Перейти к содержанию
Согласен

Тесты антивирусов 2014

Recommended Posts

Сергей Ильин

Killer, тест по объективным причинам потерял актуальность. У меня лично нет сейчас уверенности, что его надо делать. Деньги мы потратить всегда можно, вопрос целесообразности.

Если тест на лечение нужен, то давайте обсуждать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Огласите полный список объективных причин, пожалуйста:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я вижу две причины:

1. Нет новых типов сложных угроз, которые бы попадали под методологию этого теста. Тестировать на статье интересно конечно, но что это показывает?

2. Лидеры все те же, никаких изменений тут не предвидится . Заранее известно кто будет в ТОП-3 и ТОП-5.

Может быть у форумчан будут другие мнения или кто-то меня дополнит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

хоть какой-нибудь тест после последнего в июле 2013 года будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
хоть какой-нибудь тест после последнего в июле 2013 года будет?

Будут тесты на быстродействие, тест фаерволов/IPS также планируется. Тест на лечение под вопросом, как я писал выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Будут тесты на быстродействие, тест фаерволов/IPS также планируется. Тест на лечение под вопросом, как я писал выше.

Несмотря на то, что некоторые компании отказались от учета результата теста на лечение, тест все-равно проводится. Пожалуй, я соглашусь с тем, что результаты мало изменятся, да и малвары прорывной давно уже не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

sww, может заменить тест на что-то более интересное?

Давно уже есть идея теста на защиту от банковских троянов. Принцип отбора малвари может быть такой же, как и в тесте на лечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Давно уже есть идея теста на защиту от банковских троянов.

Мне почему-то такой тест кажется неподъемным. Существуют как програмные, так и аппаратные решения и хорошо бы их сравнить в одинаковых условиях. Ну, зато выбор малвары вполне достойный ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
может заменить тест на что-то более интересное?

На Zero-Day давно не проводился, технологии у многих изменились..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сергей Ильин, предлагаю посмотреть лс, т.к это на правах бреда и потому приватно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Сергей Ильин, предлагаю посмотреть лс, т.к это на правах бреда и потому приватно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Мне почему-то такой тест кажется неподъемным. Существуют как програмные, так и аппаратные решения и хорошо бы их сравнить в одинаковых условиях. Ну, зато выбор малвары вполне достойный

Я предполагал сравнить именно антивирусные средства. Сейчас уже только ленивые аверы не говорят о защите от этой заразы. Аппаратные средства тоже было бы интересно протестировать, но тут другая специфика. ИМХО если спец. аппаратные решения на практике не защищают, то тест по сути покажет их ущербность или дыры. Да и получится странно немного, будем сравнивать например KIS и какой-нибудь токен с ОТП. Все равно что сравнивать семейный внедорожник и трактор по проходимости.

priv8v, предложил хорошую идею - сделать тест на защиту от адвари. По практике на ВирусИнфо видно, что тема злободневная. С ней может сравниться разве что проблема шифровальщиков (кстати тоже тема для дискуссий).

Да, тест на защиту от адвари будет нишевой, но интересный и актуальный. Что скажете?

На Zero-Day давно не проводился, технологии у многих изменились..

Да, давно не делали по ряду причин. Можно запланировать его на этот год.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Попробую обосновать небходимость теста на детект адвари:

1. интерес простых людей - не секрет, что адвари намного больше чем малвари в последнее время. практически все теперь скачивается через специальные загрузчики, которые тащат с собой тулбары и прочую ересь, причем этим по партнеркам занимаются как рядовые вебмастера, так и гигантские даунлоад порталы, только уже со своими фирменными даунлоадерами.

2. по политическим соображениям некоторые вендоры не детектят определенную адварь, т.е даже при засылке в вирлаб отвечают, что вредоносный код не обнаружен.

3. некоторые вендоры на дефолтных настройках не детектируют адварь - детект лишь для автеста, который выставит макс.настройки.

4. налицо давление со стороны адвари на аверов (как в форме наездов, так и в форме вежливых увещеваний через письма топам, юристам, саппорту и личных встреч на конференциях и в офисе авера).

5. индустрия во мгле - по вт на один и тот же популярный файл можно наблюдать с течением времени метания аверов - то задетектят, то уберут детект, то снова наложат.

6. имхо, такого теста еще ни у кого не было, хотя адварь в топе у всех вендоров, причем занимает там не какую-то одну позицию, а чуть ли не пол топа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Попробую обосновать небходимость теста на детект адвари:

Ничем не отличается от обычного теста коллекций, т.е. не актуально, имхо. Проблемы все эти есть и т.д. и т.п., но сути дела это не меняет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Проблемы все эти есть и т.д. и т.п., но сути дела это не меняет.

