Перейти к содержанию
OlegAndr

Что такое хороший тест антивируса?

Recommended Posts

lolowin32

"Искать ссылки, анализировать что и как они отдают, действительно ли это вредоносы"

Скажите пожалуйста сколько у Вас ушло времени на поиск таких вредоносных ссылок?

"Ну и так дальше в цикле десятки сотни раз"

мусоля одну и ту же ссылку? или как?

OlegAndr, да так можно лет 700 гулять по ссылкам и ничего не найти,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Потому есть умные люди, которые получают деньги за тестирование. А есть не очень умные, которые проверяют на папках многолетней давности. И есть совсем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vashl

А есть и........, любители, которые проверяют всё подряд. А, до и потом, читают рассуждения о правильности того или иного действия

Отредактировал vashl

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
умные люди, которые получают деньги за тестирование

Umnik, что характерно - Вы сами не поняли, что сказали, но сказали очень правильно!) вот поэтому-то и хотелось бы провести независимый тест)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Umnik, что характерно - Вы сами не поняли, что сказали

1288025951844.jpg

post-3736-1346911971.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
1288025951844.jpg

Umnik, давайте не будем уходить от темы, даже если кому-то нравятся чернокожие парни, мы тут обсуждаем другие вопросы)

Теперь по существу. Тут многие (или один из-под нескольких аккаунтов?) пытаются доказать, что тест сканера и сигнатурной базы не имеет права на существование. Я уже привел несколько аргументов (выше). Ответом на них были разные шутки-прибаутки вроде "ололо" и тому подобного, понятно, нечего ответить.

Постараюсь показать свою позицию на отвлеченном примере, как для детей.

Представьте, что кто-то говорит: "Краш-тесты автомобилей, где они врезаются в неподвижный бетонный блок - это профанация, так как в жизни такого не бывает! На дорогах не валяются бетонные кирпичи! Чтобы протестировать безопасность автомобиля, надо ездить по городу и врезаться в разные машины, потому что это реальная ситуация". Это бред, не так ли?

Надеюсь, хотя бы на образном примере вам станет понятна ущербность вашей критики)

А ведущие антивирусные лаборатории как делали сигнатурные тесты, так и делают. Думаю, что им как раз виднее!)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Постараюсь показать свою позицию на отвлеченном примере, как для детей.

То есть, вы полагает, что люди, уже давно и продуктивно работающие в отрасли безопасности, понимают в неё не больше, чем дети? Серьёзное заявление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

я с уважением отношусь к этому форуму и его компетентным участникам, но давайте не будем относить к ним тех, кто на аргументы может ответить только "хи-хи" и картинками с неграми, от Вас ни одного конструктивного поста в этой теме не увидел. Я полагаю, что говоря - люди

уже давно и продуктивно работающие в отрасли безопасности
- вы явно имели в виду не себя.

Несколько адекватных мнений, высказанных в этой теме, я заметил и кое с чем согласился даже) Было бы их побольше - вообще было бы здорово. А вы - давайте, попридирайтесь к словам. Я лично для Вас оставил орфографическую ошибку, налетайте)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

lolowin32

Я посмеялся, НО.

Умник правильно сказал, все ведущие лабы делают сейчас разные динамические тесты. Кто-то лучше, кто-то хуже, но ВСЕ. Да это стоит как я сказал времени и денег.

У AV-comparatives стоит ферма реальных железных машин с разными AV, которые по команде проходит по вредоносной ссылке как только она обнаружена в инете....

Это инвестиции.

Конечно они не отказываются от теста коллекции - зарядить On-demand тест на пару дней, а то и неделю по сравнению с этим не так сложно, а на результаты кто-то всё еще смотрит.

То что вендорам потом приходится анализировать тысячи пропусков и давать ответы по по реальной их вредоносности- проблемы вендоров.

Ито если коллекция изначально трешовая, то вендоры и время не будут тратить на ее детальный разбор, поэтому и отношения в доморощенным тестам такое....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32

OlegAndr, спасибо за мнение! Как думаете, где лучше брать заслуживающие доверия (и актуальные) коллекции вредоносов? Найти не так уж просто, как и оценить их пригодность. Не отрицая авторитет лабораторий, все же не хотелось бы отказыаться от "доморощенных", как вы говорите, тестов - доверять хорошо, но перепроверить по возможности тоже хочется)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Представьте, что кто-то говорит: "Краш-тесты автомобилей, где они врезаются в неподвижный бетонный блок - это профанация, так как в жизни такого не бывает! На дорогах не валяются бетонные кирпичи! Чтобы протестировать безопасность автомобиля, надо ездить по городу и врезаться в разные машины, потому что это реальная ситуация". Это бред, не так ли?

Конечно бред, как и аналогия. В этом случае краш тест абсолютно реален т.к. результат столкновения с блоком, а то и с реальной машиной поставленной вместо блока (а ведь и так тестируют) абсолютно применим к реальности - скорость столкновения и угол атаки машины на твердое или разрушающееся препятствие дает высочайшую точность в прогнозе реального столкновения. Если авто столкнулось в лобовую в бетонный блок и смяло всю переднюю часть, то на улице, если эта же марка авто столкнется с кирпичной стеной результат будет идентичен. Потому и тесты до сих пор проводят, ведь стенки и столбы все еще на дороге, значит результаты АКТУАЛЬНЫ.

Мы же ведем речь о тестах, результаты которых неактуальны просто в силу методики теста. Давайте уж доведем до абсурда тест на коллекциях. Предположим, что какая-нибудь вирусная лаборатория каждый день ловит 10 000 вирусов и складывает их в папку нумеруя датой сбора, вирусы не повторяются, каждый день уникальные. Дальше, по прошествии 2 лет, берется антивирус, натравливается на эту папку, и получается результат, да хоть какой угодно, хоть 100% хоть 99, хоть 80. Неважно!

И вот скажите, много ли толку, в выборе антивируса по такому тесту устаревшей коллекции? Ну узнали вы, что вирусы двухлетней давности он ловит, а вам то надо сейчас лезть в интернет, и встретиться с сегодняшними угрозами.

А вирусы в коллекциях бывают и постарше, чем 2 года ....

Отсюда вывод, либо тестить в реальном времени, как, писал выше, либо коллекции максимум недельной давности. И каждую неделю тестировать, чтобы динамика была видна.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Конечно бред, как и аналогия. В этом случае краш тест абсолютно реален т.к. результат столкновения с блоком, а то и с реальной машиной поставленной вместо блока (а ведь и так тестируют) абсолютно применим к реальности - скорость столкновения и угол атаки машины на твердое или разрушающееся препятствие дает высочайшую точность в прогнозе реального столкновения. Если авто столкнулось в лобовую в бетонный блок и смяло всю переднюю часть, то на улице, если эта же марка авто столкнется с кирпичной стеной результат будет идентичен. Потому и тесты до сих пор проводят, ведь стенки и столбы все еще на дороге, значит результаты АКТУАЛЬНЫ.

Мы же ведем речь о тестах, результаты которых неактуальны просто в силу методики теста. Давайте уж доведем до абсурда тест на коллекциях. Предположим, что какая-нибудь вирусная лаборатория каждый день ловит 10 000 вирусов и складывает их в папку нумеруя датой сбора, вирусы не повторяются, каждый день уникальные. Дальше, по прошествии 2 лет, берется антивирус, натравливается на эту папку, и получается результат, да хоть какой угодно, хоть 100% хоть 99, хоть 80. Неважно!

И вот скажите, много ли толку, в выборе антивируса по такому тесту устаревшей коллекции? Ну узнали вы, что вирусы двухлетней давности он ловит, а вам то надо сейчас лезть в интернет, и встретиться с сегодняшними угрозами.

А вирусы в коллекциях бывают и постарше, чем 2 года ....

Отсюда вывод, либо тестить в реальном времени, как, писал выше, либо коллекции максимум недельной давности. И каждую неделю тестировать, чтобы динамика была видна.

