Куда подевалась хваленая скорость Nod32?

[Сергей Ильин 1538]

Хочу поделиться с вами наболевшим. Проводя тест на проактивны детект столкнулся с жуткими тормозами Eset Nod32 3.0 Небольшая коллекция вредоносов проверяется очень медленно, а если выбрать опцию "Clear files" процесс проверки и удаления просто еле ползет.

Коллекция около 1000 файлов таким образом проверяется/вычищается почти час :shock:

Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

На 2.7 такого замечено не было.

[Storm 0]

Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

[Umnik 997]

1 вариант железный!

[Иван 290]

даже если скорость куда-то подевалась это ваша узкоспецифическая проблема Сергей. Нормальные обычные пользователи не сканируют большие коллекции вирья как это делаете вы, поэтому торомоза лечения для них незаметны - главное, что на чистых файлах все быстро

[Storm 0]

1 вариант железный!

Ну не кричать сразу же про то, что НОД тормоз.

[dan 10]

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

[Сергей Ильин 1538]

Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Тачка не ахти и на WinXP, но версия 2.7 нормально бегала, а эта еле тянет ... Да там лечить не нужно ничего, настройка на автоматическое удаление зараженных файлов.

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком Wink . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Про тормоза Симантек на больших коллекциях наслышан, но на 1000 файлов он так не тупит ... Для примера, Panda перетряхивает коллекцию в 1000 файлов минут за 5.

[Umnik 997]

Сам факт, что на прошлом релизе все пучком было, а на новом - нет. Хотя, новые технологии = новые проблемы.

[Олег777 85]

Сергей! Ну не доработали они третью версию! Так спешили выпустить что-нибудь в противовес Касперычу 7.0, что не оттестировали до конца! :twisted:

[Иван 290]

ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

[Ego1st 95]

а можно вопросик по поводу 3.0 есета, как он с впном подружился, али туда не ходи там вирусы..?

[Олег777 85]

ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

А и спрошу, однако!

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

[Сергей Ильин 1538]

Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Я не говорю о скорости этого продукта вообще, а лишь о конткретной ситуации. Вероятно имеет место какая-то бага.

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Точно не скажу сейчас, но где-то минут 20.

[Umnik 997]

Так. 20 минут. А НОД?

Кстати, я поддерживаю Ивана в вопросе скорости проверки по требованию.

[Сергей Ильин 1538]

Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Добавлено спустя 1 минуту:

Естественно, при проверке активирована продвинутая эвристика, куда же без нее ...

[DWState 30]

Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

[ASMax 20]

Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Он их там до гроба эмулит штоле?

А что за файлы проверялись?

[Сергей Ильин 1538]

Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

На этой неделе будут точно опубликованы результаты

А что за файлы проверялись?

Коллекция новые вредоносов. Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus (може до 30 сек. на таких подвисать).

Аналогичное наблюдение для Касперского. На файлах pe_patch.upx сканер подвисает конкретно, после 5 минут ожидания я не выдерживал и нажимал "пропустить". Настройки сканера и эвристики максимальные.

[ASMax 20]

Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus

В таком случае, думаю, была бы интересной статистика о зависимости времени обработки файла от размера его image или секции кода. :idea:

[Dr.Golova 55]

> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

Последний Dr.Web тоже пошел по этому пути. Вместо того чтобы раз и навсегда вынести распаковщики в базы, они пытаются в каждый релиз воткнуть дженерики на семейства пакеров, кторый пашут на эмуляторе (который у них кстати тоже далек от совершенства и скорости =)

[Valery Ledovskoy 1082]

Вместо того чтобы раз и навсегда вынести распаковщики в базы

Dr.Golova, насколько я знаю, у нас всё, что можно сделать в движке, можно вынести и в базы. Движок и базы - неделимое целое и делится лишь условно. А скорость сканирования в 4.44 несколько увеличилась. Это факт. Когда я у себя сканирую весь винчестер, я это хорошо вижу.

[Сергей Ильин 1538]

Доктор на инфицированных гораздо быстрее Nod32, это уж точно.

Но реально летают Avira, Avast и Panda. Очень быстро работают, приятно их на детект проверять, но на этом, к сожалению, хорошее впечатление от этих продуктов и заканчивается :-)

[Сергей Семашко 0]

> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

С другой стороны, у статической распаковки тоже есть недостатки в плане быстродействия - нужно точно определить, чем именно упакован файл (что не всегда просто), а также нужны дополнительные проверки на валидность входных данных (чтобы антивирус просто не сдох на проверке покореженного файла), что тоже несколько замедляет распаковщик. Хотя у вас больше опыта по статической распаковке, поэтому не исключено, что имеются эффективные решения для данных проблем.

А эмулятор тоже можно оптимизировать по скорости, динамическая трансляция кода "на лету" (JIT) тут очень помогает. В некотором смысле, эмулятор автоматически конструирует код распаковки пакера, т.е. делает ту самую работу, что и человек, который занимался бы написанием статического распаковщика. Может быть генерируется не самый оптимальный код в плане быстродействия, особенно для монстроидных крипторов/пакеров, но зато выше надежность (человек, пишущий статический распаковщик всегда может ошибиться) и лучше универсальность (как правило, без проблем распаковываются новые версии известных пакеров, а также могут распаковываться и неизвестные/патченые пакеры).

[Chaman 0]

Странно, почему у меня все нормально, правда сейчас стоит ESS 3.0.566, до этого NOD32 2.7. Визуальной разницы в скорости не заметил, на ранних бета версиях немного притормаживал.

[Олег777 85]

Странно! Я через 15 минут после начала ознакомления снес ESS 3.0.566 :twisted:

Аж опплевался!

Или руссификатор мне кривой попался, или я не знаю, как его готовить! Наверное, труднее, чем даже кошек из рекламы! :evil: