Перейти к содержанию
Сергей Ильин

Куда подевалась хваленая скорость Nod32?

Recommended Posts

Сергей Ильин

Хочу поделиться с вами наболевшим. Проводя тест на проактивны детект столкнулся с жуткими тормозами Eset Nod32 3.0 Небольшая коллекция вредоносов проверяется очень медленно, а если выбрать опцию "Clear files" процесс проверки и удаления просто еле ползет.

Коллекция около 1000 файлов таким образом проверяется/вычищается почти час :shock:

Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

На 2.7 такого замечено не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1 вариант железный! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

даже если скорость куда-то подевалась это ваша узкоспецифическая проблема Сергей. Нормальные обычные пользователи не сканируют большие коллекции вирья как это делаете вы, поэтому торомоза лечения для них незаметны - главное, что на чистых файлах все быстро

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
1 вариант железный!

Ну не кричать сразу же про то, что НОД тормоз. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком ;) . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Тачка не ахти и на WinXP, но версия 2.7 нормально бегала, а эта еле тянет ... Да там лечить не нужно ничего, настройка на автоматическое удаление зараженных файлов.

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком Wink . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Про тормоза Симантек на больших коллекциях наслышан, но на 1000 файлов он так не тупит ... Для примера, Panda перетряхивает коллекцию в 1000 файлов минут за 5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Сам факт, что на прошлом релизе все пучком было, а на новом - нет. Хотя, новые технологии = новые проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Сергей! Ну не доработали они третью версию! Так спешили выпустить что-нибудь в противовес Касперычу 7.0, что не оттестировали до конца! :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а можно вопросик по поводу 3.0 есета, как он с впном подружился, али туда не ходи там вирусы..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777
ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

А и спрошу, однако! :lol:

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Я не говорю о скорости этого продукта вообще, а лишь о конткретной ситуации. Вероятно имеет место какая-то бага.

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Точно не скажу сейчас, но где-то минут 20.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так. 20 минут. А НОД?

Кстати, я поддерживаю Ивана в вопросе скорости проверки по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Добавлено спустя 1 минуту:

Естественно, при проверке активирована продвинутая эвристика, куда же без нее ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Он их там до гроба эмулит штоле? :D

А что за файлы проверялись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

На этой неделе будут точно опубликованы результаты :)

А что за файлы проверялись?

Коллекция новые вредоносов. Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus (може до 30 сек. на таких подвисать).

Аналогичное наблюдение для Касперского. На файлах pe_patch.upx сканер подвисает конкретно, после 5 минут ожидания я не выдерживал и нажимал "пропустить". Настройки сканера и эвристики максимальные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus

В таком случае, думаю, была бы интересной статистика о зависимости времени обработки файла от размера его image или секции кода. :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

Последний Dr.Web тоже пошел по этому пути. Вместо того чтобы раз и навсегда вынести распаковщики в базы, они пытаются в каждый релиз воткнуть дженерики на семейства пакеров, кторый пашут на эмуляторе (который у них кстати тоже далек от совершенства и скорости =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вместо того чтобы раз и навсегда вынести распаковщики в базы

Dr.Golova, насколько я знаю, у нас всё, что можно сделать в движке, можно вынести и в базы. Движок и базы - неделимое целое и делится лишь условно. А скорость сканирования в 4.44 несколько увеличилась. Это факт. Когда я у себя сканирую весь винчестер, я это хорошо вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Доктор на инфицированных гораздо быстрее Nod32, это уж точно.

Но реально летают Avira, Avast и Panda. Очень быстро работают, приятно их на детект проверять, но на этом, к сожалению, хорошее впечатление от этих продуктов и заканчивается :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

С другой стороны, у статической распаковки тоже есть недостатки в плане быстродействия - нужно точно определить, чем именно упакован файл (что не всегда просто), а также нужны дополнительные проверки на валидность входных данных (чтобы антивирус просто не сдох на проверке покореженного файла), что тоже несколько замедляет распаковщик. Хотя у вас больше опыта по статической распаковке, поэтому не исключено, что имеются эффективные решения для данных проблем.

А эмулятор тоже можно оптимизировать по скорости, динамическая трансляция кода "на лету" (JIT) тут очень помогает. В некотором смысле, эмулятор автоматически конструирует код распаковки пакера, т.е. делает ту самую работу, что и человек, который занимался бы написанием статического распаковщика. Может быть генерируется не самый оптимальный код в плане быстродействия, особенно для монстроидных крипторов/пакеров, но зато выше надежность (человек, пишущий статический распаковщик всегда может ошибиться) и лучше универсальность (как правило, без проблем распаковываются новые версии известных пакеров, а также могут распаковываться и неизвестные/патченые пакеры).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Странно, почему у меня все нормально, правда сейчас стоит ESS 3.0.566, до этого NOD32 2.7. Визуальной разницы в скорости не заметил, на ранних бета версиях немного притормаживал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Странно! Я через 15 минут после начала ознакомления снес ESS 3.0.566 :twisted:

Аж опплевался!

Или руссификатор мне кривой попался, или я не знаю, как его готовить! Наверное, труднее, чем даже кошек из рекламы! :evil:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×