Перейти к содержанию
OlegAndr

Что такое хороший тест антивируса?

Recommended Posts

lolowin32

пруфлинк

вот основа для моих доводов, а не вся это клоноподобная лажа

Отредактировал lolowin32

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
(заведомо знаю что все вредоносы),

надо бы определить критерий вредоносности

предположим есть 100 файлов, 10 из них не запускаются = битые, но сигнатура какого-то вируса присутствует внутри. пара продуктов не стала детектировать эти самые битые файлы ведь реально они не причинят вреда = БЕЗВРЕДНЫЕ

и что вы скажете по поводу такого детекта при пропущенных 10-и если другие продукты задетектят все 100?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
надо бы определить критерий вредоносности

предположим есть 100 файлов, 10 из них не запускаются = битые, но сигнатура какого-то вируса присутствует внутри. пара продуктов не стала детектировать эти самые битые файлы ведь реально они не причинят вреда = БЕЗВРЕДНЫЕ

и что вы скажете по поводу такого детекта при пропущенных 10-и если другие продукты задетектят все 100?

лучше перебдеть чем недобдеть)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Добрый день, Сергей Ильин, прочитал Ваш пост, и оказался в непонятном недоумении от Ваших мыслей по поводу теста на основе сигнатурного анализа, Вы считаете что это бесполезно сканировать "Братскую могилу тушек", спешу заметить что при сканировании этой "братской могилы" многие антивирусы находят НЕ ВСЕ вредоносные программы из архива (заведомо знаю что все вредоносы)

Добрый день! К сожалению, не знаю вашего имени. Во-первых вы точно не можете говорить о вредоносности, если только вы не вирусный аналитик и не обучались этому. Я вам задам вопрос на засыпку, это вот вредонос или нет? https://www.virustotal.com/file/696e8f38081...b0b19/analysis/ Вы его в базу себе возьмете?

Во-вторых во всех тестах на сканирование учитывается только детект сканером, а это в корне уже не верно в существующих реалиях. Поведенческие технологии не учитываются, веб-фильтрация с анализом кода страницы тоже. Поэтому если кто-то антивирус что-то пропускает сканером, то это абсолютно не говорят, что реальная атака с этим же самплом пройдет и машина заразится.

лучше перебдеть чем недобдеть)))

Так вы хотите определить в тесте антивирус, которые лучше защищает или который лучше перебдевает? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Добрый день! К сожалению, не знаю вашего имени. Во-первых вы точно не можете говорить о вредоносности, если только вы не вирусный аналитик и не обучались этому. Я вам задам вопрос на засыпку, это вот вредонос или нет? https://www.virustotal.com/file/696e8f38081...b0b19/analysis/ Вы его в базу себе возьмете?

Во-вторых во всех тестах на сканирование учитывается только детект сканером, а это в корне уже не верно в существующих реалиях. Поведенческие технологии не учитываются, веб-фильтрация с анализом кода страницы тоже. Поэтому если кто-то антивирус что-то пропускает сканером, то это абсолютно не говорят, что реальная атака с этим же самплом пройдет и машина заразится.

Так вы хотите определить в тесте антивирус, которые лучше защищает или который лучше перебдевает? :)

1. не вредонос, media get уже пофиксил эту проблему обнаружения

2. ни один антивирус не дает стопроцентную гарантию защиты, по этому нужно использовать комплекс защиты

3. основываясь на Вашем умозаключении о сканировании по сигнатурам, могу сказать одно, почему тогда все антивирусные продукты не откажутся от антивирусных сканеров, сигнатурных баз?А ведущие тестовые лаборатории продолжают проводить тесты на сигнатурный анализ, может быть они безнадежно отстали от жизни?

Вы предлагаете оставить в антивирусах только эвристические и проактивные технологии? Это было бы очень смелым решением)))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

уже сказали, что тесты коллекций устарели и не отражают реального качества защиты, сама сигнатурная технология нужна, но нельзя основываться только на ней, вы же как раз это и хотите. а не отказываются ведущие потому, что это очень просто взять 100-200 -300 неизвестно каких вирусов и просканить на них и результат тоже в цифрах при этом очень легко получается 500 просканили/50 осталось - рейтинг 90%

короче - хрень

Вот вам аналогичный пример из тестов компьютеров. Раньше все определялось частотой процессора и от неё велся рейтинг производительности. Сейчас же, даже зная частоту процессора нельзя ответить о быстродейтсвии, потому что это может быть 1 ядро, 2 ядра, или 4+4 виртуальных и т.д. В компьютере может стоять медленный ide диск или быстрый ssd, а если пользователь работает в программах использующих GPU, то даже самый навороченный процессор окажется на лопатках при сравнении с каким-нибудь последним Geforce. И вы в этот момент предлагаете попробовать протестировать производительность компьютера целиком основываясь на одной частоте процессора. Вот и получаетсы устаревший тест, котогрый очень легко сделать (сравнить 2700 Мгц и 3000Мгц) и сказать, что там, где 3000 это лучше, а на самом деле 2700 это Core i7 и в компе есть ssd + Geforce680, а там где 3000 это pentium 4 + ide 160 + Geforce mx 400.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

"уже сказали, что тесты коллекций устарели и не отражают реального качества защиты"

- это чье-то личное мнение, а не истина в последней инстанции) Кстати, не обоснованное никакими фактами.

Соглашусь, что оценивать антивирус надо комплексно, НО напрочь отказываться от сравнения сигнатурных сканеров - это значит лишать пользователей одного из важных критериев оценки продукта. У нас же нет цели что-то скрыть?)

"а не отказываются ведущие потому, что это очень просто взять 100-200 -300 неизвестно каких вирусов и просканить на них и результат тоже в цифрах"

ну зачем же объяснять действия уважаемых лабораторий банальной ленью) они проводят и более сложные комплексные тесты, и сравнение отдельных компонентов. Пользователи хотят знать, какой антивирус лучше справляется со своей работой, только и всего!)

Кстати, по качеству сканера все-таки можно составить общее представление о качестве продукта. Если сканер много пропускает, и лаборатория не стремится моментально реагировать на угрозы - вряд ли остальные компоненты поддерживаются на должном уровне. Можете с этим спорить, но отчасти это так и есть!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
3. основываясь на Вашем умозаключении о сканировании по сигнатурам, могу сказать одно, почему тогда все антивирусные продукты не откажутся от антивирусных сканеров, сигнатурных баз?А ведущие тестовые лаборатории продолжают проводить тесты на сигнатурный анализ, может быть они безнадежно отстали от жизни?

Я разве говорю об отказе от них? Вы кажется не улавливаете логику. Покажу на языке математике. Пусть качество защиты антивируса P зависит от многих его компонентов, тогда для упрощения представим P = p1 + p2 ... pn, где p(i) - это вклад в качество защиты каждого компонента. Вы упорно предлагаете изменять p1 и далее упорствуете, что P == p1, что в корне неверное. Вы забываете, что есть еще куча других p(i).

Вы предлагаете оставить в антивирусах только эвристические и проактивные технологии? Это было бы очень смелым решением)))))

Нет, я лишь говорю, что глупо делать вид, что их нет и тестировать только сигнатурные движки. Это тесты ни о чем.

Если сканер много пропускает, и лаборатория не стремится моментально реагировать на угрозы - вряд ли остальные компоненты поддерживаются на должном уровне. Можете с этим спорить, но отчасти это так и есть!)

Расскажите это, например, поклонникам Comodo или DefenceWall. От вас мокрого места не оставят :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

Я и не предлагаю судить об антивирусе по его сканеру и только. О чем и написал выше)

Но категорически не согласен с тем, что тест по сигнатурам - "ни о чем". Это один из важных компонентов, который входит в комплексную оценку продукта.

Говоря на вашем языке - я против утверждения, что p1=0.

"Расскажите это, например, поклонникам Comodo или DefenceWall. От вас мокрого места не оставят"

Ключевое слово тут - "поклонники", и переубеждать их бесполезно и не нужно!) меня больше интересует суть явления)и то, что у одного антивируса сканер сильнее, а у другого слабее - объективный факт, наравне с другими влияющий на защищенность каждого конкретного пользователя. Это нуждается в обосновании?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
что у одного антивируса сканер сильнее, а у другого слабее - объективный факт, наравне с другими влияющий на защищенность каждого конкретного пользователя. Это нуждается в обосновании?)

Вообще то речь изначально шла о тестах, в которых проверятеся только сигнатурный детект ))) и вдобавок на неизвестной коллекции :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

"Вообще то речь изначально шла о тестах, в которых проверятеся только сигнатурный детект"

предлагаете вернуться к самому началу дискуссии? я думал, мы будем ее развивать...))

"и вдобавок на неизвестной коллекции"

неизвестной лично вам? или кому? давайте конкретнее)

Кажется, мы начинаем плавно уходить от темы. Давайте не будем этого делать)

В конце концов, мало кто будет спорить с тем, что эффективный сканер является одним из ключевых (хотя и НЕ единственным) критериев для сравнения. Наряду с эвристикой и поведенческим анализатором, и другими компонентами, но никак не на последнем месте по значимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Спор ни о чем. Предлагается либо забить на тему, либо провести тест такого плана.

Берем коллекцию вирусов даже не очень большую, скажем 50-100 штук и проводим следующие действия

1) скачиваем их с web сервера со странички где разместить ссылки на них типа www.fileserver.com\vir1.exe - задействовано облако + web антивирус

2) пытаемся запустить то, что пропустил web антивирус при скачивании - тест облако+эвристика/проактив

3) ту же самую коллекцию, но предварительно размещенную в локальной папке, сканируем, оставшееся запускаем но предварительно отключаем интернет для проверки чисто эвристики/проактив, т.е. без облачных техник

подсчитываем

а-сколько успешно скачали в пункте 1

б-сколько осталось после пункта 2

в-сколько осталось успешно запущенных из пункта 3

в результате можно получить примерный вклад разных техник в обнаружение, конечно при малой коллекции это неточно, но хотя бы на уровне лучше защита с этой техникой/хуже (есть эффект/нет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

" хотя бы на уровне лучше защита с этой техникой/хуже (есть эффект/нет)"

и так очевидно, что каждый компонент внесет свой вклад. Вы можете себе представить, что какой-то из компонентов (будь то веб-антивирус, сканер или проактив) окажется настолько бесполезным, что пропустит всё или даже ухудшит (?) результат? это был бы парадокс)

"в результате можно получить примерный вклад разных техник"

наконец-то конструктивное предложение) полностью поддерживаю!

Может есть смысл кому-либо создать такой тест, и выложить его на форум?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
предлагаете вернуться к самому началу дискуссии? я думал, мы будем ее развивать...))

Развивайте :D а не мусольте одно и тоже

"и вдобавок на неизвестной коллекции"

неизвестной лично вам? или кому? давайте конкретнее)

Никому :facepalm:

Кажется, мы начинаем плавно уходить от темы. Давайте не будем этого делать)

В конце концов, мало кто будет спорить с тем, что эффективный сканер является одним из ключевых (хотя и НЕ единственным) критериев для сравнения. Наряду с эвристикой и поведенческим анализатором, и другими компонентами, но никак не на последнем месте по значимости.

Я говорою - развивайте тему, развивайте

Может есть смысл кому-либо создать такой тест, и выложить его на форум?

Да, сэр,

Есть, сэр

Будет исполненено, мэм....

:D

Читайте ветку - кроме этого топика :lol:

ЗЫ. и цититуйте верно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

strat, на какой коллекции предлагаете протестить? есть предложения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Нет предложений, да и все равно такой тест будет искусственен, надо в дикой природе, например каждый день задавать десяток поисковых запросов наиболее уловистых на винлоки и лазить по ссылкам с реальных или виртуальных машин с разными антивирусами, и смотреть после этого на словил/заблокировал, а это динамический тест, который здесь делали оооочень давно. А то подобе теста, которое я предложил, всего лишь попытка показать, что обычный тест сканера неинтересен сам по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
задавать десяток поисковых запросов наиболее уловистых на винлоки

ну тут вообще никаких четких критериев не будет) для теста, который Вы предлагали выше, нужна коллекция с УЖЕ известным количеством вредоносов, иначе никакой статистики быть не может (что принимать за 100 процентов?))

всего лишь попытка показать, что обычный тест сканера неинтересен сам по себе

так покажите, что мешает? Только "неинтересен сам по себе" - слишком мутная форулировка. Что хотите показать-то? что сканер "отловит" меньший процент, чем другие компоненты? но это еще не будет доказывать, что результаты таких тестов можно не учитывать)Сформулируйте, что вы доказываете, и посмотрим, так ли это)

кстати, если сканер "поймает" хоть ОДИН вредонос, который пропустили облако+web+эвристика/проактив, говорить о "бессмысленности" сравнения сканеров уже будет невозможно) так как этот ОДИН вирус вполне может оказаться именно тем, который как раз-таки "завалит" систему, и прочие компоненты защиты окажутся неэффективными. Конечно, в этой конкретной ситуации.

Чтобы утверждать, что "сравнение сканеров - ни о чем", надо добиться такого реультата теста:

веб-антивирус - x

эвристика - y

сканер - 0 (НОЛЬ),

что просто невозможно себе представить)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Сформулируйте, что вы доказываете

Формулирую: наплевать на тесты сканеров на сотне или даже тысяче вирусов лежащих в локальной папке - сами по себе они там не возникают. Интересно смотреть результаты динамического теста на реальных ссылках, ведь именно оттуда и просачиваются в основном все вирусы. Спорить не собираюсь и доказывать что-то мне не надо. Все это мое имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

отлично! но все равно потребуется готовая коллекция вредоносов. Только залита она будет не в локальную папку, а на веб-сервер, чтобы включить в "цепочку" теста больше компонентов защиты. Еще раз: для оценки эффективности каждого модуля на пути вредоносных файлов надо знать количество опасных объектов, чтобы принять его за 100. Ок, с этим все ясно.

А то подобе теста, которое я предложил, всего лишь попытка показать, что обычный тест сканера неинтересен сам по себе
Спорить не собираюсь и доказывать что-то мне не надо. Все это мое имхо.

Так все-таки хотели что-то показать, или уже не хотите?)

P.S. если есть желание, можно объединить усилия и провести такой тест

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Методологически неправильно заливать что-то на свой сервис а потом ожидать реакции веб-антивируса....

lolowin32

вы достигли цели топика. Теперь вместо того чтобы выкладывать тесты типа я нашел 100 вирусов и просканил их смотрите какой антивиурс круче вы понимаете что надо брать 100 вирусов в их родной живой среде, из надо скачивать и запускать и смотреть на результаты.

Часть поймается сигнатурами, часть-другими технологиями.

Это и будет хороший тест.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Чтобы утверждать, что "сравнение сканеров - ни о чем", надо добиться такого реультата теста:

веб-антивирус - x

эвристика - y

сканер - 0 (НОЛЬ),

что просто невозможно себе представить)

Советую начать длительную медитацию на результаты MRG Effitas Flash Test. Полагаю, что проблемы с неприятием реальности у вас постепенно улягутся сами собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
пруфлинк

Олололололо, DOS-вирусы отакуэ! Это первое. Второе - KIS и Avira в одной системе. Хочу больше сенсаций и пруфлинков!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

OlegAndr, пожалуйста опишите как Вы себе представляете процесс отлова вирусов в "родной живой среде"?

гулять по ссылкам? так долго можно гулять)))а как анализировать, как создать статистику?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
как Вы себе представляете процесс отлова вирусов в "родной живой среде"?

гулять по ссылкам? так долго можно гулять)))а как анализировать, как создать статистику?

Искать ссылки, анализировать что и как они отдают, действительно ли это вредоносы. Далее одновременно или почти одновременно заходить туда с одинаковых физических машин с разных IP адресов. Фиксировать результат. Ну и так дальше в цикле десятки сотни раз.

В начале темы есть ссылки на тесты где так делали, включая наш собственный тест на Zero-day угрозы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
OlegAndr, пожалуйста опишите как Вы себе представляете процесс отлова вирусов в "родной живой среде"?

гулять по ссылкам? так долго можно гулять)))а как анализировать, как создать статистику?

Вам написал же strat

надо в дикой природе, например каждый день задавать десяток поисковых запросов наиболее уловистых на винлоки и лазить по ссылкам с реальных или виртуальных машин с разными антивирусами, и смотреть после этого на словил/заблокировал,

Да, можно долго гулять поэтому хороший тест под силу сделать хорошей лабораотрии с некоторыми инвестициями в железо и время сотрудников. Но если заморочится то можно и в домашних условиях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×