Сравнение антивирусов по эффективности защиты от новейших вредоносных программ (результаты)

[georgy_n 80]

Уверяю вас, такой продукт есть smile.gif Версии типа 12.0 и 13.0 - это относится к Trend Micro Internet Security wink.gif

Я неточно выразился. Такая версия была, но уже и не помню в каком году - 5-6 лет назад. Посмотрите, например, тот же AV-Comparatives - уже на главной странице видна версия 12.1 (2008) пусть и для чуть более младшего продукта - VirusScan Plus; нумерация линейки все равно одна.

Так это и есть одно и тоже. Для наглядности данные таблиц представлены графически. У них даже названия совпадают.

Как раз названия графиков и вызывают недоумение: "Рисунок 1: Эффективность различных программ защиты против новейших угроз" и "Таблица 1: Эффективность антивирусных программ против новейших угроз". Я прочитал это как: для первого графика - то, что было взято превентивными составляющими, для второго - антивирусной частью продуктов. В принципе, интересно было бы знать, например, по KIS и Agnitum - сколько взято HIPS, а сколько антивирусной частью продуктов. Это наглядно могло бы показать превосходство (или необходимость) HIPS перед продуктами, лишенными данного класса защиты.

[Вадим Волков 176]

Может более логично будет поменять(перевернуть) цвета в табличках?

Зеленым помечать хорошие результаты, а красным и оранжевым - плохие.

В таблице со списком участников пропали единички в десятках. Нумерация идет от 1 до 9, а потом с нуля

[Илья Рабинович 521]

Это наглядно могло бы показать превосходство (или необходимость) HIPS перед продуктами, лишенными данного класса защиты.

Достаточно посмотреть на результат моей программы и на результат любого топового классического антивиря (например, Antivir) и всё становится ясно. А ведь антивирь ещё нуждается в серьёзной обвязке для сколь-нибудь разумных показателей на стороне вендора, что делает его намного дороже для конечного пользователя.

[georgy_n 80]

Достаточно посмотреть на результат моей программы и на результат любого топового классического антивиря

Илья, если говорить о HIPS, мне ближе классические. Если брать HIPS типа DefenseWall HIPS, я бы предпочел воспользоваться бесплатной Sandboxie, пусть последняя в чем-то уступает, но не сильно, да и я не параноик в плане нагромождения систем безопасности на своем ПК.

ЛК заявляет, и не безосновательно, что KIS имеет хорошую HIPS. И интересен был бы именно результат в разрезе. Пока же имеем, что Авира без всякой HIPS чуть уступила KIS. И вот интересно, сколько бы смог взять без HIPS тот же KAV.

[Илья Рабинович 521]

Если брать HIPS типа DefenseWall HIPS, я бы предпочел воспользоваться бесплатной Sandboxie, пусть последняя в чем-то уступает, но не сильно, да и я не параноик в плане нагромождения систем безопасности на своем ПК.

SandboxIE не бесплатен. Это nagware.

[dr_dizel 385]

Так мне кто-нибудь скажет почему на самом деле тестировали 33 ссылки, а не 34? И где 3-я таблица?

[Виталий Я. 859]

Меня порадовала Avira. Удивил, да - разочаровал меня Outpost немного - я лично ожидал больше от него. Очень жду комментов.

Paul

В Outpost (Security Suite и Antivirus) буквально на днях будет релизнута фича эвристического бессигнатурного движка, который уровень проактивки поднимет.

[Deja_Vu 366]

В Outpost (Security Suite и Antivirus) буквально на днях будет релизнута фича эвристического бессигнатурного движка, который уровень проактивки поднимет.

А до этого какая эвристика была в ваших продуктах? сигнатурная?

т.е. с помощью него вы охвативали полиморфов?

[Сергей Ильин 1538]

20% - большой показатель, особенно учитываю плотную группу в середине...

Не стоит воспринимать цифру 20% так формально, Deja_Vu правильно написал.

Обнаружение не значит защита ... опять же -))

Потом первоначальный детект файловыми антивирусами если и имел место быто, то это крайне редко был точный детект. В большинстве случаев это работы эвристики в широком смысле этого слова (Generic/GEN, FAM, probable ..., HEUR ..., Suspicious ...).

http://www.anti-malware.ru/forum/index.php?showtopic=3632

Т.е. это как то, что чаще всего подразумевают под проактивкой.

[Olegka-2007 0]

ЛК заявляет, и не безосновательно, что KIS имеет хорошую HIPS. И интересен был бы именно результат в разрезе. Пока же имеем, что Авира без всякой HIPS чуть уступила KIS. И вот интересно, сколько бы смог взять без HIPS тот же KAV.

Avira держит марку! Когда они добавят свой HIPS, то им равных уже не будет.

[p2u 824]

Avira держит марку! Когда они добавят свой HIPS, то им равных уже не будет.

Зависит во-первых от того, какой вид HIPSа и какие его настройки будут по умолчаню. Во-вторых: конкуренты вряд-ли на месте будут стоять.

Paul

[Сергей Ильин 1538]

В принципе, интересно было бы знать, например, по KIS и Agnitum - сколько взято HIPS, а сколько антивирусной частью продуктов. Это наглядно могло бы показать превосходство (или необходимость) HIPS перед продуктами, лишенными данного класса защиты.

Можно сравнить результаты Касперского и похожих по уровню ретроспективного детекта продуктов (как вариант - BitDefender). Делить вердикты и алерты на классы дело крайне сложное и неблагодарное. С уверенностью 100% это могут сделать только разработчики этих продуктов, не у всех так все более или менее прозрачно, как в KIS 2009.

Можно попросить Deja_vu по памяти сделать такую оценку для KIS 2009

Так мне кто-нибудь скажет почему на самом деле тестировали 33 ссылки, а не 34? И где 3-я таблица?

В полном отчете в формате Excel есть и таблица 3 и все 34 ссылки на самом деле.

[Deja_Vu 366]

Можно сравнить результаты Касперского и похожих по уровню ретроспективного детекта продуктов (как вариант - BitDefender). Делить вердикты и алерты на классы дело крайне сложное и неблагодарное. С уверенностью 100% это могут сделать только разработчики этих продуктов, не у всех так все более или менее прозрачно, как в KIS 2009.

Я сначала хотел фиксировать, каким модулем блокирован зловред.

Но многие продукты, в некоторых ситуациях, даже алерты не выдают -((

[georgy_n 80]

В Outpost (Security Suite и Antivirus) буквально на днях будет релизнута фича эвристического бессигнатурного движка

Виталий, а не могли бы Вы сделать какие-либо выводы (предположить) относительно того, почему модуль "Локальная безопасность" не оказался столь эффективен. Связка Outpost Firewall Pro (последняя beta) (не установлены веб-контроль и анти-шпион) + Dr.Web Security Space работает очень неплохо, здорово дополняя друг друга. И мои личные наблюдения и выводы не согласуются с результатами теста.

Можно сравнить результаты Касперского и похожих по уровню ретроспективного детекта продуктов (как вариант - BitDefender). Делить вердикты и алерты на классы дело крайне сложное и неблагодарное. С уверенностью 100% это могут сделать только разработчики этих продуктов, не у всех так все более или менее прозрачно, как в KIS 2009.

Интересно посмотреть на результаты при условии, когда продукты настроены на max самими разработчиками.

[Olegka-2007 0]

Зависит во-первых от того, какой вид HIPSа и какие его настройки будут по умолчаню. Во-вторых: конкуренты вряд-ли на месте будут стоять.

Paul

Просто если без дополнительных компонентов (будь то ПДМ или ХИПС) Авира, одной голой эвристикой (на МИНИМУМЕ) показала результат, чуть уступающий Касперу. Я вот о чем. Потенциал у них есть. А конкуренты конечно не должны стоять на месте, а развиваться. Скажем спасибо конкуренции

ps А вообще рад за Каспера! Хороший результат!

[dr_dizel 385]

В полном отчете в формате Excel есть и таблица 3 и все 34 ссылки на самом деле.

Тогда нужно писать, что таблица 3 находится в дополнительном файле там-то. А то смотрите сюда, а "сюда" нет в статье.

З4 ссылки вижу. Где есть две дублирующиеся. Обозваны как: "12 - http://supershop.co.il/pelingator.exe" и "http://supershop.co.il/pelingator.exe". С одинаковый хэшем и именами детекта. С разным результатом в тесте.

Почему так?

[Сергей Ильин 1538]

Интересно посмотреть на результаты при условии, когда продукты настроены на max самими разработчиками.

А зачем? Если только из академического интереса, прикладного значения это не имеет. Пользователи в своей массе редко что-то меняют в настройках антивирусов.

