Мини-тест: Иной взгляд на проактивность - Страница 4 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Мини-тест: Иной взгляд на проактивность

Recommended Posts

Dr.Golova

Авира всех рвет за счет огромного числа сторонних вирусных аналитиков, которые тупо долбят. Надо брать с них пример. А в движке у них даже эмулятора небыло и нет. Так что откуда берутся вердикты HEUR/Crypted не понятно. Ресерш провести конечно можно, да неохота забесплатно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, Иван, спасибо за проведённое тестирование.

Теперь я увидел, что действительно VB тупо доверять нельзя.

Причём ни в том случае, когда антивирус получает VB100, ни когда он его не получает.

Возьмём снова для примера Симантек, который получил VB100 во всех последних тестах.

А в этом мини-тесте на новых самплах он получил 53% при заморозке баз на неделю, а при актуальных базах взял всего 63%.

В общем, VB - не пуп антивирусной индустрии, а истина где-то посередине, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Я даже хочу попросить Ивана или Сергея - отдельно протестить этот 51 сампл другими антивирусами, чтобы посмотреть кто детектит то, что не детектит KAV.

Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Они живы? Можно их отправить на newvirus@kaspersky.com?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Чьих клиентов?Smile

Российские вендоры, Симантек, Тренд. У корпоратором что-то еще сложно найти, это уже экзотика была бы.

Насколько ITW?

Именно ITW. Как я писал в самом начале, отбирались только новые образцы из "дикой природы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Они живы? Можно их отправить на newvirus@kaspersky.com?

насколько я понял Сергея он будет использовать эту коллекцию в более интересном тесте, поэтому отсылка вендорам преждевремена, чистота эксперемента пропадет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

Я тоже обратил а это внимание, что любой что-то находит после конкурента. Это окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

Хороший аргумент в пользу мультидвижковой технологии, как у Microsoft Forefront.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
то окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Согласен. Рад, что этому тезису находятся подтверждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

дополнение к теореме:

с большой долей вероятности этот сампл окажется либо битым, либо ложным срабатыванием

:)

а мультидвижковость - всегда хорошо. Вопрос только в том, что с чем скрещивать.

Сергей, спасибо за дополнительный тест. BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее. Мне кажется, в пару нужно ставить что-то с акцентом на параноидальную эвристику. Ну не знаю, тот же НОД, к примеру, или Авиру без монитора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее.

Я бы побоялся ставить что-то параноидальное. :) По моему нескромному мнению и опыту прав именно А. Битдефендером полезно сканировать подозрительные файлы, на которые каспер молчит - особенно, если имеются основания подозревать вирус "нерусского происхождения".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Lemmit

А мне показалось, что они одинаково детектят. Или детектят обо или не детектят оба :) Так что таки склоняюсь в этой случае к параноидальной эвристике. Если есть подозрение - можно файлец запузырить на вирустотал и в форумным спецам на анализ ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Если кого-то интересует мое мнение, то БД я всегда ставил выше НОДа, и судя по отзывам я ниразу не ошибся =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×