Сергей Ильин

Куда подевалась хваленая скорость Nod32?

В этой теме 29 сообщений

Хочу поделиться с вами наболевшим. Проводя тест на проактивны детект столкнулся с жуткими тормозами Eset Nod32 3.0 Небольшая коллекция вредоносов проверяется очень медленно, а если выбрать опцию "Clear files" процесс проверки и удаления просто еле ползет.

Коллекция около 1000 файлов таким образом проверяется/вычищается почти час :shock:

Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

На 2.7 такого замечено не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

даже если скорость куда-то подевалась это ваша узкоспецифическая проблема Сергей. Нормальные обычные пользователи не сканируют большие коллекции вирья как это делаете вы, поэтому торомоза лечения для них незаметны - главное, что на чистых файлах все быстро

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 вариант железный!

Ну не кричать сразу же про то, что НОД тормоз. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком ;) . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Тачка не ахти и на WinXP, но версия 2.7 нормально бегала, а эта еле тянет ... Да там лечить не нужно ничего, настройка на автоматическое удаление зараженных файлов.

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком Wink . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Про тормоза Симантек на больших коллекциях наслышан, но на 1000 файлов он так не тупит ... Для примера, Panda перетряхивает коллекцию в 1000 файлов минут за 5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сам факт, что на прошлом релизе все пучком было, а на новом - нет. Хотя, новые технологии = новые проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей! Ну не доработали они третью версию! Так спешили выпустить что-нибудь в противовес Касперычу 7.0, что не оттестировали до конца! :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а можно вопросик по поводу 3.0 есета, как он с впном подружился, али туда не ходи там вирусы..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

А и спрошу, однако! :lol:

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Я не говорю о скорости этого продукта вообще, а лишь о конткретной ситуации. Вероятно имеет место какая-то бага.

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Точно не скажу сейчас, но где-то минут 20.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так. 20 минут. А НОД?

Кстати, я поддерживаю Ивана в вопросе скорости проверки по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Добавлено спустя 1 минуту:

Естественно, при проверке активирована продвинутая эвристика, куда же без нее ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Он их там до гроба эмулит штоле? :D

А что за файлы проверялись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

На этой неделе будут точно опубликованы результаты :)

А что за файлы проверялись?

Коллекция новые вредоносов. Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus (може до 30 сек. на таких подвисать).

Аналогичное наблюдение для Касперского. На файлах pe_patch.upx сканер подвисает конкретно, после 5 минут ожидания я не выдерживал и нажимал "пропустить". Настройки сканера и эвристики максимальные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus

В таком случае, думаю, была бы интересной статистика о зависимости времени обработки файла от размера его image или секции кода. :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

Последний Dr.Web тоже пошел по этому пути. Вместо того чтобы раз и навсегда вынести распаковщики в базы, они пытаются в каждый релиз воткнуть дженерики на семейства пакеров, кторый пашут на эмуляторе (который у них кстати тоже далек от совершенства и скорости =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вместо того чтобы раз и навсегда вынести распаковщики в базы

Dr.Golova, насколько я знаю, у нас всё, что можно сделать в движке, можно вынести и в базы. Движок и базы - неделимое целое и делится лишь условно. А скорость сканирования в 4.44 несколько увеличилась. Это факт. Когда я у себя сканирую весь винчестер, я это хорошо вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доктор на инфицированных гораздо быстрее Nod32, это уж точно.

Но реально летают Avira, Avast и Panda. Очень быстро работают, приятно их на детект проверять, но на этом, к сожалению, хорошее впечатление от этих продуктов и заканчивается :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

С другой стороны, у статической распаковки тоже есть недостатки в плане быстродействия - нужно точно определить, чем именно упакован файл (что не всегда просто), а также нужны дополнительные проверки на валидность входных данных (чтобы антивирус просто не сдох на проверке покореженного файла), что тоже несколько замедляет распаковщик. Хотя у вас больше опыта по статической распаковке, поэтому не исключено, что имеются эффективные решения для данных проблем.

А эмулятор тоже можно оптимизировать по скорости, динамическая трансляция кода "на лету" (JIT) тут очень помогает. В некотором смысле, эмулятор автоматически конструирует код распаковки пакера, т.е. делает ту самую работу, что и человек, который занимался бы написанием статического распаковщика. Может быть генерируется не самый оптимальный код в плане быстродействия, особенно для монстроидных крипторов/пакеров, но зато выше надежность (человек, пишущий статический распаковщик всегда может ошибиться) и лучше универсальность (как правило, без проблем распаковываются новые версии известных пакеров, а также могут распаковываться и неизвестные/патченые пакеры).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно, почему у меня все нормально, правда сейчас стоит ESS 3.0.566, до этого NOD32 2.7. Визуальной разницы в скорости не заметил, на ранних бета версиях немного притормаживал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно! Я через 15 минут после начала ознакомления снес ESS 3.0.566 :twisted:

Аж опплевался!

Или руссификатор мне кривой попался, или я не знаю, как его готовить! Наверное, труднее, чем даже кошек из рекламы! :evil:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS