Перейти к содержанию
Михаил Кондрашин

Как сравнивать Real-time-сканеры различных антивирусов?

Recommended Posts

AM_Bot
Дополнительно: Открытие файла в Word, ввод туда текста, сохранение.

В эту же схему вписывается тестирование прочих программ (1C, photoshop, ...)

Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Меня смущает использование зараженных данных. С одной стороны очень хорошо, так как автоматически учитывается ослабление защиты (не полностью, но все-таки). Если какой-то вирус не будет пойман, значит мы перестарались с оптимизацией скорости. С другой стороны

- это опасно

- единственный универсальный и безопасный вирус eicar.com не канает на роль "универсального", так как его не в DOC-файл и в Веб-страничку не вставишь.

- При обнаружении вируса, антивирусы могут потребовать интерактивности, а это плохо для автоматической системы тестирования

- Выбор репрезентативной выборки вирусов очень зыбкая тема.

Может быть пока ограничиться тестированием без всяких вирусов?

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами). Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Полагаю, что это не принципиально так как

1. Тест будет длится считанные секунды и эта функция не успеет сработать

2. Все вендоры в одинаковых условиях и не принципиально, как на самом деле ведет себя Word.

3. В любом случае лучше тестировать с настройками по-умолчанию (не антивирусов, в самого Word, 1C и пр)

4. Если какая-то функция внесет случайный разброс в результаты, то повторный запуск скрипта должен это выявить. Тогда и будем думать.

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами).

Полагаю, что стоит начать с чистых объектов и считать это отдельным тестом.

Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

Когда первая часть теста будет готова, результаты будут опубликованы и обмусолины на этом сайте, тогда и перейдем к следующей части.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

Правильно! Он удобен для определения, активен ли антивирус вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

Во первых, на мой взгляд, использовать виртуаьные машины - некорректно.

Для проведения эксперимента потребуются 3 компьютера

1. С web-сайтом и почтовым сервером

2. С возможностью посылать письма как чистые так и зараженные

3 Собственно тот, на котором проходит эксперимент

Для эксперимента нужен комп с 128М оперативки на меньшее количество не встанет ХР (наиболее распространенная клиентская ОС).

Возвратв исходно состояние - программа типа Ghost от Symantec Партиции (образы) создать заранее. Можно хранить на том же винте, но на другом логическом диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Да, забыл добавить, желательно проводить отдельные тесты для файловой системы FAT 32 и NTFS так как результаты даже на чистой системе будут разными!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

На форуме virusinfo.info идет параллельное обсуждение.

http://www.virusinfo.info/showthread.php?t=3947&page=2

Хотя ничего серьезного по этой теме там не предложили, но выложили интересную утилиту. Ее принцип работы:

Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Использование как

AV-Monitor-Tester.exe <file name> <file size in mbytes> <amount> [use RW mode?]

1. параметр - название файла в который будем писать

2. максимальный размер файла

3. по сколько кб писать бедем возможные варианты - 64/128/256/512/1024 кб

4. параметр - если имеется то файлы открываюся и на чтение и на запись иначе только на запись

http://www.hot.ee/ssxp/AV-Monitor-Tester-w...static-rand.rar

http://www.hot.ee/ssxp/AV-Monitor-Tester%20Source-Code.rar

Для одной из составляющих теста она бы могла пригодиться, если тестировать конечно на одной и той же конфигурации, а не так как на virusinfo.info :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

Имеет отношения к пользователям, использующий софт, который :) генерирует кучу временных файлов.

например emul, качающий кучу файлов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×