Перейти к содержанию
Сергей Ильин

Сравнение пяти антивирусов от Компьютерры и Anti-Malware.ru

Recommended Posts

Сергей Ильин

Рад представить вашему вниманию отчет о первом комплексном тетировании антивирусных продуктов.

Тест был сделан нами совместно с издательским домом Компьютерра и опубликован на их сайте.

http://www.computerra.ru/gid/331706/

Для теста были отобраны пять наиболее популярных у нас в стране персональных антивирусных продуктов:

Антивирус Касперского 7.0

Eset Nod32 2.7

DrWeb 4.4

Norton Anti-Virus 2007

Avira AntiVir PE Classic 7.0.

Основные выводы теста

antimalware-table.jpg

antimalware-legend.jpg

antimalware-final-table.jpg

antimalware-dia.jpg

Интерпретация результатов

Как видно из таблицы, первое место в сравнительном тестировании занял "Антивирус Касперского 7.0", который опередил ближайшего конкурента, Norton Anti-Virus 2007, на целых 15 баллов. Впрочем, суммарный балл - это поверхностный показатель. Когда стоит вопрос о выборе антивирусной программы, рекомендуем поинтересоваться, из чего же суммарный балл, собственно, складывается.

По мнению экспертов Anti-Malware.ru, отрыв "Антивирус Касперского 7.0" от конкурентов обеспечили высокая скорость реакции на новые угрозы, частота обновлений антивирусных баз, отличный поведенческий блокиратор, не имеющий аналогов у конкурентов, возможности эффективного удаления руткитов, самозащита и широкая поддержка упаковщиков.

Укрепила лидерство "Касперского" его широкая функциональность: поиск активных руткитов, проверка трафика HTTP "на лету", возможность отмены изменений, сделанных вредоносными программами, включенное в состав средство аварийного восстановления, автоматическая настройка нагрузки на центральный процессор, организация доверенной зоны и ещё некоторые возможности.

Среди слабых сторон "Антивируса Касперского 7.0" - недостаточная устойчивость к сбоям, уступающее некоторым конкурентам качество эвристического анализатора, не позволяющего пока надежно защищать от неизвестных видов угроз, а также значительное количество ложных срабатываний.

Второе место по праву занял Norton Anti-Virus 2007. К его сильным сторонам причисляют удобство и простоту интерфейса, устойчивость к сбоям, качество сигнатурного детектирования и минимальное количество ложных срабатываний.

Его слабые места: сильное замедление системы, минимальные возможные настройки, очень низкая скорость реакции (это сильно повышает риск заразиться новым вирусом), очень слабые проактивные технологии и ограниченная поддержка упаковщиков.

Третье место занял антивирус Eset Nod32 2.7, активно продвигаемый последнее время в России. Сильными сторонами продукта можно назвать качественный эвристический анализатор и низкое влияние на производительность системы. Слабые места Nod32: морально устаревший интерфейс, низкая скорость реакции на новые угрозы, отсутствие поведенческого блокиратора, а также почти отсутствующие возможности обнаружения активных руткитов и лечения активного заражения системы.

Судя по суммарным баллам, "Доктор Веб" совсем чуть-чуть не дотянул до Nod32 и Norton AV. Как и в Nod32 здесь нет активного блокиратора, средств для борьбы с активным заражением и обнаружения руткитов. Ко всему прочему, до общего уровня не дотягивает эвристический анализатор. Зато "Доктор Веб" может похвастать простотой установки, скоростью реакции и гибкостью настроек.

Последнее место с худшими оценками занял бесплатный продукт Avira AntiVir PE Classic 7.0. С сигнатурным детектированием он справляется хорошо, да и аналитический анализатор у "Авиры" на достойном уровне, но дело портит почти полное отсутствие поддержки упаковщиков и крайне слабые средства защиты системы и лечения заражённых программ.

Большинство протестированных программ стоят примерно одинаково - около 1000 рублей. Бесплатна одна "Авира", и это единственное свойство, делающее программу привлекательной. Качество технической поддержки - естественное преимущество отечественных производителей антивирусов. "Лаборатория Касперского" и "Доктор Веб" в этом плане на высоте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Интересно, как же это вы считали количество ложных срабатываний ??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

вообще как чего считали, как оценивалось удобство интерфейса... устойчивость к сбоям, непонятно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Много субьъективности в таких тестах - для одних приятен интерфейс для других нет...и по другим показателям также

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Panasonic

Так какая же версия DrWeb участвовала в тестировании?

