Утиль, естественно, лечит. Это будет засчитано в в поражение или нет?

Поскольку тестируется антивирус и его способность что-то пролечить, а не эта утилита, которую антивирус пытается подгрузить считаю это однозначно "минус". Хотя причина конечно должна быть отражена в комментариях

[Alex_Goodwin 81]

а что, вирусы так и не научились блокировать загрузку таких утилит ?

Они также научились блокировать обновления ав, а еще и килять ав.

Но в этом тесте речь не о таких вирусах. Посему, какая пользователю разница, как его антивирус вылечит его? (Предполагается, что интернет на компьютере есть, иначе не придут базы - не будет детекта вообще.) С закачкой баз или утилиты. Главное - результат.

[vegas 7]

Панду и Emsisoft Anti-Malware тоже выкинуть.

А кого-нибудь из китайцев можно и добавить

Как это ни странно, Панда по прежнему встречается на компьютерах пользователей, объяснить это могу только любовью к этому животному . Что до китайцев, в прошлом году помнится Rising хотел поучаствовать

[A. 875]

fixed

[vegas 7]

Они также научились блокировать обновления ав, а еще и килять ав.

Но в этом тесте речь не о таких вирусах. Посему, какая пользователю разница, как его антивирус вылечит его? (Предполагается, что интернет на компьютере есть, иначе не придут базы - не будет детекта вообще.) С закачкой баз или утилиты. Главное - результат.

А если он диск восстановления будет пытаться загрузить? Тоже своего рода утилита, грузится только по другому

[Alex_Goodwin 81]

отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);

отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

методология, пункт 5 и 6.

[vegas 7]

Методологию я вообще-то знаю. Но лечащая утилита - это не компонент антивируса, а дополнительное ПО которое он пытается использовать. Если утилита вполне способна работать и без антивируса - спрашивается что мы тестируем?

[Сергей Ильин 1538]

Давайте с утилитами тогда формализуем правило и добавим его в методологию, раз уж это вызвало такую дискуссию.

Если в ходе лечения тестируемый продукт при обнаружении признаков заражения сам предлагает загрузить спец. утилиту и далее эта утилита автоматически (без необходимости что-то анализировать или исследовать) устраняет заражение , то в этом случае ставим плюс. Если какие-то утилиты где-то там есть, где-то должны быть найдены юзеров и загружены, то тут ставим минус.

Т.е. логика такая. Если утилита является как бы частью штатной процедуры лечения, то результаты ее работы можно засчитывать.

[Alex_Goodwin 81]

Методологию я вообще-то знаю. Но лечащая утилита - это не компонент антивируса, а дополнительное ПО которое он пытается использовать. Если утилита вполне способна работать и без антивируса - спрашивается что мы тестируем?

Я не вам отвечал. Согласен с

сам предлагает загрузить спец. утилиту и далее эта утилита автоматически (без необходимости что-то анализировать или исследовать) устраняет заражение

.

[RomaNNN 5]

Давайте с утилитами тогда формализуем правило и добавим его в методологию, раз уж это вызвало такую дискуссию.

Если в ходе лечения тестируемый продукт при обнаружении признаков заражения сам предлагает загрузить спец. утилиту и далее эта утилита автоматически (без необходимости что-то анализировать или исследовать) устраняет заражение , то в этом случае ставим плюс. Если какие-то утилиты где-то там есть, где-то должны быть найдены юзеров и загружены, то тут ставим минус.

Т.е. логика такая. Если утилита является как бы частью штатной процедуры лечения, то результаты ее работы можно засчитывать.

Не согласен. А вдруг у юзера не будет интернета при заражении конкретным семплом?

[Сергей Ильин 1538]

Не согласен. А вдруг у юзера не будет интернета при заражении конкретным семплом?

Тогда мы ничего не скачаем и лечение закончится неудачей, будет минус. Так что все логично. Мы же проверяем на конкретных самплах.

[RomaNNN 5]

Тогда мы ничего не скачаем и лечение закончится неудачей, будет минус. Так что все логично. Мы же проверяем на конкретных самплах.