Где есть две дублирующиеся. Обозваны как: "12 - http://supershop.co.il/pelingator.exe" и "http://supershop.co.il/pelingator.exe". С одинаковый хэшем и именами детекта. С разным результатом в тесте.

Почему так?

Проверю по исходникам, скорее всего проблема в копипасте ...

[Deja_Vu 366]

Проверю по исходникам, скорее всего проблема в копипасте ...

Думаю что нет ... проглядели -))

Но семпл тетсировался в разное время.

Один позже, второй раньше.

[seevbon 40]

Спасибо порталу и тестеровщикам непосредственно за проделанную работу.

Илья Рабинович, никогда не использовал Ваш продукт. Результатами впечатлен, поздравляю.

Первое впечатление: тест интересный, но некоторые мелочи оставляют какой-то мутный осадок.

Не понятно,

1. почему написано таким образом

в сравнении участвовали:

...

Kaspersky Internet Security 2009 (8.0.0.454)

Среди антивирусов лучшими оказались Антивирус Касперского ... Высокие показатели защиты Антивируса Касперского связаны в первую очередь со встроенным компонентом HIPS , позволяющим оценивать вредоносные рейтинги любых приложений при помощи репутационных механизмов (whitelisting).

2. почему не написать в итоговой таблице наименования продуктов так же, как в методологии один к одному

3. почему итоговую таблицу не сделать единой для всех участников

[dr_dizel 385]

Думаю что нет ... проглядели -))

Но семпл тетсировался в разное время.

Один позже, второй раньше.

У них md5 один. Ссылка одна и та же. Но разный результат.

Читаем:

Для этого под управлением VMware Workstation 6.0.3 был создан набор чистых виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP2 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты из числа приведенных ниже.

Получается, что на виртуалках базы АВ не замораживались, а сами АВ обновлялись? Как это стыкуется с детектом не более чем ~20%? Когда он проверялся? До или после? Может вы ещё чего "проглядели"?

[Deja_Vu 366]

У них md5 один. Ссылка одна и та же. Но разный результат.

Эм ... проверте файл в январе 2007 года, а потом в декабре этого же ... результат тот же будет?

Получается, что на виртуалках базы АВ не замораживались, а сами АВ обновлялись? Как это стыкуется с детектом не более чем ~20%? Когда он проверялся? До или после? Может вы ещё чего "проглядели"?

До или после чего?

Странный какой то вопрос.

А "проглядели" в том смысле, что надо было другой семпл взять. Т.к. в отчет попали уже отсеяные результаты.

Семплов было больше.

[dr_dizel 385]

Эм ... проверте файл в январе 2007 года, а потом в декабре этого же ... результат тот же будет?

Это отмазка. Вы же тест делаете. Дублирование вносит искажения. Статистику никто не отменял, хоть её и не все любят.

Предлагаю выкинуть столбец АА и пересчитать результаты на 33 ссылки. Столбец А - честнее.

А то с таким подходом можно вообще выжидать нужный момент для теста того или иного семпла по ссылке для интересов определённого вендора.

[Deja_Vu 366]

Это отмазка. Вы же тест делаете. Дублирование вносит искажения. Статистику никто не отменял, хоть её и не все любят.

Предлагаю выкинуть столбец АА и пересчитать результаты на 33 ссылки. Столбец А - честнее.

А то с таким подходом можно вообще выжидать нужный момент для теста того или иного семпла по ссылке для интересов определённого вендора.

Приходили ссылки массой большой и как приходили.. в этот же момент и проверяли.

Дубли выкидывали, брались более ранние ...

Никаких спецальных подгонов не было... честное слово

[dr_dizel 385]

Приходили ссылки массой большой и как приходили.. в этот же момент и проверяли.

Дубли выкидывали, брались более ранние ...

Никаких спецальных подгонов не было... честное слово

А кто же знает как оно на самом деле было, господа присяжные заседатели...

Методология не даёт точный ответ о том как отбирались семплы, как и когда они потом тестировались.

А тот сэмпл вы засветили на VirusTotal - в методологии об этом даже написано, да.

[Deja_Vu 366]

А кто же знает как оно на самом деле было, господа присяжные заседатели...

Методология не даёт точный ответ о том как отбирались семплы, как и когда они потом тестировались.

А тот сэмпл вы засветили на VirusTotal - в методологии об этом даже написано, да.

Ну, если уж вообще не верите, думаю вам в тему NOD32 Это модно и круто!

Там, думаю вас поймут -))

Светились все бинарники - это точно