Перейти к содержанию
vaber

Сравнение эвристиков Нода и Касперского (бета)

Recommended Posts

vaber

Известно, что LK выпустила версию антивируса с новым эмулятором.

Решил сравнить 2 эвристика - антивируса Нод32 и Касперского.

Для сравнения была взята выборка в количестве 418 вирусов.

В ноде в сканере по требованию была включена эвристика, поддержка самораспаковывающихся архивов, пакеров и потенциально опасных программ. В Касперском настройки эмулятора на максимум.

В результате после проверки каталога, содержащего вирусы Нодом осталось 230 файлов. После проверки Касперским - 286

Итого:

Нод обнаружил 44,98% вирусов

Касперский обнаружил 31,58% вирусов

Отмечу, что данный результаты приблизительны, т.к. слишком мала выборка. Более точные результаты можно будет увидеть на майском тесте av-comparatives.org (Retrospective/ProActive Test). И все-таки можно судить о повышении качества эмулятора в Касперском. Тем более он находиться еще на стадии бета-тестирования.

Мне результаты понравились - это очень хороший результат для беты.

З.Ы. Базы у нода за 11 ноября 2006 года.

Несколько вирусов Касперский детектировал сигнатурно - они пропускались и не учитывались как обнаруженные.

log.zip

log.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Причем что интересно - у ЛК алерты чисто эвристика а у нода алерты на поведение характерное конкретному вирусу а не чисто эвристические.

Тоесть то что ловит эвристик КЛ не обязательно поймает НОД т.к возможно у него небудет набора правил для классификации зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mylord

Учитывая то, что до недавнего времени KAV был обычным сигнатурным анализатором, появление в нем эвристики нельзя не приветствовать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

До недавнего времени KAV был сигнатурным анализатором и поведенческим эвристиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Итого:

Нод обнаружил 44,98% вирусов

Касперский обнаружил 31,58% вирусов

Хорошие результаты, особенно у Nod32 - примерно каждый второй вирус ловится эвристиком.

vaber, напиши плиз для достоверности результатов про происхождение коллекции, это российский ITW?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Хорошие результаты, особенно у Nod32 - примерно каждый второй вирус ловится эвристиком.

vaber, напиши плиз для достоверности результатов про происхождение коллекции, это российский ITW?

Угу. Эвристик Нода является лучшим.

Что касается "коллекции" - то она собрана различными способами - на форумах, с компьютеров жертв, выделенные для тестов и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
...

Мне результаты понравились - это очень хороший результат для беты.

З.Ы. Базы у нода за 11 ноября 2006 года.

Несколько вирусов Касперский детектировал сигнатурно - они пропускались и не учитывались как обнаруженные.

А почему базы НОДа такие старые? Ведь эвристик у НОДа обновляется. На сегодня, скажем версия эвристика:

Информация антивирусной системы NOD32

Версия вирусной базы данных: 2165 (20070403)

Датирована: 3 апреля 2007 г.

Сборка вирусной базы данных: 9488

Информация о поддержке других частей сканера

Версия расширенного модуля эвристики: 1.056 (20070317)

Сборка расширенного модуля эвристики: 1149

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А почему базы НОДа такие старые? Ведь эвристик у НОДа обновляется.

Такой инсталлятор на руках был. В принципе попробую скачать сейчас свежий Нод и проверить. Заодно увидим, насколько стал лучше за это время эвристик у Нода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А почему базы НОДа такие старые? Ведь эвристик у НОДа обновляется.

Такой инсталлятор на руках был. В принципе попробую скачать сейчас свежий Нод и проверить. Заодно увидим, насколько стал лучше за это время эвристик у Нода.

Инсталлятор новый скорее всего не нужен, если версия НОДа 2.70.25. Просто обновите базы на текущее число. Эвристик обновляется вместе с базами, хотя в последнюю неделю была видимо перепаковка базы. Обновление будет большим. 5-6Мб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Инсталлятор новый скорее всего не нужен, если версия НОДа 2.70.25. Просто обновите базы на текущее число. Эвристик обновляется вместе с базами, хотя в последнюю неделю была видимо перепаковка базы. Обновление будет большим. 5-6Мб.