Нет, вы меня не поняли) здесь же проверяется лечение на компьютере, т.е. моделируется ситуация заражения у юзера. А если этот юзер работает без интернета (допустим в офисе), а АВ обновляется с корпоративного сервера-зеркала. Вот попал вирус серьезный, а АВ видит, но вылечить не может. АВ просит скачать тулзу, но инета нет...в итоге не вылеченная система.

[Сергей Ильин 1538]

Опять же, мы проверяем персональные продукты, так что условия задачи верный. Мы в методологии пропишем четко, что интет должен быть. Раньше в явном виде не писали, а теперь из-за "облаков" интернет подразумевается.

Вот если бы корп. версии тестировались, то ДА, согласился вы с вами. Но там все по-другому. Там, как правило, лечение производится как раз утилитами и централизовано раздается с сервера.

[A. 875]

Если в ходе лечения тестируемый продукт при обнаружении признаков заражения сам предлагает загрузить спец. утилиту и далее эта утилита автоматически (без необходимости что-то анализировать или исследовать) устраняет заражение , то в этом случае ставим плюс. Если какие-то утилиты где-то там есть, где-то должны быть найдены юзеров и загружены, то тут ставим минус.

Т.е. логика такая. Если утилита является как бы частью штатной процедуры лечения, то результаты ее работы можно засчитывать.

Ну вот ты выделил слово "сам", а я бы выделил "при обнаружении признаков заражения". Точнее - не выделил бы, а уточнил.

Признаков заражения вообще или признаков заражения данным, конкретным, тестируемым троянцем ?

А то знаете ли, бывают некоторые, которые могут тулзу начать грузить даже если вдруг hosts файл не понравился.

ну ты понял

Короче, либо четкий вердикт - либо я не знаю...

[Сергей Ильин 1538]

А это может быть непонятно. Антивирус сообщитПризнаков заражения вообще или признаков заражения данным, конкретным, тестируемым троянцем ?

А то знаете ли, бывают некоторые, которые могут тулзу начать грузить даже если вдруг hosts файл не понравился.

ну ты понял

Короче, либо четкий вердикт - либо я не знаю...

Согласен. Т.е. нужно чтобы тестируемый антивирус сообщил об обнаружении конкретной угрозы или класса угроз (может быть какой-то дженерик, как вариант), а затем предложил скачать нужную утилиту. Если так и лечение прошло успешно, то можно поставить плюс. Будет справедливо.

[Сергей Ильин 1538]

По итогам обсуждения список тестируемых продуктов получается такой:

Avast! Internet Security

AVG Internet Security

Avira Premium Security Suite

BitDefender Internet Security

Comodo Internet Security

Dr.Web Security Space

Eset Smart Security

F-Secure Internet Security

Kaspersky Internet Security

McAfee Internet Security

Microsoft Security Essentials

Norton Internet Security

Outpost Security Suite Pro

Panda Internet Security

Trend Micro Titanium Internet Security

Итого получается 15 продуктов. Панду оставили, так как они входят в топ-10 антивирусных компаний, а значит должны по определения претендовать на высокие места.

[A. 875]

Панду оставили, так как они входят в топ-10 антивирусных компаний

Пруф ?

не, я не то что против, мне правда интересно, я не знаю

[Виталий Я. 859]

2010-ый http://www.nikeconsultants.co.uk/wp-conten...rms_17Dec10.pdf

А прямую ссылку на Gartner за 2011 можно найти например, на сайте ЛК

Из "консьюмерских" вендоров там (по расстоянию от центра): Symantec, McAfee, Sophos, Trend Micro, Kaspersky Lab, Eset, Microsoft, F-Secure, CheckPoint, Panda... Есть там также GFI и Total Defense

"Panda will focus future efforts on its SaaS-based management solution for endpoint protection, which is fully hosted by Panda (Panda Cloud Office Protection). References cite it as being extremely valuable for managing remote installations."

[Сергей Ильин 1538]

Рад сообщить, что тест в целом завершен. Идет верификация результатов. Поэтому через пару недель будет в паблике

[AlexxSun 150]

Минул уже почти месяц, что там с результатами?

[Сергей Ильин 1538]

Методологию уже опубликовали.

http://www.anti-malware.ru/node/10211

Сам отчет будет выложен в среду вечером.

[Сергей Ильин 1538]

Уже скоро, друзья мои, очень скоро ...