Сравнение эвристиков Нода и Касперского (бета)

[Mylord 0]

TiX, vaber

Для сравнения эвристики достаточно удалить антивирусные базы. С KAV6 и NOD32 не пробовал, но один мой знакомый удалил базы с включенным монитором KAV5 (гений, что еще скажешь ). NOD'ом я после удалил ~200 тел вирусов (червей, 3 разновидности). И почему я не доверяю KasperskyLab???

[TiX 0]

>Mylord

Ой блин.. лучше идите в другой топик..

Вы удалили нодом 200 вирусов после того как ваш приятель удалил базы у запущенного каспа?

[Ego1st 95]

Вы удалили нодом 200 вирусов после того как ваш приятель удалил базы у запущенного каспа?

жесть блин..)))

[Иван 290]

TiX, vaber

Для сравнения эвристики достаточно удалить антивирусные базы. С KAV6 и NOD32 не пробовал, но один мой знакомый удалил базы с включенным монитором KAV5 (гений, что еще скажешь ). NOD'ом я после удалил ~200 тел вирусов (червей, 3 разновидности). И почему я не доверяю KasperskyLab???

мда, червей значит 3 разновидности...прекрасно

у Eset хороший эвристик, с этим трудно и ненужно спорить

они эвристическим направлением занимаются давно и лично мне совершенно понятно, что даже в релизно 7.0 версии касперского эвристик будет похуже нодовского.

но во-первых, поглядим чего будет дальше

во-вторых, у касперского кроме эвристика в семерке будет по прежнему проактивка (поведенческий блокиратор) и очень быстрая реакция на новые угрозы (выпуск обновлений сигнатур) тоже никуда не денется.

Таким образом у касперского - три эффективных подхода к защите в одном продукте, а у нода один эвристик (да и то требующий постоянных обновлений для эффективной работы). Думаю расклад не в пользу нода.

[santy 151]

Протестую

Как работает эвристик нода..

Он работает по 2м принципам.

1. Плохо изучен поэтому предпологаю что у нода есть нескольно очень обобщенных наборов правил для результатов эмуляции и на основании этих правил он выводит Probably NewHeur_PE virus..

2. Когда к есет попадает экземпляр вируса - червя.. его анализируют и создают набор правил для конкретного зверя. Теперь в идеале все последуюшщие версии этого семейства могут ловится по этим правилам.

По моим наблюдениям за эпидемией Stration ситуация с детектированием у НОДа происходила примерно так:

Новые модификации червя часто определялись как Probably NewHeur_PE virus, далее при обновлении баз как вариант Stration, чуть позже как Stration.** По крайней мере, это логично. Детект неизвестного вредоносного кода, уточнение правил для определения семейства кода, принятие решения о выпуске сигнатуры.

НО! Если выйдет новый червь то эвристика нода с очень большой степенью вероятности обломается. Чего собственно мы и увидели на 2х проверках нода в этом топике...

В тоже время эффективность эвристика кава является постоянной т.к все зверье было пойманно Generic правилами а не под конкретное семейство.

А что, кто-то может написать эвристик, который раз и навсегда детектил бы черви, которых еще нет в будущем? .

[vaber 350]

Ой блин.. лучше идите в другой топик..

у касперского кроме эвристика в семерке будет по прежнему проактивка (поведенческий блокиратор) и очень быстрая реакция на новые угрозы (выпуск обновлений сигнатур) тоже никуда не денется.

Таким образом у касперского - три эффективных подхода к защите в одном продукте, а у нода один эвристик (да и то требующий постоянных обновлений для эффективной работы). Думаю расклад не в пользу нода.

Это так называемый толчек к спору - что лучше Нод или Касперский.

Эвристик Касперского тоже будет обновляться. Пока у Касперского очень неплохой "старт" в эвристике. Уверен, что к скорому выходу релиза эмулятор будет еще усовершенствован.

[Mylord 0]

TiX

Объясню более понятно:

1. Знакомый удалил базы KAV.

2. Через пару недель я чистил ему компьютер, ибо он надоел жалобами на окно о том, что антивирусные базы не загружены.

3. Все две недели монитор у KAV был включен.

Еще подробности?

[TiX 0]

>А что, кто-то может написать эвристик, который раз и навсегда детектил бы черви, которых еще нет в будущем? .

Да не.. просто например у каспа там сигнатуры ну очень обобщенные вроде Mass File modification / Injecting into another process (Invider) и.т.д тоесть то что делает большенство вирусов.. причем защита от фалсов в отличии от Proactive Defense очень проста..

Все сводится к наличию видимого окна.. тоесть если инсталятор может быть пойман проактивкой то эвристик этого не зделате т.к он не эмулируют пользователя который управляет инсталлером.

Добавлено спустя 2 минуты 38 секунд:

TiX

Объясню более понятно:

1. Знакомый удалил базы KAV.

2. Через пару недель я чистил ему компьютер, ибо он надоел жалобами на окно о том, что антивирусные базы не загружены.

3. Все две недели монитор у KAV был включен.

Еще подробности?

Да.. я уже смеюсь.... Вы в курсе что абсолютно все антивирусы загружатю базу сигнатур в память? И больше они к базе на диске не обращаются до апдейта (перезагрузки) либо перезапуска АВ.

По сути вопроса - вирусы могли попасть потому что ваш приятель не обновлял базы а не потому что он их удалил.

[shibaj 0]

Сегодня растроился... стоял антивирь nod32 7.0 (всегда был доволен,раньше пользовался касперским...удалил....нагружает систему) Решил попробовать avast триал, короче после сканирования нашол Win32:Adware-gen . зараженный файл хранился на компе около месяца... :evil: На всех онлайн сайтах показывает тоже присутствие какашки... Кашмар не ужели такой косяк только у nod32... Кому интересно проверьте свои антивири http://slil.ru/24572705

[Иван 290]

ну не стоит так убиваться

страшного то особо ничего нет

да и кстати 6.0 касперского нифига систему не грузит, как и выходящая 7.0

[Михаил Кондрашин 55]

В результате после проверки каталога, содержащего вирусы Нодом осталось 230 файлов. После проверки Касперским - 286

Итого:

Нод обнаружил 44,98% вирусов

Касперский обнаружил 31,58% вирусов

Не стоит писать столько знаков после запятой у процентов. Это безграмотно. В пределах разброса результат практически одинаковый.

[Dmitry Perets 30]

Сегодня растроился... стоял антивирь nod32 7.0

кто такой NOD32 7.0?

[Storm 0]

кто такой NOD32 7.0?

Наверное НОД32 2.7.0

[vaber 350]

Не стоит писать столько знаков после запятой у процентов. Это безграмотно. В пределах разброса результат практически одинаковый.

Согласен.

Знаки после запятой не для того, чтобы показать точность (которой нету), а число просто было скопировано (не подумал о округлении)