Ага, т.е возражений на мою характеристику с ситуацией по адвари в отрасли по сути нет, осталось прийти к некоему общему знаменателю по двум пунктам:

1. актуальности

актуальность вроде бы рассмотрена мной в предыдущем сообщении

2. отличиям от сканирования обычной коллекции

Отличие, имхо, будет кардинальное. Допустим, берем 50 семейств популярной адвари по 100 файлов с каждого.

С этого будем иметь картину:

Антивирус Х на дефолтных настройках детектит частично* детектит 10 семейств, на максимальных столько же.

Антивирус Y на дефолтных вообще не детектит, на максимальных 20 семейств частично детектит.

Антивирус Z на дефолтных частично детектит все семейства

*частично означает, что из 100 файлов данного семейства антивирус детектит 83 - т.е в целом он с этим семейством борется, а не игнорирует, т.е оставшиеся файлы не задетектились не по политическим соображениям, а по техническим (не попали в вирлаб, были почему-то отсеяны роботом и т.д).

Популярный загрузчик loadmoney детектят почти все

загрузчик от мейл.ру на vt

А вот другую адварь вирустотал кто-то детектит, а кто-то нет - и так со всей адварью.

При грамотном подходе тест будет популярен и привлечет людей - всех давно волнует проблема всей это дряни (судя по хабру, рубоарду, другим форумам). Заранее предупреждаю на всякий случай - каспер будет где-то в серединке, есет и доктор веб в первой пятерке, симантек и майкрософт - аутсайдеры, битдефендер - ниже среднего, но выше плинтуса :)

PS: почему АМ нет на хабре? может с этого теста начать выход туда? там темы про адварь были мега-популярными с немеренным количеством сообщений :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
2. отличиям от сканирования обычной коллекции

Отличие, имхо, будет кардинальное. Допустим, берем 50 семейств популярной адвари по 100 файлов с каждого.

Никакого отличия от сканирования коллекций. Восприниматься будет именно так. Все интересные вопросы типа "политики партии", "субъективного выбора вирусного аналитика" и так далее, останутся за кадром и в тесте никак не будут отражены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@Да, давно не делали по ряду причин. Можно запланировать его на этот год.@

Я только ЗА, обоими руками) Только не надо его делать на ХР))))) Предлагаю исключительно 8.1 х64. К тому времени, как вы раскачаетесь, как раз выйдет апдейт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Предлагаю исключительно 8.1 х64.

Для вас лично? )

Думаю самый оптимальный выбор, и массово используемая ось - 7(32)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Нет, не лично для меня, а для всех. Скажите, а выпускать на шаг отстающие тесты - это здорово или модно? Прогресс - развитие, на шаг впереди, и т п. Есть последняя ОС - Вин8, зачем нужны устаревшие? Да и к тому же 32(тридцати двух, если кто не понял) битные? Вы много компов видели с 1 гигом оперативы? Или вы тестируете оси для смартфонов? Ну я вас умоляю! У меня есть товаришь, он до сих пор сидит на хр - ну и что? Зачем нужны изначально морально устаревшие тесты? Я не понимаю, честное слово)

UPD

Нет, ну а чего? А давайте тестить антивири 3-х летней давности? Мож они тоже _статистически_ у бОльшего числа хомячков установлены? А новые - да кому они нафиг нужны? Нет, я действительно не понимаю, зачем, почему нужно объяснять элементарные вещи, что тесты должны быть самые новые, на новых осях и т д?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Не устаревшие, а массово распространенные рабочие системы, это пока 7-ка и даже ХР, 32бит. Как бы вы этого не противились.) Цель ведь не новую Ось тестировать? А последние АВ, на массово распространенных системах пользователей.

И большинству, думаю именно эти тесты будут более интересны и актуальны.

имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Не устаревшие, а массово распространенные рабочие системы, это пока 7-ка и даже ХР, 32бит.

http://store.steampowered.com/hwsurvey

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

На геймеров не круто ссылаться в этом случае. Лучше на аудиторию одноклассников каких-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
На геймеров не круто ссылаться в этом случае. Лучше на аудиторию одноклассников каких-нибудь.

Это не отдельная профессия, т.ч. нормально для средней выборки по больнице.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Как видно по статистике, на 8-ке из-за малой популярности, не актуально пока тестировать АВ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×