Бета 4.4 или 4.33, а то в перечне участников 4.4, а на картинке в результатах 4.33.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

судя по результатам - 4.33

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так какая же версия DrWeb участвовала в тестировании?

Бета 4.4 или 4.33, а то в перечне участников 4.4, а на картинке в результатах 4.33.

4.33, как официальную релизную версию на данный момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Гм эвристика и фолсы значит говорите на троечку...ну ну.

а что вам в интерфейсе-то не понравилось, за чо сняли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно, как же это вы считали количество ложных срабатываний ??

На собранной коллекции чистых файлов, естественно. Вообще это направление потянет на отдельный полноценный тест, мы в скорее его сделаем.

Неужели ваш вопрос, связан с несогласием с оценками в строке "ложные срабатывания"? :)

вообще как чего считали, как оценивалось удобство интерфейса... устойчивость к сбоям, непонятно..

Оценка интерфейса субъективная. Как еще его можно оценить?

Нравится/не нравится тут не подходит. Мы смотрели именно на удобство использования продукта. Сколько действий требуется для настройки той или иной функции, какие действия от пользователя требуется в том или ином случае.

Помоему само словосочетание "устойчивость к сбоям" уже говорит само за себя. Не нужно быть семи пядей во лбу, чтобы иметь на руках какую-то статистику здесь.

Добавлено спустя 2 минуты:

а что вам в интерфейсе-то не понравилось, за чо сняли?

Если речь идет о КАВе, то интерфейс местами сложноват. Нет интуитивного понимания, что где находится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
На собранной коллекции чистых файлов, естественно. Вообще это направление потянет на отдельный полноценный тест, мы в скорее его сделаем.

Неужели ваш вопрос, связан с несогласием с оценками в строке "ложные срабатывания"? :)

Конечно.

Сколько файлов в коллекции ? Сколько дистрибутивов Windows в коллекции ? Сколько файлов в коллекции упаковано ? и т.д.

Ложные срабатывание какого рода - сигнатурные, эвристические, поведенческие ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так какая же версия DrWeb участвовала в тестировании?

Бета 4.4 или 4.33, а то в перечне участников 4.4, а на картинке в результатах 4.33.

4.33, как официальную релизную версию на данный момент.

Сергей, по какому критерию произошло разночтение в оценках эвристиков KAV 7.0 и Dr.Web 4.33, если оба показали одинаковое количество ложных срабатываний на одной и той же коллекции файлов? Или коллекции были разными?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей, по какому критерию произошло разночтение в оценках эвристиков KAV 7.0 и Dr.Web 4.33, если оба показали одинаковое количество ложных срабатываний на одной и той же коллекции файлов? Или коллекции были разными?

Файлы для этих тестов были разные. В одном случае - коллекция чистых файлов, в другой - malware.

Сколько файлов в коллекции ? Сколько дистрибутивов Windows в коллекции ? Сколько файлов в коллекции упаковано ? и т.д.

Я уточню параметры коллекции и отпишусь позже.

Ложные срабатывание какого рода - сигнатурные, эвристические, поведенческие ?

Сигнатуры + эвристик. Поведенческие фалсы не мерились, так как это бы потребовало запуска каждого семпла на каждом антивирусе, что существенно бы усложнило тестирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

В принципе соглашусь с табличкой.

Если брать по Нортону то не соглашусь только с “Замедление системы при использовании” Например я визуально разницы не вижу, что Кав что Нортон – одинаково.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сигнатуры + эвристик. Поведенческие фалсы не мерились, так как это бы потребовало запуска каждого семпла на каждом антивирусе, что существенно бы усложнило тестирование.

Производители антивирусов были уведомлены об обнаруженных ложных срабатываниях ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём

А гибкость настроек чем не понравилась у Nod32? За что балл сняли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Вообще говоря, табличка, в смысле сравнение, напоминает подобные из параллельных тем про нод и каспа и достойна, по-моему, журналов типа космополитен или кул, но никак ни антималваре или даже компутерры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dexter, а как по вашему можно лучше свести комплексное сравнение антивирусных продуктов к двум страницам А4?

