Перейти к содержанию
Сергей Ильин

Результаты теста проактивной антивирусной защиты II

Recommended Posts

SBond

ИМХО - Сигнатуры в любом случае нужны для эвристики, попробуйте представить себе отдельную программу - Эвристика, в тоже время например HIPS есть, и живые примеры у нас прям на сайте :), другое дело в дальнейшем эти две функции станут одним целым скорее всего... В любом случае как бы эта защита не называлась, это будет как раз проактивная защита... В любом случае, антивирус без эвристики будет не полноценен :)

---------------------------

Мечта :)

Как мне видеться(или представляется), т.е. какой должен быть антивирус - Хипс видит странное поведение программы, блокирует ее, тут же отдает антивирусу, если антивирус похожий вирус в базе не может найти, включается эвристика если и она не видит в ней ничего опасного, то тут же задается вопрос пользователю - например программа блокнот пытается получить прямой доступ к HDD (или пытается повлиять на другие программы, или пытается отправить данные посредством IE, или пытается получить возможность прописки в реестре в критической зоне и тд и тп) согласитесь, ну не может эта программа делать перечисленное, даже если антивирус не может в ней распознать недруга..., Дальше - больше, в предложении пользователю предлагается не только заблокировать программу, но и отправить ее на обследование, плюс, должна быть возможность удаленного обследования если это программа большая, плюс, при отправке была бы возможность чтобы сервер удаленно понимал сразу, что ему хотят отправить, и если это файл уже анализировался, то сразу вывод и тд... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
вы знаете - я "случайно" об этом знаю. Ну, просто "абсолютно случайно".

Вы сейчас занимаетесь эвристическим детектированием у какого то вендора и знаете как устроено детектирование потока малвары у большинства вендоров?

И так же "случайно" занимался сигнатурным анализом в иной области техники :D

В данном случае не имеет отношения к делу.

В ваших словах я не нашел ответа - каким образом сигнатура поможет вам от новой, еще неизвестной угрозы?

Зависит от неизвестной угрозы. Если вариация на тему старой или использует похожие идеи, то почему нет? Ну а если ну совершенно неизвестная и совершенно новая и пользуется непопулярными методами внедрения в систему и до коли неизвестными вредоносными действиями, то тут вам и прочие методы защиты не помогут.

Я вам даже названия привел...

Названия приведённые Вами мне интуитивно непонятны, лучше прикрепите интересующие файлы в закрытом разделе.

Или скажем, защитит от хорошего полиморфного зловреда?

Нередки случаи, когда делается просто распаковка полиморфной части и зловред берётся старой сигнатурой. Писать новый полиморфный движок авторам достаточно тяжело и на это идут редко.

Или - делаем вашу супер - пупер проактивную сигнатуру и используем ее одну. Зачем столько их качать каждый день?

Кстати, в методологии - для снижения влияния сигнатур на показатели - лучше всего иметь движок с 1 сигнатурой (если без оных совсем нельзя), скажем, под какой - нибудь Багбир... Тогда результаты будут показательными. Только вот откликнуться ли вендоры?

Не откликнутся. У большинства вендоров сигнатуры это большая часть движка. Всё остальное это просто модули которые подготавливают исходный файл в вид на котором удобно сравнивать сигнатуры.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

С моей точки зрения жесткое отделение сигнатурного и эвристического детекта не имеет смысла. Посмотрите на тот же Eset, там эвристика давно уже стала сигнатурной, уж простите такой каламбур.

Нет никакого смысла, как называют технологии сами вендоры. Для одних почти все эвристика и вердикты делаются с маркетинговой заточкой под это, для других - все exact или gen сигнатуры. При этом архитектура антивирусов тоже может различаться. Это ровным счетом ничего не меняет.

Какого назначение проактивки/эвристики? Обнаруживать еще неизвестные модификации и виды вредоносных программ ITW (которые ходят в дикой природе). Как это реализовывается в конкретном продукте мне как пользователю по барабану.