там у меня 2.51.30 была. И сейчас качаю триалку с eset.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Кстати, сегодняшний вариант Stration.XW обнаружен эвристиком НОД32. Но поскольку на вирустотал KAV четвертой версии, то неизвестно как сработал эристик новый KAV.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Провел проверку папки с теми же вирусами Нодом 2.70.32 с базами от 30 марта сего года.

Обнаружено эвристиком 71,53% вирусов (в каталоге осталось 119 файлов).

Результат - отличный. Правда большинство детекта - как модификация какого-то образца.

Хотелось бы провести проверку эвристика на нераспространенных образцах (то есть без почтовых червей, пинчей - того чего много модификаций). Результат уверен будет ниже.

Но такой результат впечатляет.

Добавлено спустя 1 минуту 31 секунду:

Кстати, сегодняшний вариант Stration.XW обнаружен эвристиком НОД32. Но поскольку на вирустотал KAV четвертой версии, то неизвестно как сработал эристик новый KAV.

Если есть желание - пришлите в личку. Я проверю Касперским с эмулем и сообщу результат.

Nod.rar

Nod.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Итого:

Нод обнаружил 71,53% (при обновленном эвристике)

Касперский обнаружил 31,58%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Провел проверку папки с теми же вирусами Нодом 2.70.32 с базами от 30 марта сего года.

Обнаружено эвристиком 71,53% вирусов (в каталоге осталось 119 файлов).

Результат - отличный. Правда большинство детекта - как модификация какого-то образца.

Это как раз показатель несигнатурного метода детектирования. Посмотрите личное сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Посмотрите личное сообщение.

Спасибо. Проверил - Касперский эвристиком его не детектирует. Сигнатурно - Email-Worm.Win32.Warezov.ms

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Посмотрите личное сообщение.

Спасибо. Проверил - Касперский эвристиком его не детектирует. Сигнатурно - Email-Worm.Win32.Warezov.ms

Возможно, разработчики не стали делать эвристическое детектирование Warezov, потому что он и так ловится поведенческим анализатором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

...

Мне результаты понравились - это очень хороший результат для беты.

З.Ы. Базы у нода за 11 ноября 2006 года.

Несколько вирусов Касперский детектировал сигнатурно - они пропускались и не учитывались как обнаруженные.

А почему базы НОДа такие старые? Ведь эвристик у НОДа обновляется. На сегодня, скажем версия эвристика:

Информация антивирусной системы NOD32

Версия вирусной базы данных: 2165 (20070403)

Датирована: 3 апреля 2007 г.

Сборка вирусной базы данных: 9488

Информация о поддержке других частей сканера

Версия расширенного модуля эвристики: 1.056 (20070317)

Сборка расширенного модуля эвристики: 1149

Все это прекрасно, но тест эвристика проводится для того, чтобы понять насколько эвристик способен поймать новые для него угрозы.

Докрутка же эвристика и его постоянное обновление по своей сути ничем не отличается от обновления сигнатур,т.к.это обновление эвристика - это ответ на появление каких-то новых угроз. А условие теста - продукт не знает ничего о новых угрозах.

Т.е. что происходит.Появляется новый червяк. Нод32 его эвристиком не ловит. Нодовцы чешут репу, докручивают эвристик,выпускают его обновление, после чего продукт начинает червяка ловить. Но пока это обновление эвристика не выпущено - пользователь по-прежнему без защиты.

Таким образом Клименти делает абсолютно правильно, когда использует антиврусы у которых не обновлены базы(нет ни обновления сигнатур, ни обновления эвристиков). В результате тест показывает что реально способен поймать продукт новенького, пока его не напичкали обновлениями сигнатур и эвристков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Кстати интересен также вопрос фолсов.

в последнем тесте VB100% Eset проиграл в частности из-за фолсов эвристика

VB1006.JPG

post-10-1175611031.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Все это прекрасно, но тест эвристика проводится для того, чтобы понять насколько эвристик способен поймать новые для него угрозы.

Докрутка же эвристика и его постоянное обновление по своей сути ничем не отличается от обновления сигнатур,т.к.это обновление эвристика - это ответ на появление каких-то новых угроз. А условие теста - продукт не знает ничего о новых угрозах.

Т.е. что происходит.Появляется новый червяк. Нод32 его эвристиком не ловит. Нодовцы чешут репу, докручивают эвристик,выпускают его обновление, после чего продукт начинает червяка ловить. Но пока это обновление эвристика не выпущено - пользователь по-прежнему без защиты.