Можно написать том из 50 страниц, но пресса требует несколько другого формата.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
а как по вашему можно лучше свести комплексное сравнение антивирусных продуктов к двум страницам А4

Разумеется никак.

Или многотомное исследование нужно, которое в конце концов ничего не докажет и не объяснит или личный опыт для личного потребления.

Других вариантов нет.

пресса требует несколько другого формата.

О прессе я и сказал. :)

Пресса разная ведь бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vyslali

то ли компутерра попсеет и глупеет

то ли рекламодатели умнеют

сначала в ней пандус расписали

потом под видом обзора реклама каспера7

а в тесте явно мочили нод32 и доктора. ну и халявную авиру, чтоб не вылезала

cool boy и правда зачитался бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

Во во -у меня avira premium -уже давно 1 января русскую локализацию продают.Да и нод все больше по пиратски пользуют.

Детект сигнатурно у премиум выше всех,кроме каспера-там на уровне примерно идут.

Обновления у бесплатной 3 раза в неделю по капле,а у премиум по 2 мб в сутки иногда и по 10-12 мб раз в три-семь дней-движок обновляют и компоненты.

Тест в пользу одного продукта явно.Да и по поводу самозащиты-ни разу за последние пять лет не видел,чтобы вирь антивирь вышиб с компа.

Кому это надо то? Данные сопрут легко и никакая проактивка не спасет.

Вот зачем касперу сразу и сигнатуры и пдм и эвристик.

Оставили бы свой пдм и сигнатуры-если чего то сигнатуры пропустят-пдм прихлопнет-разве нет?А уж детект бесплатной авира явно переплюнет нортон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а в тесте явно мочили нод32 и доктора. ну и халявную авиру, чтоб не вылезала

Зря вы так ... скажите на чем замочили, например, Nod32?

По каким пунктам занизили баллы?

Да и по поводу самозащиты-ни разу за последние пять лет не видел,чтобы вирь антивирь вышиб с компа.

А вы тест наш видели?

http://www.anti-malware.ru/index.phtml?par...=selfprotection

У Авиры один из самых жалких результатов.

Обновления у бесплатной 3 раза в неделю по капле,а у премиум по 2 мб в сутки иногда и по 10-12 мб раз в три-семь дней-движок обновляют и компоненты.

Но мы то брали тестировали бесплатную версию. В чем ошибка то в нашей табличке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём

Возвращаясь к вопросу о гибкости настроек!

http://forum.kaspersky.com/index.php?showtopic=47929

Всё это можно настраивать в Nod32! Не понимаю за что КАВ получил 5, а Нод только 4??? :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну например в ноду нельзя сказать проверять трафик идущий через все открытые порты, он вообще не знает какие у него порты открыты на компе и пользователю надо самому ручками забивать чрез точку с запятой нужные ему порты

У каспера так

_____.jpg

post-10-1189527982.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём
пользователю надо самому ручками забивать чрез точку с запятой нужные ему порты

Не совсем так! Есть такой пункт "Aвтoмaтичecки oбнapужить HTTP coeдинeниe нa дpугиx пopтax" :wink:

он вообще не знает какие у него порты открыты на компе

Откуда такая уверенность? :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

настройки почтового анттивируса, например, столь же обширны?

10_1189529857.jpg_730.jpg

а еще я не уверен в том, что нодовской задаче сканирования можно сказать уступать ресурсы приложениям када у тебя на компе куча всего запущено

и не уверен я также, что можно настроить задачу сканирования так, чтобы можно было ее запускать на компе от имени админа.

Объясню зачем: есть у вас задача по расписанию и есть аккаунт ребенка, под учетной записью которого доступ к каким-то файлам и папакам запрещен. Ну и чо будет когда задача запустится когда ребенок на компе...папки файлы не проверятся.

А можно, например, заданные настройки сканирования применить ко всем созданным задачам сканирования?

__935.jpg

Добавлено спустя 57 секунд:

пользователю надо самому ручками забивать чрез точку с запятой нужные ему порты

Не совсем так! Есть такой пункт "Aвтoмaтичecки oбнapужить HTTP coeдинeниe нa дpугиx пopтax" :wink:

он вообще не знает какие у него порты открыты на компе

Откуда такая уверенность? :wink:

а почтовые порты?

__________________.jpg

________.jpg

post-10-1189530177.jpg

post-1-1189530177.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×