Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения I (результаты)

Recommended Posts

Dmitry Perets
Цитата, наверное, для Dmitry Perets по поводу птички и зёрнышек и для vaber по поводу реакции.

Частный случай, но всё же:

Никто, кстати, не сомневался в профессионализме вирус-аналитиков Нортона. Если они пишут процедуру лечения, то это будет очень надежно.

Ругают их только за большие (до нескольких месяцев) запаздывания с обнаружением вирусов.

Ну вот, а я что говорил? =) Посетители форума сомневаются, но сотрудники ЛК про Нортон вполне уважительно говорят. Если хотите, могу показать ещё как минимум две положительные цитаты о Нортоне со стороны ЛК, на этот раз не от DVi (только искать придётся...). А вот "наездов" как раз не помню...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Я знал. :)

Со стороны всё всегда выглядет иначе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Да простят меня модераторы: в качестве небольшого резюме, поскольку обсуждение в основном завершилось.

1. Авторы проделали большую и полезную работу, за которую им спасибо. Как я полагаю, от всех участников обсуждения. Извините, ежели превысил полномочия.

2. В методическом аппарате - по моему неразумному мнению - есть некотрые недоработки. Прошу понять правильно - выступаю не как представитель марки, а как методист. Просто озвучу мои замечания в явном виде "на закуску". По мне тест был бы полон. если бы были созданы некоторые группы тестирования. скажем, зверей, которые умело маскируются; зверей, которые ловко защищаются; зверей, которых полон интернет (вероятность попадания за периметр новых версий Варезовых и Желатинов есть); зверей, которые просто кладут систему (скажем, GPcode или Krotten) etc.

В этом смысле работа выиграла по признакам полноты и тд. Ну и как по мне - выборка стала бы репрезентативной, да простят меня коллеги. В каждой группе сколько - тут уж стоит подумать, не думаю - учитывая трудоемкость работ - не очень много. Я надеюсь, что на вопрос SuperBrat я ответил?

3. Как рекомендация - указыватьверсии ядер тестируемых продуктов и разновидности зверей. Поскольку во многих семейчтвах трудно понять - какого все же выбрали. Это для воспроизводимости результатов.

в целом я благодарен обсуждению - повторюсь - поскольку нашел для себя массу полезного, что реально помогло сформировать свое видение проблемы. Надеюсь, что все вышесказанное не будет воспринято как нравоучение, а просто как взгляд на методический аппарат.

Поскольку результаты работы ясны, ясна и моя позиция - почему я все же настаивал на названии "проверка функционала на ограниченной выборке" - предлагаю обсуждение прекоратить. Есть смысл - по - моему - поработать именно в направлении проверок качества дезинфекции, поскольку так называемые брендовые независимые тестлабы эту тему совсем игнорируют :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Mr. Justice

кстати, от ваш. шановный , хотелось бы комментрия :lol: вы ж круой в математике, как я понял

Добавлено спустя 7 минут 29 секунд:

Именно поэтому и говорил. групп - по моему неразумному мнению в этой работе должно бвло быть больше

1. выборка "Зверей" должна репрезентативной
alexgr, а сколько надо?
Я уже написал. что и 100 будет маловато
эффективных в настоящее время методов маскировки в системе и противодействия детекту/удалению антивирусами не так много. Если назовете 100, то я готов признать, что количество играет существенное значение.
Семплы выбирались не просто так, это реально сложные случаи (кроме Pinch и Bagle пожалуй). Критиерии выбора, обсуждались здесь на форуме.
В нем мы выбрали ток 10 зловредов ... которые использую РАСПРОСТРАНЕННЫЕ методы защиты.
Т

поясните мне, тупому, что за сим стоит? ну дык всего две извилины очталось,да и последняя - :D от фуражки

Добавлено спустя 9 минут 44 секунды:

эт типа у меня, иных не обижаю :D

Добавлено спустя 9 минут 30 секунд:

иль = типа - опять Питер отаковал? Делать ему нефиг - честно! А вот с заявой - кто виноват - что делаем? То есть пишем прямым текстом фигню....Как с этим быть? катастрофа..... Отвечатьнадо, сории, за базар :)

Добавлено спустя 6 минут 1 секунду:

Стопудово - питерские.

запишите на меня, никак не задевайте венлора.

в остальном- есть что сказать юстиции?

Добавлено спустя 5 минут 13 секунд:

она ж - типа - учила? хотелось бы коммента, где, чего упустил..ну чудак просто на бкву "м" :lol: Знаете, а вот ваш рейтинг теперь надо существенно подаунить :lol:

Добавлено спустя 49 секунд:

эт честно. :lol:

Добавлено спустя 1 минуту 20 секунд:

эт честно. :lol: Иные вендоры - за преданность - скомпенсируют.... я давить не буду, но грамотный люд сделает свой выбор :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Эээ непойму или я чё-то курил сегодня не то, или какой-то бред в последнем посте..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ищем предпоследний пост - он по сути. Остальные = ответы, по формулировкам :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Выкладываю дополнительные данные по Trojan-Spy.Win32.Goldun, который использовался в тесте.

************************************

Названия по версиям некоторых вендоров вендоров:

AntiVir - TR/Spy.Goldun.NP.24

AVG PSW.Generic2.TOC

BitDefender Trojan.Spy.Goldun.BP

DrWeb Trojan.PWS.GoldSpy

Kaspersky Trojan-Spy.Win32.Goldun.np

NOD32v2 1959 Win32/Spy.Goldun.NY

Sophos Troj/Goldun-EM

VBA32 Trojan-Spy.Win32.Goldun.np

Symantec Trojan.Goldun

Aditional Information

File size: 44695 bytes

MD5: 27534ec4e1c3fa6021d615932ae4dbe4

SHA1: 47b975321629d4b20724014f2641d60adebe4606

packers: UPX

packers: UPX

trendmicro_goldun.png

symantec_goldun.png

sophos_goldun.png

bitdefender_goldun.png

avg_goldun.PNG

post-4-1172092518.png

post-1-1172092518.png

post-1-1172092519.png

post-1-1172092520.png

post-1-1172092521.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Хорошая у Нортона морда. :) Я уж и забыл, как он выглядит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Обратите внимание, что Norton при обнаружении угрозы показывает ее целиком, а не как набор каких-то файлов. Например, в случае с Trojan.Goldun вдеталях видно, что удалены 2 файла, дективирован 1 сервис и удалены временные файлы. В отчете все это идет одной строкой.

Причем так с Norton было каждый раз, что говорит о тщательной работе их вирлаба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

На данной выборке, коллеги, не более того! На иной выборке и результаты получаются иные. Весьма отличные.... Еще интереснее результаты на Коррапторе-душа порадовалась за российские продукты! Все протчие - увы! даже не детектят по сей день

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Еще интереснее результаты на Коррапторе-душа порадовалась за российские продукты! Все протчие - увы! даже не детектят по сей день

А можно ссылочку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Прочитал на других ресурсах, где идет осбуждение этого теста, отзывы, что мол не может такой отстойный продукт (Norton AntiVirus) быть лучшим, на него постоянно жалуются и вердикт - не верим :-)

Поясняю. Для теста выбирались только те зловреды, которые были известны всем тестируемым антивирусам, т.е. детектировались сигнатурно.

Многчисленные жалобы на Symantec связаны, как правило, с другим - много пропускает, что связано с низской скоростью реакции.

Но если уж он знает зловреда, то лечит его более качественно, чем все остальные, поэтому IMHO и победил в тесте. Так у них работает вирлаб, неторопливо, но качественно, видимо могут себе такой позволить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
А можно ссылочку?

на результаты? не могу, сорри! тем более обзовут предвзятыми все равно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

зря не делитесь.

не очень понятно зачем тогда вообще тестируете?

чтоб еще раз проверить чего доктор берет корректно, а чего нет?

или чтоб из под полы заказчикам результаты показывать? - но тогда можно смело показывать - все равно всплывет рано или поздно.

Все тайное становится явным:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
зря не делитесь.

не очень понятно зачем тогда вообще тестируете?

чтоб еще раз проверить чего доктор берет корректно, а чего нет?

или чтоб из под полы заказчикам результаты показывать? - но тогда можно смело показывать - все равно всплывет рано или поздно.

Все тайное становится явным:)

тестируют на самом деле все - и вендоры, и продвинутые пользователи, и просто ребята, которым это захотелось сделать... Ценность результатов адекватно тестерам - разная. Заказчики и партнеры этих результатов не видят, могу уверить. Цель теста проста - найти решение проблемы дезинфекции вредоноса, разработок неких рекомендаций и тд. Вот это и может выйти для эндюзера :) - и вот где польза для него

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest KarpovSergei

Тест был сделан под Каспера. И набор вирусов соответственный. А чтобы никто не заподозрил, Каспер парочку пропустил, не смог вылечить. ДрВэб, понятно - российский. Можно. Кроме того он не сильный конкурент разрекламированному Касперу. А кого еще в призеры? Ну конечно бесплатный Аваст. Он Касперу не конкурент в плане бизнеса. Те кто на бесплатном Авасте, даже если он и провалит тест не спрыгнут с Аваста. А кто решит перейти на платный антивирь, наверное выберут не Аваст, а другой - Каспера например, главное реклама. А вот тех кто представляет опасность для Каспера надо опустить пониже. Что и было сделано.

----------------

На форуме Аваста появилась ветка: "avast получает золотую медаль в тесте на лечение активного заражения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

И набор вирусов соответственный.
Обоснуйте, предложите свой набор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Тест был сделан под Каспера. И набор вирусов соответственный.

"Железная логика". Особенно если учитывать, что тест проводил антивирусный аналитик из компании, которая разрабатывает продукт ZoneAlarm :)

Видимо он на два фронта работает? ;)

"Свой среди чужих, чужой среди своих"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×