Михаил Кондрашин

Как сравнивать Real-time-сканеры различных антивирусов?

В этой теме 35 сообщений

Дополнительно: Открытие файла в Word, ввод туда текста, сохранение.

В эту же схему вписывается тестирование прочих программ (1C, photoshop, ...)

Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Меня смущает использование зараженных данных. С одной стороны очень хорошо, так как автоматически учитывается ослабление защиты (не полностью, но все-таки). Если какой-то вирус не будет пойман, значит мы перестарались с оптимизацией скорости. С другой стороны

- это опасно

- единственный универсальный и безопасный вирус eicar.com не канает на роль "универсального", так как его не в DOC-файл и в Веб-страничку не вставишь.

- При обнаружении вируса, антивирусы могут потребовать интерактивности, а это плохо для автоматической системы тестирования

- Выбор репрезентативной выборки вирусов очень зыбкая тема.

Может быть пока ограничиться тестированием без всяких вирусов?

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами). Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, это можно добавить. Как на счет функции автосохранения в программах Office, стоит ее отключить или наоборот настроить на частое сохраненин?

Полагаю, что это не принципиально так как

1. Тест будет длится считанные секунды и эта функция не успеет сработать

2. Все вендоры в одинаковых условиях и не принципиально, как на самом деле ведет себя Word.

3. В любом случае лучше тестировать с настройками по-умолчанию (не антивирусов, в самого Word, 1C и пр)

4. Если какая-то функция внесет случайный разброс в результаты, то повторный запуск скрипта должен это выявить. Тогда и будем думать.

Тогда предлагаю так сделать: разобьем тест на две по сути почти независимые части (работа с чистыми и зараженными объектами).

Полагаю, что стоит начать с чистых объектов и считать это отдельным тестом.

Начнем с чистых и попутно выберем типичные (классические) типы заразы для второй части теста. Тут нужно консультироваться с вирусными аналитиками, что лучше взять.

Когда первая часть теста будет готова, результаты будут опубликованы и обмусолины на этом сайте, тогда и перейдем к следующей части.

eicar.com - не подходит, просто детектируется, на нем торомозов не будет видно вообще.

Правильно! Он удобен для определения, активен ли антивирус вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отлично, теперь нужно определиться с техническими вопросами по стенду. :)

Какую машину использовать? (судя по предыдущим ответам - с медленным процессором и с 64 мегами оперативки)

Какое ПО на ней будет ставиться?

Какое ПО необходимо для проведения теста (та самая программа автоматизации)?

Как лучше подключать стенд к сети и т.д.

Насколько я понимаю, часто для подобных задач использую виртуальные машины. Можно ли, например, создать несколько VM на одном сервера?

Насколько я понял из сообщения Влада, придется после каждого теста заново возвращить тачку в исходное состояние. Как лучше произвести оптимизацию этого процесса?

Во первых, на мой взгляд, использовать виртуаьные машины - некорректно.

Для проведения эксперимента потребуются 3 компьютера

1. С web-сайтом и почтовым сервером

2. С возможностью посылать письма как чистые так и зараженные

3 Собственно тот, на котором проходит эксперимент

Для эксперимента нужен комп с 128М оперативки на меньшее количество не встанет ХР (наиболее распространенная клиентская ОС).

Возвратв исходно состояние - программа типа Ghost от Symantec Партиции (образы) создать заранее. Можно хранить на том же винте, но на другом логическом диске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, забыл добавить, желательно проводить отдельные тесты для файловой системы FAT 32 и NTFS так как результаты даже на чистой системе будут разными!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На форуме virusinfo.info идет параллельное обсуждение.

http://www.virusinfo.info/showthread.php?t=3947&page=2

Хотя ничего серьезного по этой теме там не предложили, но выложили интересную утилиту. Ее принцип работы:

Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Использование как

AV-Monitor-Tester.exe <file name> <file size in mbytes> <amount> [use RW mode?]

1. параметр - название файла в который будем писать

2. максимальный размер файла

3. по сколько кб писать бедем возможные варианты - 64/128/256/512/1024 кб

4. параметр - если имеется то файлы открываюся и на чтение и на запись иначе только на запись

http://www.hot.ee/ssxp/AV-Monitor-Tester-w...static-rand.rar

http://www.hot.ee/ssxp/AV-Monitor-Tester%20Source-Code.rar

Для одной из составляющих теста она бы могла пригодиться, если тестировать конечно на одной и той же конфигурации, а не так как на virusinfo.info :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Программа создает файл с MZ PE заголовком (1 кб) и пишет в него последовательно куски по 64/128/256/512/1024 kb каждый раз открывая и закрывая файл снова до достижения лимита в N mb.

Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это тестирование замедления компиляции при запущенном антивирусном мониторе?

Для простых смертных это не интерено, а для непростых (программистов) есть исключение проверки списка директорий.

По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По сути дела да, т.е. можно смотреть сколько секунд писался файл без антивируса и сколько это заняло при его включении. Разница получается получается довольно приличная.

Это мы знаем... Компиляцию антивирус существенно замедляет. Как я писал, к простым пользователям это отношения не имеет.

Имеет отношения к пользователям, использующий софт, который :) генерирует кучу временных файлов.

например emul, качающий кучу файлов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.