Перейти к содержанию
Сергей Ильин

Мини-тест: Иной взгляд на проактивность

Recommended Posts

Dr.Golova

Авира всех рвет за счет огромного числа сторонних вирусных аналитиков, которые тупо долбят. Надо брать с них пример. А в движке у них даже эмулятора небыло и нет. Так что откуда берутся вердикты HEUR/Crypted не понятно. Ресерш провести конечно можно, да неохота забесплатно =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, Иван, спасибо за проведённое тестирование.

Теперь я увидел, что действительно VB тупо доверять нельзя.

Причём ни в том случае, когда антивирус получает VB100, ни когда он его не получает.

Возьмём снова для примера Симантек, который получил VB100 во всех последних тестах.

А в этом мини-тесте на новых самплах он получил 53% при заморозке баз на неделю, а при актуальных базах взял всего 63%.

В общем, VB - не пуп антивирусной индустрии, а истина где-то посередине, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Я даже хочу попросить Ивана или Сергея - отдельно протестить этот 51 сампл другими антивирусами, чтобы посмотреть кто детектит то, что не детектит KAV.

Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Они живы? Можно их отправить на newvirus@kaspersky.com?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Чьих клиентов?Smile

Российские вендоры, Симантек, Тренд. У корпоратором что-то еще сложно найти, это уже экзотика была бы.

Насколько ITW?

Именно ITW. Как я писал в самом начале, отбирались только новые образцы из "дикой природы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Они живы? Можно их отправить на newvirus@kaspersky.com?

насколько я понял Сергея он будет использовать эту коллекцию в более интересном тесте, поэтому отсылка вендорам преждевремена, чистота эксперемента пропадет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Из тех самплов, что не нашел каспер, дополнительно нашли

Panda - 23 сампла

BitDefender - 22

Drweb - 19

Symantec -18

Eset -16

Avira -16

Я тоже обратил а это внимание, что любой что-то находит после конкурента. Это окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

Хороший аргумент в пользу мультидвижковой технологии, как у Microsoft Forefront.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
то окончательно меня привело к убеждению, что заявления типа "Антивирус 1 не нашел в файле вируса, а Антивирус 2 нашел, поэтому он хороший" полная ерунда.

Согласен. Рад, что этому тезису находятся подтверждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Можно сформулировать как теорему:

"Всегда можно найти такой ITW сампл, который будет обнаруживаться только одним из нескольких сравниваемых антивирусов".

дополнение к теореме:

с большой долей вероятности этот сампл окажется либо битым, либо ложным срабатыванием

:)

а мультидвижковость - всегда хорошо. Вопрос только в том, что с чем скрещивать.

Сергей, спасибо за дополнительный тест. BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
BitDefender по-прежнему остается идеальным дополнением к KAV (уже года три такую картину наблюдаю)

У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее. Мне кажется, в пару нужно ставить что-то с акцентом на параноидальную эвристику. Ну не знаю, тот же НОД, к примеру, или Авиру без монитора :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
У меня стояла такая связка недавно-КАВ основной, БитДефендер бесплатный. Честно говоря не уидел в этой связке смысла по одной причине - они одинаково хорошо ловят вирусы, правда каспер бывает оперативнее.

Я бы побоялся ставить что-то параноидальное. :) По моему нескромному мнению и опыту прав именно А. Битдефендером полезно сканировать подозрительные файлы, на которые каспер молчит - особенно, если имеются основания подозревать вирус "нерусского происхождения".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Lemmit

А мне показалось, что они одинаково детектят. Или детектят обо или не детектят оба :) Так что таки склоняюсь в этой случае к параноидальной эвристике. Если есть подозрение - можно файлец запузырить на вирустотал и в форумным спецам на анализ ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Если кого-то интересует мое мнение, то БД я всегда ставил выше НОДа, и судя по отзывам я ниразу не ошибся =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×