По этому многие пользователи и моделируют такие ситуации, отчасти приближенные к реальности забывая о других технологиях, по сути сканирование на основе антивирусных сигнатур самое простое (не нужно бороздить просторы интернета в поисках НОВЫХ вредоносов), но и говорить что это треш, тоже не стоит.А вот если сделать адекватный тест, как Вы все в один голос твердите, еще пока никто не сделал, по одной простой причине - гробить туеву хучу времени, да так можно пол жизни сидеть и копать в инете, пока яйца не посидеют

Предположим, сравнили два антивируса, у одного 100/100 у другого 80/100, так вот, тот что второй он может и не пропустить извне вреденос, да хоть и самый старый(как говорится с него взятки гладки), а если пропустил(не извесно про каким причинам) - пишите письма! Вот я и подошел к сути, у кого больше антивирусная база - тот и папа, а вычислять фолс или нет это уже дело разработчиков

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Представьте, что кто-то говорит: "Краш-тесты автомобилей, где они врезаются в неподвижный бетонный блок - это профанация, так как в жизни такого не бывает! На дорогах не валяются бетонные кирпичи! Чтобы протестировать безопасность автомобиля, надо ездить по городу и врезаться в разные машины, потому что это реальная ситуация". Это бред, не так ли?

Надеюсь, хотя бы на образном примере вам станет понятна ущербность вашей критики)

На этом образном примере, мне кажется, вы показали ущербность вашей любви к тестам сигнатурных движков. Вы проводите краш-тест во дворе со стареньким жигуленком и судите о безопасности по визуальной целостности манекена. Но не понимаете, что манекен мог "умереть" от перелома шейных позвонков или внутреннего кровоизлияния :)

Хотя есть и любительские краш-тексты. Когда кто-то рассказывает как он влетел на своем авто в лобовую, долго лечился и что было с тачкой. Имеет право на жизнь, для кого-то познавательно, наверное :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Вы проводите краш-тест во дворе со стареньким жигуленком

Я знал, что многие не жалуют антивирус Касперского, но чтобы настолько...

Браво, зачет))

Хотя есть и любительские краш-тексты

Любительские - не значит непрофессиональные, скорее - независимые. Не так?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Любительские - не значит непрофессиональные, скорее - независимые. Не так?

не так. И вы сами это отлично понимаете. Непрозрачность коллекции, отсутствие проверки на "тушки", дропперы без тела вредоноса.... Можно продолжать долго, но суть от этого не меняется.

Второе - что проверяется - детект? Удаление? восстановление системы после заражения? ИМХО, детект - " просто так" мало что показывает.

Теперь смотрим на "любительские тесты" - большинство построено на непонятной коллекции и детекте "просто так"

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
Я знал, что многие не жалуют антивирус Касперского, но чтобы настолько...

И с ассоциациями у вас тоже не ахти :facepalm:

Любительские - не значит непрофессиональные, скорее - независимые. Не так?

Продолжу ассоциациативный ряд

Независимые - это те, от которыех ничего не зависит? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
И с ассоциациями у вас тоже не ахти

Отлично, Теперь Сравните Ответ C Источником)

детект - " просто так" мало что показывает.

Детект показывает детект. Ваш Капитан Очевидность)

большинство построено на непонятной коллекции

А где хранятся и как отличаются "понятные" коллекции? может, у Вас есть критерии понятности/непонятности коллекций, и вы готовы ими поделиться?)

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Детект показывает детект. Ваш Капитан Очевидность)

даешь много тестов, чем больше - тем лучше. Капитан Очевидность, это ваш лозунг?

Тепрь по порядку. Детект сам по себе мало что показывает. Например, когда НОД32 (сорри, Виталик!) детектил вредоноса, но ничего с ним сделать не мог и предлагал сходить на сайт Макафи. "Чудесное" решение, не правда ли? Второе - во входном потоке есть детект (о, чудо!) - действие АВ продукта - блокировать, лечить, удалить? Тест на детект не дает ответа на этот вопрос. А Капитан Очевидность ответит - но это же элементарно!

Второе - коллекции собираются долго, очищаются кропотливо от "тушек", веток реестра, "чистых" дропов. У меня есть такая, хотя и неактуальная -нет времени пополнять ее. И кому я должен подарить свой труд? Вам? Это вряд ли. То есть "понятность" коллекции чаще всего понятна специалистам. А всякие "греческие" тесты на коллекции, происхождение которой даже пояснить не могут, не то, что рассказать, что в ней есть - это "хороший" тест на детект, который вот мне ничего не говорит, какие бы рейтинги продуктам в нем не ставили

Даже не хочу растекаться мыслью по древу о false positive, false negative.

Так что, Кэп, вы сами себе противоречите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
даешь много тестов, чем больше - тем лучше. Капитан Очевидность, это ваш лозунг?

Вовсе нет! Скорее - даешь много тестов, хороших и разных!

Объясню.

Я не сторонник исключительно сигнатурного теста - каждая методика, которая позволяет сделать объективное сравнение (как продуктов в целом, так и отдельных модулей) имеет право на существование! вот что я хочу сказать!

У меня есть такая, хотя и неактуальная

Вопросов нет. Тем более, что она - как я понял - самодельная, а значит, говоря вашим языком, "непонятная". А мне нужна "понятная". Понятно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Вопросов нет. Тем более, что она - как я понял - самодельная, а значит, говоря вашим языком, "непонятная". А мне нужна "понятная". Понятно?

Капитан Очевидность, вы снова порете чушь. Она - самодельная, но за каждый вредонос я там готов отчитаться...Все 14500 вредносов там учтены, проверены - от источника до вида, в котором представлены - файлы разных форматов, базы данных, почтовые базы разных форматов, и т.д. Тушек нет, веток рееестра нет. И я ей делюсь - если надо, с теми, кто занимается этим профессионально. Я теперь занимаюсь другим направлением безопасности, потому на это стало не хватать времени. Хотя - если попадаются интересные сэмплы - я делюсь с некоторыми вирлабами

Вовсе нет! Скорее - даешь много тестов, хороших и разных!

Объясню.

Я не сторонник исключительно сигнатурного теста - каждая методика, которая позволяет сделать объективное сравнение (как продуктов в целом, так и отдельных модулей) имеет право на существование! вот что я хочу сказать!

Смею вам заметить, что вы говорите много и не по существу. Вы тут отстаиваете сигнатурный тест на детект. Потому Выражайтесь яснее как минимум. И почитайте как минимум ГОСТ по испытаниям - может, что нибудь станет яснее. Хотя бы один. И по методикам проведения испытаний

например, отсутствие детекта cascade1702 или mirror - это опасно? А в коллекциях Васи Педалькина, "собранной на разных сайтах интернета" они есть? У Васи я могу запросить сэмплы, которые продукт %vendorName% пропустил? Сказать ответ - НЕТ. У Андреаса Маркса вы их не получите! А просчитать репрезентативность коллекции у Васи вообще невозможно....

Но в целом я не понимаю, что вы здесь пытаетесь доказать, пытаясь съехать с одного тезиса на другой.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Она - самодельная, но за каждый вредонос я там готов отчитаться

мамой клянусь, да?) при всем уважении, этого недостаточно, чтобы считать коллекцию пригодной) как минимум, она должна быть публично доступной для рассмотрения всеми заинтересованными лицами, и иметь какую-то сопроводительную записку, где указано - как собиралась, как и когда обновлялась, и этот самый "отчет" за каждый вредонос... тогда - никаких сомнений!

Но в целом я не понимаю, что вы здесь пытаетесь доказать, пытаясь съехать с одного тезиса на другой.....

у меня тут один и тот же тезис на протяжении всей темы, почитайте внимательно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

мамой клянусь, да?) при всем уважении, этого недостаточно, чтобы считать коллекцию пригодной) как минимум, она должна быть публично доступной для рассмотрения всеми заинтересованными лицами, и иметь какую-то сопроводительную записку, где указано - как собиралась, как и когда обновлялась, и этот самый "отчет" за каждый вредонос... тогда - никаких сомнений!

Кэп, снова чушь написана. Она была доступна аналитикам и не раз просматривалась именно вирусными аналитиками. А в паблике она не появится НИКОГДА, хотя бы потому, что это есть нарушение законодательства. Вот ведь незадача, капитан Очевидность?