P.S. Доктор Веб вообще все еще публично не признался, что проактивные технологии существуют. До этого они всегда говорили, что это маркетинг конкурентов.

Не забывайте, что компания Eset выехала на том, что правильно смаркетировала свою методику работы вирлаба и их классификацию вредоносов. И мало кого волнует, что эвристика у Eset постоянно обновляется, т.е. принцип такой же, как и у расширенных сигнатур на семейства вредоносов (об этом писал dan выше).

Года так три назад все говорили, что наступит время и границы между сигнатурами и эвристикой будут стираться, так и происходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Как мне видеться(или представляется), т.е. какой должен быть антивирус - Хипс видит странное поведение программы, блокирует ее, тут же отдает антивирусу, если антивирус похожий вирус в базе не может найти, включается эвристика если и она не видит в ней ничего опасного, то тут же задается вопрос пользователю - например программа блокнот пытается получить прямой доступ к HDD (или пытается повлиять на другие программы, или пытается отправить данные посредством IE, или пытается получить возможность прописки в реестре в критической зоне и тд и тп) согласитесь, ну не может эта программа делать перечисленное, даже если антивирус не может в ней распознать недруга...,

и всеми любимая домохозяйка разрешает блокноту скачать последнее обновление с сайта notepad5478.ch...

не работает такая схема...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

У некоторых продвинутых вендоров есть такое понятие, как "поведенческая сигнатура". Это не "кусочек кода малвары", а ее типичное поведение в системе. И не важно откуда приходят эти данные - от эмулятора, или от поведенческого блокиратора. Главное что как не перекомпилируй малвару, не переобфусцируй/не перепаковывай ее, поведениее у нее остается прежним, и она детектится. Разве это не эвристика? Эвристика! Сигнатурная? Да, сигнатурная!

Таки вам шашечки или ехать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
У некоторых продвинутых вендоров есть такое понятие, как "поведенческая сигнатура".

Все верно, но я говорил о тупых сигнатурах, ты знаешь вообще, что я имел ввиду (например те, что кладутся автодятлом) :) Вот их влияние надо каким-либо образом уменьшать. Однако, совершенно пока не ясно каким образом выявить кто отработал. И ключиками -heur продвинутые сигнатуры не отключишь, ибо совершенно неизвестно что там наворотили разработчики в каждом конкретном продукте.

Я, кстати, посмотрел вердикты. Вот именно сигнатурного детекта там - вагон и маленькая тележка (беглый взгляд). А есть еще и специфические детекты, вроде детекта упаковщиков, которые надо бы оставить, но не факт, что у каждого вендора есть спец. имя для такого детекта. Сплошные грабли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
У некоторых продвинутых вендоров есть такое понятие, как "поведенческая сигнатура". Это не "кусочек кода малвары", а ее типичное поведение в системе. И не важно откуда приходят эти данные - от эмулятора, или от поведенческого блокиратора. Главное что как не перекомпилируй малвару, не переобфусцируй/не перепаковывай ее, поведениее у нее остается прежним, и она детектится. Разве это не эвристика? Эвристика! Сигнатурная? Да, сигнатурная!

Таки вам шашечки или ехать?

Именно к этой мысли я и пытался подвести Alexgr.

Но, к сожалению, осознание глубины собственных знаний затмевает ему желание разобраться в данной теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

у доктора получилось существенно лучше, вы не находите? :D Есть умение донести понятие, а есть его отсутствие...

Я и сейчас повторсь - по сути топика - для ликвидации вляния сигнатур - лучше, чтобы их не было(баз сигнатур), а в принципе - раз без них не стартует много продуктов - использовать одну, заранее известную. Тогда можно будет гарантировать некую чистоту эксперимента

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
у доктора получилось существенно лучше, вы не находите? :D Есть умение донести понятие, а есть его отсутствие...

Я по жизни стараюсь не сухо дать человеку кусок знаний, а подвести его к правильному выводу, чтобы потом человек лучше это запомнил, понял и применял. А то слишком мало в наше время люди думают...

Я и сейчас повторсь - по сути топика - для ликвидации вляния сигнатур - лучше, чтобы их не было(баз сигнатур), а в принципе - раз без них не стартует много продуктов - использовать одну, заранее известную. Тогда можно будет гарантировать некую чистоту эксперимента

Тогда "эвристики" у большинства продуктов не будет, таккак она основывается на базе тех или иных сигнатур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dan

alexgr

Оставьте тему понимания/подвода/объяснения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond

Извините за офтопик...

и всеми любимая домохозяйка разрешает блокноту скачать последнее обновление с сайта notepad5478.ch...

не работает такая схема...

Хм, мне казалось, что я вполне доступно написал.., какая разница блокнот или это совсем другая программа, и не важно какое обновление и тд, важно то, что она пытается сделать и тд...

Отчасти, все что мною перечислено, реализовано во многих антивирусах....

Про домохозяек... Чем дальше рынок этот будет развиваться, и чем больше опытных пользователей будет, и тем больше требования будут к программам..., прошло то время когда люди на компьютер смотрели как на нечто такое, и его использование сравнимо было с вождением самолета и тд... А малоопытные пользователи, они скорее всего, в большинстве, пользуются пиратскими копиями антивирусов, вот и нет от них требований к программам.

Думаю что рынок, любых программ, в ближайшем будущем будет гораздо требовательнее...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Defender

жаль что McAfee не тестился, интересно было бы увидеть, он вроде ничё сейчас :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Defender

Он сейчас очень-очень даже ничего. Второй в мире по защите домашних ПК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LS600
Если подумать о том, что заранее был сигнатурный детект, то объясните мне пожалуйста, где тут тест эвристиков или проактива?

Все смешалось...

Может отключить эвристику продукта, провести первый поиск, второй поиск провести с включенной эвристикой. Из результатов второго вычесть первые - получим собственно эффект работы эвристика.

Т.е. если не получиться отключить сигнатурный детект, можно отключить эвристик для тех продуктов, которые поддерживают такую возможность.

П.С. хотя не специалист, надеюсь никого с толку не собью своим постом, ибо говорю чисто навскидку. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Он сейчас очень-очень даже ничего. Второй в мире по защите домашних ПК

опять пошли громогласные заявления с возможной последующей ссылкой на тесты какого-то сайта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Может отключить эвристику продукта, провести первый поиск, второй поиск провести с включенной эвристикой. Из результатов второго вычесть первые - получим собственно эффект работы эвристика.

Т.е. если не получиться отключить сигнатурный детект, можно отключить эвристик для тех продуктов, которые поддерживают такую возможность.

sww лучше знает, конечно, но базы не делятся на абсолютный детект эмулятора и точная запись. Уж слишком тонкие грани; например до сих пор технология .origin не описана так, чтобы всем было ясно, что это за фрукт такой. А еще вопрос, что вендоры понимают под своими .gen

опять пошли громогласные заявления с возможной последующей ссылкой на тесты какого-то сайта.

Я полагаю, ничуть не затуманенный пиаром мозг Агента сформулировал мысль, что МкАфе на втором месте в мире по продажам. AFAIK, так оно и есть. А третьим, опять же AFAIK, идет Тренд Микро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
что МкАфе на втором месте в мире по продажам

Ну вот это уже совсем другое дело!

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Ну вот это уже совсем другое дело!
Ну, есть еще возможногсть посмотреть в сторону GW-edition, - не забывая, что это и Авира в том числе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Подумал я над результатами тестирования. И пришла мне, наверное, светлая мысль:) Может бросить использовать DrWeb и перейти на Авиру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

UIT

Скажу коротко.Девчонка на работе так хвалила DrWeb (когда я ей про Авиру рассказывал),а когда комп превратился в зоопарк,она так была расстроена.Ну и естесственно она перешла на Авиру,теперь у неё хорошее настроение.

