Перейти к содержанию
Иван

Сравнение скорости реакции различных вендоров (Commtouch)

Recommended Posts

Сергей Ильин

Посмотрел еще раз график, смущает меня одна вещь ... почему так не равномерно по времени многие вирлабы долбят вирусы?

Взгляните, большинство или знают вредонос сразу или детектят только его через сутки. А что они делают в период от 4 до 24 часов? :?

Более менее равно работают Доктор Веб, AVG, F-Prot. У некоторы диапазоны 16-24 или 8-16 отсутствуют как класс.

У Касперские спят в период от 16 до 24 часов, потом просыпаются и начинают добавлять в базы и это при ежечасном обновлении! Напрашивается вопрос, а не багливый ли тест?

Добавлено спустя 1 минуту 12 секунд:

Иван, спасибо за наглядное представление результатов.

:thanks:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Можно ли поменять цвет "Не детектируется в течении периода анализа" или больше суток? Любой из них на желтый, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

а воот мне интересно - когда уважаемые авторы теста опубликуют тест на склероз? Ведь забавно, что именно решение от авторов страдает хроничеким склерозом - после 14 дней начисто забывает о когда - то новых вирусах :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Результаты Commtouch можно использовать в маркетинговых материалах как данные по скорости реакции.

Например: "Sophos Antivirus оказался лучшим по обнаружение неизвестных вирусов" или "Антивирус Касперского оказался лучшим по скорости реакции на новые угрозы за первые 24 часа".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин
Например: "Sophos Antivirus оказался лучшим по обнаружение неизвестных вирусов"

Да, я пожалуй так и сделаю, добавлю сию информацию в маркетинговые материалы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Самый "скоростной" антивирус

Источник: Osp.ru (Москва)

Автор: БЕЗ АВТОРА

Дата: 5 декабря 2007

05.12.2007

Опубликованы результаты сравнения скорости реакции различных антивирусов на появление новых экземпляров вирусов. В ноябре лучший результат показал антивирус Sophos, который определял более 80% вирусов в течении первого часа. Это говорит о качестве его проактивной технологии обнаружения, поскольку за час со времени обнаружения ни одна лаборатория среагировать не успеет. Второе место по этому показателю разделили антивирусы Panda и F-Prot, у которых доля обнаружения вирусов в первый час находится на уровне 55%.

Однако если сравнивать уровень обнаружения вирусов, то на первом месте оказались антивирусы "Лаборатории Касперского" и F-Secure, которая пользуется движком "Касперского". Оба антивируса показали результат около 97% обнаружения вирусов, в то время как Sophos - всего 93%. То есть хотя проактивная технология "Касперского" уступает по степени обнаружения новых вирусов, но лаборатория работает более оперативно. По результатам предыдущих трех месяцев (с августа по октябрь) по уровню обнаружения вирусов лидирует "Лаборатория Касперского" и F-Secure (92% детектируемых вирусов), а по качеству работы проактивной технологии первое место разделили Panda и BitDefender (примерно по 56% детектируемых вирусов в течении часа у обоих). Методика исследования следующая: вирусы обнаруживались компанией Commtouch по массовости их рассылки, а затем выделенные вредоносные коды посылались на обнаружение в лабораторию AV-Test.org, где сравнивались вердикты различных антивирусов в зависимости от времени.

Вот мне интересно, эти ребята с линейкой чтоли сидели замеряли мои диаграммы? Как-то не полюдски, взяли бы данные у меня (поскольку их прикидки с линейкой не точны), сослались бы на антималваре...а так какой-то детский сад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Мне вообще нравится стиль изложения статьи, просто читаю между строк:

Опубликованы результаты сравнения ... лучший результат показал антивирус Sophos,... на первом месте оказались антивирусы "Лаборатории Касперского" ... лидирует "Лаборатория Касперского"...

Это новый метод зомбирования?

