Перейти к содержанию
Сергей Ильин

Sophos отстраивается на тестах AV-Comparatives.org

Recommended Posts

Сергей Ильин

Давненько я не видел агрессивного маркетинга со стороны крупных антивирусных компаний, основанного на результатах тестов и их интерпретации. Sophos расчехляет тяжелую артиллерию. Вот что они говорят о себе:

sophos1.png

А по ссылке самое интересное:

http://www.sophos.com/en-us/lp/endpoint-pr...comparison.aspx

sophos2.png

Sophos Endpoint Protection keeps your users secure without slowing them down. We're a leader in the latest AV-Comparatives performance test with one of the lowest system impact scores for tasks like launching programs and files.

Отстройка по скорости работы - классика жанра. Но в данном случае сразу замечаешь, что с данными не все в порядке. На первом скриншоте говорится, что Sophos #1. Далее на промо-странице видно, что рулит на самом деле Eset. Да и Касперский имеет с Sophos одинаковые результаты. :)

sophos3.png

А теперь первоисточник для того, чтобы можно было оценить маневры по интерпретации результатов теста. В общем то в Sophos взяли итоговый график, но дальше странным образом результаты стали меняться. И в рассылку пошел откровенное вранье, бывает :)http://www.av-comparatives.org/wp-content/...r_201410_en.pdf

post-4-1421159066_thumb.png

post-4-1421159168_thumb.png

post-4-1421159479_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сергей, это не вранье, а очень умелая интерпретация данных, а также быстрота и ловкость рук: рассылка и инфа на сайте построены просто на разных тестах (разных месяцев), то, что на первом скрине построено вот на этом отчете, где видно, что Sophos на первом месте (если его брать за точку отсчета), ЛК на 4 (считаем от точки отсчета), AVG на 7 (тут надо считать теперь от начала), Symantec на 9 (от начала), McAfee на 21 (от начала). Т.е первый скриншот с номерами мест как бы и верен.

Непонятно одно - почему не поставили авиру на 22 место (можно было от конца посчитать). :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Threat#47

Тут многое не понятно, Panda и Symantec тяжелее Касперского? Ну это невозможно, что за методология такая чудная?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Мое мнение по быстродействию. Если AVG быстрее, чем Avast и Emsisoft, то у него просто меньше сигнатур в базах. И у Касперского их явно больше, чем у тех 3, что быстрее его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Некорректно считать сигнатуры. Чтобы это понять нужно обратиться к истокам и разобраться что такое сигнатура. Она может накладываться на один сампл (по старинке), а может на все семейство похожих образцов. Что вы тогда будете сравнивать? У Аваста может быть 1000 сигнатур, а у Доктор Веб - 1, но эта одна может в итоге детектировать больше различных самплов вредоносных программ.

 

А есть еще эвристика (тоже сигнатуры, только другие) и поведенческий анализ (сигнатуры поведения).

 

Поэтому так некорректно говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

поведенческий анализ (сигнатуры поведения)

У кого-то могут быть действительно сигнатуры проактивной защиты. Если запустить 1 троян 5 раз за год, то его может вендор добавить в такой детект.

А про Доктор Веб - у него на 5 файлов будет детект Win32.HLLW.Agobot, файлы точно делают разные действия. Мой AVG даст им названия Worm/Agobot.11.H, 36.AD, 36.AE, 7.AO или 7.AP. Причем 36 и 36, 7 и 7 - будут разные действия. Ещё на 6 будет тот же детект (всех словит проактивка, действия похожие у этих 6).

А может быть такой червь, который при запуске установщика без интернета вообще ничего не делает, не оставляет никаких следов - ни лишних файлов, ни записей в реестре?

Самая странная эвристика (примеры):

1)Определен бессвязный набор символов WM/Stryx.Dropped

2)Возможно заражение неизвестным вирусом

3)Подозрение: неизвестный вирус .EXE.COM

И так идет детект на 6-13% вирусов из наборов, где не все удалил Др.Веб (то есть. из того, что осталось после него). Обычно это варианты  BAT/Formatx, из прочих фалов работает 1 из 1200 образцов, ещё 1 записывает в себя бесконечность раз свою копию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

bat/formatx - сурово!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

bat/formatx - сурово!

А вдруг такой сработает на какой-то ОС с каким-то антивирем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×