В помощь антивирусу гипс всё же нужен.Хотя,без него у меня тоже всё отлично было,ради интереса гипс поставил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Может бросить использовать DrWeb и перейти на Авиру.

Зависит от криворукости пользователя.. Можно и без антивируса сидеть без вирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
...а когда комп превратился в зоопарк,она так была расстроена.Ну и естесственно она перешла на Авиру,теперь у неё хорошее настроение.

Судя по тестам, у Авиры тоже есть некоторые недостатки, это и самозащита и лечение активного заражения. У меня с DrWeb, ОС чиста. Но хочется, более высокого превентивного детекта. Вот и думаю - стоит или нет.

Можно и без антивируса сидеть без вирусов.

О, мне до такого уровня, далеко.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У меня с DrWeb, ОС чиста. Но хочется, более высокого превентивного детекта. Вот и думаю - стоит или нет.

По эффективности защиты ИМХО Авира будет получше, детект у нее реально хороший, правда и ложных срабатываний прилично, например, из-за детекта по подозрительному пакеру. Но у DrWeb если верить данных наших немецких коллег (см. обсуждение AV-Comparatives), тоже с ложными срабатываниями не все хорошо.

А если вдруг, всякое бывает, нужно будет пролечиться то для этого есть бесплптный DrWeb CureIT :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Qroxz

На многих сайтах встречал обсуждения ваших тестов, и везде сводится к тому, что кто больше платит, тех продукт и выигрывает.

Вот смотрю касперский в первых местах, хотя касперский слеп в плане поиска вирусов. Это не только мое мнение.К примеру я скачивал архив файлов, и стоял касперский, и за все время касперский не видел в этом файле, 3-х вирусов, и это за 2 года работы. Вирусы в архиве увидел аваст и комодо, касперский нет.

Я уж не знаю как вы их тестируете, но я полагаюсь на свой опыт работы с некоторыми продуктами, и с оценками тестирования я крайне не согласен.

Для настоящего тестирования нужно время, а не за неделю и месяц протестировать десятки продуктов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это не только мое мнение.К примеру я скачивал архив файлов, и стоял касперский, и за все время касперский не видел в этом файле, 3-х вирусов, и это за 2 года работы. Вирусы в архиве увидел аваст и комодо, касперский нет.

Задам наводящий вопрос. А с чего вы решили, что это были именно вирусы?

Посмотрите статистику ложных срабатываний, хотя бы здесь.

Во-первых, это могли быть ложные срабатывания упоминаемых вами антивирусов, легко. Во-вторых, если, как вы говорите, вирусы были в архиве, то многое зависит от настроек сканера, проверяются такие файлы или нет на автомате.

В-третьих это ни о чем не говорит абсолютно. С таким же успехом попользуйтесь годик Авастом, а потом поставьте Касперского и отпишитесь в этой теме о результатах. Или еще лучше, поставьте прямо сейчас себе Sophos, Panda или Avira и просканируйте на макс. настройках свой комп. ;)

На многих сайтах встречал обсуждения ваших тестов, и везде сводится к тому, что кто больше платит, тех продукт и выигрывает.

Вы знаете, так можно сказать про любое сравнение, вообще про любую аналитику или исследование. Более того, гораздо проще так сказать. Нужно вникать в тест, как он делался, каковы его цели, что он реально показывает и т.п. Если сам ты сделал выбора в пользу не слишком хорошего антивируса (неправильный выбор), то признать результаты теста, где он является середнячком - это значит расписаться в своей ошибке и/или некомпетентности. Это очень сложно, для некоторых почти нереально. Проще сказать, что тест продажный и т.п. и продолжить восхищаться правильностью собственного выбора.

Я уж не знаю как вы их тестируете

У вас есть шанс это поправить, ознакомиться с методологиями тестов, хотя бы вот этого, на проактивную защиты.

Для настоящего тестирования нужно время, а не за неделю и месяц протестировать десятки продуктов.

Совсем не обязательно. Все зависит от методологии. К тому же наши тесты повторяются и можно наблюдать динамику результатов за годы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×