Retrospective/ProActive Test May 2008 and KIS v8 (proactive test)

[Иван 290]

лично я имел в виду, что непонятно почему по какому-то конкретному вопросу мнение эксперта не может совпасть с мнением производителя. эксперт всегда альтернативщик? боюсь только если производителей десятки и у каждого своё мнение, то для экспертов просто может не остаться местечка на поле мнений, все уже будет занято

хотя мы уже в полном офтопе

[kvit 85]

1) Эвристика - безсигнатурный детект малвары. На данный момент, это может быть (читай: я понимаю как работает) - а) Совсем дубовый детект по известным пакерам (авира, и все остальные), детект по заголовкам/характеристикам секций РЕ файла (панда, авира, нод, макафе, каспер, и все остальные). б) Статический детект по ошметкам кода (дрвеб, авира, вба32, каспер, и некоторые остальные). с) Статический детект с трассировкой codeflow (дрвеб, каспер, битдефендер,...). д) Динамическая трассировка на эмуляторе (нод, битдефендер, каспер, вба32). е) true generic - трассировка на эмуляторе + поведенческие эвристики (нод, каспер, битдефендер). Содержимое скобок я писал только тогда, когда был полностью уверен, так что можете дописывать (да и методы тоже можно дополнять)

то есть судя по написанному в drweb реализованна только б и с, причем методы отличаются только трассировкой codeflow . Вопрос, что это за вид трассировки, в чем заключается его принцип..? и смысл использовать б, если есть с?

[bse 115]

лично я имел в виду, что непонятно почему по какому-то конкретному вопросу мнение эксперта не может совпасть с мнением производителя.

Я полагаю, что эксперт публикует свое заключение, при этом оно совпадет или нет с данными производителя. Т.е. подтверждает или опровергает их, или отчасти и то и другое.

"Заключение". Но не "мнение". А выводы сделают те, кому заключение предназначено.

[Иван 290]

а как же выражение "экспертное мнение"?

[dot_sent 140]

bse

23. Администрация вправе назначить квалифицированного участника форума экспертом портала, с его согласия, если он соответствует критериям, предъявляемым к экспертам портала. Критерии утверждаются администрацией портала и являются едиными, равными для всех участников форума.

Таким образом, слово "Эксперт" в данном случае означает специальное звание участника форума, которе не делает участников форума, обладающих этим званием, официальными лицами при исполнении, которым запрещено высказывать свое мнение, если оно не облачено в форму экспертного заключения.

УФФ

[bse 115]

спасибо, dot_sent.

Как видно, "мнений" на форуме много и мнения разные.

Но хотелось бы больше именно "заключений", ибо заключения, как правило, упреждают долгие ненужные споры.

[Dmitry Perets 30]

Но хотелось бы больше именно "заключений", ибо заключения, как правило, упреждают долгие ненужные споры.

А чьи заключения будут для вас авторитетны? Что вообще понимается под словом "заключение"?

[bse 115]

А нет разницы - чьи, лишь бы были для начала. Я думал, что у Вас есть.

Результат таков:

- по эвристику ... 42%

- модуль контроля приложений ... 68%

- модуль Проактивная защита (PDM) ... отдельно не тестировался.

По п.п. 1 и 2 - заключения.

А давайте разработаем нормальню методику теста проактивной защиты? ... Сделаем образцы тестов. И будем тестировать всех, так чтобы воспроизводимо было читателем

Так что результирующий процент для пользователя KIS 2009 был бы выше 68%. На сколько - вот это сложно сказать.

По п. 3 - мнения. Заключений пока нет.

[Dmitry Perets 30]

А нет разницы - чьи, лишь бы были для начала. Я думал, что у Вас есть.

По п.п. 1 и 2 - заключения.

По п. 3 - мнения. Заключений пока нет.

Короче, это вы так запутано хотели сказать, что нормального объективного теста PDM пока не наблюдается? =) Ну так я сразу это и сказал. Что поделать, не наблюдается пока. Сложно, нюансов много. Надеюсь, что появится. Стоило ли так долго дискутировать по поводу того, что я уже давно сказал прямым текстом? =)

[bse 115]

Короче, это вы так запутано хотели сказать

Нет, не хотел.

Стоило ли так долго дискутировать по поводу того, что я уже давно сказал прямым текстом?

Действительно. Вот если бы вы так и сказали сразу.

[Dmitry Perets 30]

Действительно. Вот если бы вы так и сказали сразу.

Давно сказал, ещё 15-го июня =)

Это действительно так! 68% - это процент, который НЕ ВКЛЮЧАЕТ в себя зловредов, которые могли бы быть заблокированы модулем Proactive Defense. Ведь этот модуль, в отличие от всех остальных, действует уже после запуска приложения. Так что результирующий процент для пользователя KIS 2009 был бы выше 68%. На сколько - вот это сложно сказать.

http://www.anti-malware.ru/forum/index.php...ost&p=39530

Хороших тестов поведенческого блокиратора действительно нет, проблема. Приходится самому тестить живых зверей =)

http://www.anti-malware.ru/forum/index.php...ost&p=39595

Итак, discussion is over? =)