Sophos отстраивается на тестах AV-Comparatives.org

[Сергей Ильин 1538]

Давненько я не видел агрессивного маркетинга со стороны крупных антивирусных компаний, основанного на результатах тестов и их интерпретации. Sophos расчехляет тяжелую артиллерию. Вот что они говорят о себе:

А по ссылке самое интересное:

http://www.sophos.com/en-us/lp/endpoint-pr...comparison.aspx

Sophos Endpoint Protection keeps your users secure without slowing them down. We're a leader in the latest AV-Comparatives performance test with one of the lowest system impact scores for tasks like launching programs and files.

Отстройка по скорости работы - классика жанра. Но в данном случае сразу замечаешь, что с данными не все в порядке. На первом скриншоте говорится, что Sophos #1. Далее на промо-странице видно, что рулит на самом деле Eset. Да и Касперский имеет с Sophos одинаковые результаты.

А теперь первоисточник для того, чтобы можно было оценить маневры по интерпретации результатов теста. В общем то в Sophos взяли итоговый график, но дальше странным образом результаты стали меняться. И в рассылку пошел откровенное вранье, бывает http://www.av-comparatives.org/wp-content/...r_201410_en.pdf

[priv8v 960]

Сергей, это не вранье, а очень умелая интерпретация данных, а также быстрота и ловкость рук: рассылка и инфа на сайте построены просто на разных тестах (разных месяцев), то, что на первом скрине построено вот на этом отчете, где видно, что Sophos на первом месте (если его брать за точку отсчета), ЛК на 4 (считаем от точки отсчета), AVG на 7 (тут надо считать теперь от начала), Symantec на 9 (от начала), McAfee на 21 (от начала). Т.е первый скриншот с номерами мест как бы и верен.

Непонятно одно - почему не поставили авиру на 22 место (можно было от конца посчитать).

[Threat#47 8]

Тут многое не понятно, Panda и Symantec тяжелее Касперского? Ну это невозможно, что за методология такая чудная?

[Виктор Коляденко 6]

Мое мнение по быстродействию. Если AVG быстрее, чем Avast и Emsisoft, то у него просто меньше сигнатур в базах. И у Касперского их явно больше, чем у тех 3, что быстрее его.

[Сергей Ильин 1538]

Некорректно считать сигнатуры. Чтобы это понять нужно обратиться к истокам и разобраться что такое сигнатура. Она может накладываться на один сампл (по старинке), а может на все семейство похожих образцов. Что вы тогда будете сравнивать? У Аваста может быть 1000 сигнатур, а у Доктор Веб - 1, но эта одна может в итоге детектировать больше различных самплов вредоносных программ.

 

А есть еще эвристика (тоже сигнатуры, только другие) и поведенческий анализ (сигнатуры поведения).

 

Поэтому так некорректно говорить.

[Виктор Коляденко 6]

поведенческий анализ (сигнатуры поведения)

У кого-то могут быть действительно сигнатуры проактивной защиты. Если запустить 1 троян 5 раз за год, то его может вендор добавить в такой детект.

А про Доктор Веб - у него на 5 файлов будет детект Win32.HLLW.Agobot, файлы точно делают разные действия. Мой AVG даст им названия Worm/Agobot.11.H, 36.AD, 36.AE, 7.AO или 7.AP. Причем 36 и 36, 7 и 7 - будут разные действия. Ещё на 6 будет тот же детект (всех словит проактивка, действия похожие у этих 6).

А может быть такой червь, который при запуске установщика без интернета вообще ничего не делает, не оставляет никаких следов - ни лишних файлов, ни записей в реестре?

Самая странная эвристика (примеры):

1)Определен бессвязный набор символов WM/Stryx.Dropped

2)Возможно заражение неизвестным вирусом

3)Подозрение: неизвестный вирус .EXE.COM

И так идет детект на 6-13% вирусов из наборов, где не все удалил Др.Веб (то есть. из того, что осталось после него). Обычно это варианты  BAT/Formatx, из прочих фалов работает 1 из 1200 образцов, ещё 1 записывает в себя бесконечность раз свою копию.

[priv8v 960]

bat/formatx - сурово!

[Виктор Коляденко 6]

bat/formatx - сурово!

А вдруг такой сработает на какой-то ОС с каким-то антивирем?