И еще:

а по качеству работы проактивной технологии первое место разделили Panda и BitDefender

Ну как-то совсем плохо коррелирует вот с такими данными,

взятыми отсюда:

http://sophos.com/security/blog/2007/12/825.html и кстати тоже весьма свежими (публикация 4 декабря 2007).

proactive_chart.gif

post-1270-1196930151.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

вы уж меня простите Олег, но ваши данные у меня как раз вызывают серьезнейшие сомнения.Я не оспариваю высокие результат Софоса, которые он показал. Тем более что и комтача он тоже показывает высокий результат. Но вот уровень проактивного обгаружения у Бита меньший чем симантека - это просто смешно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Любые тесты можно подвергать сомнению, так как существуют разные методы тестирования и Ваш, Иван, развернутый ответ по этой теме лишнее тому доказательство.

Что касается конкретно последнего теста, то это совокупные результаты тестирования за 4 месяца, для получения которых использовался virustotal.com. Более подробно о методе получения этих данных описано по ссылке, что я давал. Anti-Virus Information & Early Warning System (AVIEWS) организация независимая, так что в подлоге здесь трудно обвинить.

Я все больше начинаю отдавать предпочтение не тем антивирусам, которые в каком-то одном тесте показали себя лучшими. Я люблю когда антивирус показывает стабильно неплохие результаты в ряде тестов, желательно на протяжении как можно более долгого периода. Под такое мое отношение Panda и BitDefender в данном случае не попадают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Sophos показывает высокие результаты по эвристике и в нашем тесте. Второй месяц подряд, причем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Олег Рагозин, по Панде я соглашусь, но Битдефендер по своим ТТХ неплохой продукт, другое дело что логика его действий и интерфейс меня лично бесит - но это как вы понимаете субъективно.

Я кстати немного модифицировал диаграммку за ноябрь.

commtouch_ssue2007_162.png

commtouch_______2007.PNG

post-10-1196935628.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Было бы интересней посмотреть эту диаграмму с точки зрения нашего спорного вопроса, а именно только значений - Zero hour, и лучше расставленными от лучших до неудачников, как в моей диаграмме.

Это конечно и здесь видно, но так, для наглядности, сможете сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

я специально этого не сделал по двум прчинам.

1.эта диаграмма содержит в себе сразу несколько параметров для оценки: zero hour детект, детект в первый сутки, детект за исследуемый период. Все они важны по своему, поэтому сортировка по алфавиту здесь наиболее уместна и нейтральна. Я ведь мог бы по общему детекту за исследуемый период отсортировать и вам бы это было неприятно.

2.Как вы надеюсь понимаете zero hour в этом тесте это вовсе не обязательно проактивное обнаружение, это обнаружение одновременно или раньше чем Commtouch. Т.е. там может быть и сигнатурный детект, если сигнатура выпущена быстро - точка отсчета-то Commtouch, а не дата создания зловреда вирмейкером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Неблагодарное это дело - антивирусы сравнивать. Никто тебе "спасибо" не скажет. Зато апологетов всегда масса.

8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

нет к сожалению у меня времени обрабатывать данные сейчас

поэтому я просто взял их выборочный отчет за январь http://www.commtouch.com/site/ResearchLab/...rusLab_docs.asp

(уж не знаю по какому принципц они там для него зловредов выбирали из общего своего списка)

взял я его и добавил к нему Есет и Доктора

вот результат

commtouch_January2008.png

знак ? означает, что я зловреда с такой контрольной суммой здесь не нашел

post-10-1203379199_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Мне все таки не ясно, как можно сравнивать антивирусы по этим данным. Хорошо когда нет красных или когда больше зеленых? Например, Касперский не взял 1 сампл всего, но Софос 7 взял проактивно. Что это дает? Какие выводы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Мне все таки не ясно, как можно сравнивать антивирусы по этим данным. Хорошо когда нет красных или когда больше зеленых? Например, Касперский не взял 1 сампл всего, но Софос 7 взял проактивно. Что это дает? Какие выводы?

да наверное по этим никак, но если брать те графики, что я делал выше - то можно и посравнивать

просто времени нет у меня январь анализировать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Здесь вообще показан пример на "всего-ничего-семплах". Статистику не построишь в принципе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Здесь вообще показан пример на "всего-ничего-семплах". Статистику не построишь в принципе.

а я что выше постом что-то другое сказал?

данные обработанные за декабрь ниже

commtouch_December2007.PNG

post-10-1203506470_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Прошу, я не так понял Вашу фразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×