Перейти к содержанию
Сергей Ильин

Куда подевалась хваленая скорость Nod32?

Recommended Posts

Сергей Ильин

Хочу поделиться с вами наболевшим. Проводя тест на проактивны детект столкнулся с жуткими тормозами Eset Nod32 3.0 Небольшая коллекция вредоносов проверяется очень медленно, а если выбрать опцию "Clear files" процесс проверки и удаления просто еле ползет.

Коллекция около 1000 файлов таким образом проверяется/вычищается почти час :shock:

Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

На 2.7 такого замечено не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Я что-то не так делаю или в 3.0 какая-то бага с лечением/удалением?

Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1 вариант железный! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

даже если скорость куда-то подевалась это ваша узкоспецифическая проблема Сергей. Нормальные обычные пользователи не сканируют большие коллекции вирья как это делаете вы, поэтому торомоза лечения для них незаметны - главное, что на чистых файлах все быстро

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
1 вариант железный!

Ну не кричать сразу же про то, что НОД тормоз. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком ;) . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Варианты:

1) тачка слабая + винхр

2) неправильно организована технология общего лечения (парсинга ключей реестра нет например)

3) а какая скорость проверки чистых файлов?

Тачка не ахти и на WinXP, но версия 2.7 нормально бегала, а эта еле тянет ... Да там лечить не нужно ничего, настройка на автоматическое удаление зараженных файлов.

Видимо Сергей никогда не пробовал проверять коллекции вирья симантеком Wink . Я как то пробовал, доходило то ужасающей цифры: файл в минуту.

Про тормоза Симантек на больших коллекциях наслышан, но на 1000 файлов он так не тупит ... Для примера, Panda перетряхивает коллекцию в 1000 файлов минут за 5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Сам факт, что на прошлом релизе все пучком было, а на новом - нет. Хотя, новые технологии = новые проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Сергей! Ну не доработали они третью версию! Так спешили выпустить что-нибудь в противовес Касперычу 7.0, что не оттестировали до конца! :twisted:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а можно вопросик по поводу 3.0 есета, как он с впном подружился, али туда не ходи там вирусы..?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777
ой ой ой, вы у Сергея спросите сколько времени Касперский эту коллекцию проверяет. Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

А и спрошу, однако! :lol:

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну а потом еще раз - простому пользователю пофиг на скорость на зараженных файлах - ибо мало ихю

Я не говорю о скорости этого продукта вообще, а лишь о конткретной ситуации. Вероятно имеет место какая-то бага.

Сергей! А сколько эту коллекцию проверяет Антивирус Касперского?

Точно не скажу сейчас, но где-то минут 20.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так. 20 минут. А НОД?

Кстати, я поддерживаю Ивана в вопросе скорости проверки по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Добавлено спустя 1 минуту:

Естественно, при проверке активирована продвинутая эвристика, куда же без нее ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Так. 20 минут. А НОД?

Не меньше часа будет проверять 1000 зараженных файлов.

Он их там до гроба эмулит штоле? :D

А что за файлы проверялись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Немногог оффтоп,..Сергей когда примерно можно будет лицезреть результаты последнего вашего теста на anti-malware, который сейчас готовится. До нового года будет?

На этой неделе будут точно опубликованы результаты :)

А что за файлы проверялись?

Коллекция новые вредоносов. Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus (може до 30 сек. на таких подвисать).

Аналогичное наблюдение для Касперского. На файлах pe_patch.upx сканер подвисает конкретно, после 5 минут ожидания я не выдерживал и нажимал "пропустить". Настройки сканера и эвристики максимальные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Я заметил что наиболее заметные тормоза на упакованных файлах и тех, которые обнаруживаются по вердикту probably unknown NewHeur_PE virus

В таком случае, думаю, была бы интересной статистика о зависимости времени обработки файла от размера его image или секции кода. :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

Последний Dr.Web тоже пошел по этому пути. Вместо того чтобы раз и навсегда вынести распаковщики в базы, они пытаются в каждый релиз воткнуть дженерики на семейства пакеров, кторый пашут на эмуляторе (который у них кстати тоже далек от совершенства и скорости =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вместо того чтобы раз и навсегда вынести распаковщики в базы

Dr.Golova, насколько я знаю, у нас всё, что можно сделать в движке, можно вынести и в базы. Движок и базы - неделимое целое и делится лишь условно. А скорость сканирования в 4.44 несколько увеличилась. Это факт. Когда я у себя сканирую весь винчестер, я это хорошо вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Доктор на инфицированных гораздо быстрее Nod32, это уж точно.

Но реально летают Avira, Avast и Panda. Очень быстро работают, приятно их на детект проверять, но на этом, к сожалению, хорошее впечатление от этих продуктов и заканчивается :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
> Он их там до гроба эмулит штоле?

Тоже мне новость, НОД быстр только на чистых системных файлах винды, а все остальные он пережовывает по пол минуты (и как обычно безрезультатно :) Извините, но это не лечится - это издержки того, что все пакеры он пытается снимать эмулятором.

С другой стороны, у статической распаковки тоже есть недостатки в плане быстродействия - нужно точно определить, чем именно упакован файл (что не всегда просто), а также нужны дополнительные проверки на валидность входных данных (чтобы антивирус просто не сдох на проверке покореженного файла), что тоже несколько замедляет распаковщик. Хотя у вас больше опыта по статической распаковке, поэтому не исключено, что имеются эффективные решения для данных проблем.

А эмулятор тоже можно оптимизировать по скорости, динамическая трансляция кода "на лету" (JIT) тут очень помогает. В некотором смысле, эмулятор автоматически конструирует код распаковки пакера, т.е. делает ту самую работу, что и человек, который занимался бы написанием статического распаковщика. Может быть генерируется не самый оптимальный код в плане быстродействия, особенно для монстроидных крипторов/пакеров, но зато выше надежность (человек, пишущий статический распаковщик всегда может ошибиться) и лучше универсальность (как правило, без проблем распаковываются новые версии известных пакеров, а также могут распаковываться и неизвестные/патченые пакеры).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Странно, почему у меня все нормально, правда сейчас стоит ESS 3.0.566, до этого NOD32 2.7. Визуальной разницы в скорости не заметил, на ранних бета версиях немного притормаживал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Странно! Я через 15 минут после начала ознакомления снес ESS 3.0.566 :twisted:

Аж опплевался!

Или руссификатор мне кривой попался, или я не знаю, как его готовить! Наверное, труднее, чем даже кошек из рекламы! :evil:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×