у меня тут один и тот же тезис на протяжении всей темы, почитайте внимательно)

То защита сигнатурных тестов на детект, то - даешь много тестов - ХОРОШИХ и разных.... Это не одно и то же, Кэп. Последнее пояснение - сигнатура отстает от появления вредоноса в паблике минимум на три компьютера - зараженный, комп аналитика (или автодятел) и сервер обновлений. Какое время займет сия процедура? Как нам быть с зеродеями и винлоками? Сигнатурное лечение винлока - к примеру - появилось на следующий день, а человек уже раздуплился на помощь спеца. Интересно ли ему появление сигнатурного детекта? Второе - да, сигнатурно детектит. Но способен ли восстановить зараженную систему (вылечить то бишь)? Упс...ответа на этот вопрос нет... И таких тезисов море. Еще - это репрезентативность коллекции, на которой тестят. Я про свою говорю - устарела. Заметили? А кто ответит за коллекции имени Пети Педерашка (прошу прощения, если среди читателей есть человек с таким именем, ничего личного), "собранные на просторах интернета"? Вы? VB оперирует коллекцией ITW, ценность которой сейчас для меня не очевидна, но когда то это было хорошо. Там есть персоны, которые отвечают за актуальность. К примеру, от России там был Е.В. Касперский, что дает гарантии этому набору

Так что замечу, что пока кроме моря чуши вы здесь ничего не написали. Особенно повеселила "какая - то сопроводительная записка".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Она была доступна аналитикам и не раз просматривалась именно вирусными аналитиками. А в паблике она не появится НИКОГДА, хотя бы потому, что это есть нарушение законодательства

Оборжаться)) Переведу на простой язык - "у меня есть базы, но я вам их не покажу, потому что я избранный, и делюсь инфой с такими же избранными, а вы, уважаемые пользователи, верьте нашим тестам - хавайте, что дают! И не пытайтесь нас проверить, и тем более - самим что-то делать!)

А все "домашние" тесты - фуфло, потому что делаются на "непонятных" базах. А "понятные" базы мы вам не дадим, потому что вы быдло и не лезьте не в свое дело".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Оборжаться)) Переведу на простой язык - "у меня есть базы, но я вам их не покажу, потому что я избранный, и делюсь инфой с такими же избранными, а вы, уважаемые пользователи, верьте нашим тестам - хавайте, что дают! И не пытайтесь нас проверить, и тем более - самим что-то делать!)

А все "домашние" тесты - фуфло, потому что делаются на "непонятных" базах. А "понятные" базы мы вам не дадим, потому что вы быдло и не лезьте не в свое дело".

Чтобы закончить - потому как аргументов у вас нет и вы просто тролль. Напоследок -

1. Берете УК РФ или там Украины и внимательно изучаете статьи про распространение вредоносных кодов.

2. Не верьте никаким тестам - делайте их сами! Кто такой Андреас Маркс или там Андреас Клементи - во, я нарыл коллекцию и у меня вот такие крутые результаты.... Только вы потеряетесь на фоне всех прочих, таких же "тестеров", которые даже входные и выходные результаты обработать не смогут....

3. Запросите у тестера из Греции или на всяких там левых сайтах без прямых контактов (здесь такие "тестеры" возникали, поройтесь - мне это не надо) - сэмплы пропущенных зверьков..... А я пойду за пивом с попкорном.

4. А зачем вы сюда, собственно, пришли? потроллить? Кэп, вся ваша пурга не стоит того времени, которое вы тратите на ее написание. Про сигнатурные тесты на детект вам уже все объяснили люди, известные в этой индустрии. Если вы их не знаете = это ваш минус

5. И помните - кошке абсолютно наплевать, что о ней думают серые мышки

С вами скучно

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lolowin32
Чтобы закончить - потому как аргументов у вас нет и вы просто тролль

как просто вы хотите уйти от дискуссии)

Запросите у тестера из Греции

тестер из греции - что это мем какой-то местный? что означает?)

Про сигнатурные тесты на детект вам уже все объяснили люди, известные в этой индустрии.

Да, а британские ученые недавно выяснили...)

И помните - кошке абсолютно наплевать, что о ней думают серые мышки

Опять этот элитизм, который виден и из других постов) Браво, именно так надо относиться к простым пользователям) Внимайте и не рыпайтесь)

С вами скучно

Лично с вами мне - тоже)

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
    • PR55.RP55
      После запуска: на: uVS v4.11.7 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] Программа просто зависла. ( Анализ Автозапуска... ) После перезагрузки системы - программа запустилась нормально...      
    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
×