Таким образом Клименти делает абсолютно правильно, когда использует антиврусы у которых не обновлены базы(нет ни обновления сигнатур, ни обновления эвристиков). В результате тест показывает что реально способен поймать продукт новенького, пока его не напичкали обновлениями сигнатур и эвристков.

В данном случае Касперский с эвристиком выпущен 30 марта (соответственно и эвристик). Поэтому я и Нода решил взять свежего (у него база эвристики тож за 30 марта), чтобы были в равных условиях.

Да и обновление эвристика - это нормально.

Добавлено спустя 26 минут 59 секунд:

Добавлю. Если изменить настройки эмулятора в Касперском, то результат получается лучше.

На этих же 418 образцах: найдено 176 файлов.

И того Касперский обнаружил 42,11%

kis.rar

kis.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Провел проверку папки с теми же вирусами Нодом 2.70.32 с базами от 30 марта сего года.

Обнаружено эвристиком 71,53% вирусов (в каталоге осталось 119 файлов).

Результат - отличный. Правда большинство детекта - как модификация какого-то образца.

Это как раз показатель несигнатурного метода детектирования. Посмотрите личное сообщение.

Протестую :)

Как работает эвристик нода..

Он работает по 2м принципам.

1. Плохо изучен поэтому предпологаю что у нода есть нескольно очень обобщенных наборов правил для результатов эмуляции и на основании этих правил он выводит Probably NewHeur_PE virus..

2. Когда к есет попадает экземпляр вируса - червя.. его анализируют и создают набор правил для конкретного зверя. Теперь в идеале все последуюшщие версии этого семейства могут ловится по этим правилам. НО! Если выйдет новый червь то эвристика нода с очень большой степенью вероятности обломается. Чего собственно мы и увидели на 2х проверках нода в этом топике...

В тоже время эффективность эвристика кава является постоянной т.к все зверье было пойманно Generic правилами а не под конкретное семейство.

Добавлено спустя 1 минуту 31 секунду:

Посмотрите личное сообщение.

Спасибо. Проверил - Касперский эвристиком его не детектирует. Сигнатурно - Email-Worm.Win32.Warezov.ms

Интересно а как проверить эвристик если ловится сигнатурами..

У меня только 1 идея - занести конкретный обьект в доверенную зону по вердикту с надеждой на то что после этого файл будет проэмулирован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Интересно а как проверить эвристик если ловится сигнатурами..

У меня только 1 идея - занести конкретный обьект в доверенную зону по вердикту с надеждой на то что после этого файл будет проэмулирован.

Все куда проще :D

Просто нужно сделать так, чтобы антвирус не загружал базы с сигнатурами. И останется только эвристика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ну этот вариант естественен.. но он последний раз прокатывал на версии 4.0 ж) 5 и 6 матерятся благим матом на сколько я помню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
...у ЛК алерты чисто эвристика...

Чем обобщённее правила,тем больше фолсов по идее.Для НОДа это должен быть уже пройденный этап.Чем тоньше правила для уменьшения фолсов,тем больше правила напоминают поведение конкретных вирусов.

...что ловит эвристик КЛ не обязательно поймает НОД ...

Если сравнивать,то так же и соотношение фолсов к правильной оценке по эвристику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

>Чем обобщённее правила,тем больше фолсов по идее

С 1 стороны это верно.. с другой спец правила это уже не эвристика.. а Generic детект семейства на базе эмулятора.

Добавлено спустя 6 минут 14 секунд:

...у ЛК алерты чисто эвристика...

Чем обобщённее правила,тем больше фолсов по идее.Для НОДа это должен быть уже пройденный этап.Чем тоньше правила для уменьшения фолсов,тем больше правила напоминают поведение конкретных вирусов.

...что ловит эвристик КЛ не обязательно поймает НОД ...

Если сравнивать,то так же и соотношение фолсов к правильной оценке по эвристику.

Пододжем месяцок... статистику соберем и подумаем ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Ну этот вариант естественен.. но он последний раз прокатывал на версии 4.0 ж) 5 и 6 матерятся благим матом на сколько я помню.

Ну я же как-то это сделал ;)

(на шестерке).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×