Сообщений в теме: 2534

[Harley Kaos]

[mod] Общие темы

• Выбор антивируса и общие проблемы
•  
• Вирусы
•  

Смежные темы на форуме для обсуждения конкретного антивирусного ПО:

• Altair
• Avast!
• Avira AntiVir
• Dr.Web
• Eset NOD32
• G-Data
• Kaspersky
• McAfee
• Microsoft Security Essentials
• Norton
• TrustPort
• Emsisoft Internet Security
• Bitdefender

Простейшая проверка антивируса Антивирус можно проверить самым простым тестом, с помощью EICAR-файла (eicar.com, eicar.txt, eicar.zip). Этот файл не вредоносный, а обычный текстовый файл, который специально создан для проверки антивирусных программ. Качественный антивирус при правильных настройках должен выявить и уничтожить этот файл, даже при попытке его сохранения хотя бы и в виде текстового файла, не говоря о .bat, .com, .exe и т.д. Если такого не случилось, то выберите в контекстном меню файла сканирование своим антивирусом.

Тестирование антивирусов.

Скрытый текст

С прискорбием сообщаю, что масштабное тестирование, проводимое с использование сокращённой базы вирусов (37420 файлов), я вынужден закрыть. А причина для этого, к сожалению, довольно простая - столь обширный архив сигнатур вирусов на данный момент отсутствует. Можно, конечно, попробовать поискать старый архив, но смысла в этом действе не много, ибо современных вирусов там не будет. Может быть, на одном из пока ещё не закрытых трекеров, вроде rutorrent, есть и более свежая подборка, но изначальные создатели архива - сайт vx.netlux.org - давно почили в бозе, задушенные законниками, не осознавшими полезность данного ресурса и база сигнатур больше не пополняется. Иногда проскакивают всякие мелкие подборки вирусов, у меня у самого где-то такая валяется, собранная собственноручно. Но в ней вирусы живые и зубастые, соответственно, необдуманное использование доставит тестировщику кучу неприятностей, посему я её не буду выкладывать в общий доступ. Есть и подборки обезвреженных вирусов, но далеко не столь обширные.

Также я не вижу необходимости в ссылках на итоги тестирования - они безнадёжно устарели и не отражают текущей ситуации в отрасли. Если у кого появятся дельные предложения - милости прошу в личку.

Для выражения своего почтения к тому или иному антивирусу используем форму голосования. За сообщения типа "НОД32 рулит" или "Каспер рулёз!" в дальнейшем пользователи будут плюсоваться по 2.2.7 правил конференции. Фактические данные, касающиеся оценки антивирусов, в том числе данные проведённых тестирований, должны снабжаться ссылками на официальные источники, в противном случае пользователь, представивший неподтверждённые соответствующей ссылкой данные, может быть наказан в соответствии с пунктом 2.2.2 правил конференции. Данное правило не касается субъективной оценки пользователей.[/mod]

Сообщение отредактировал borec_za_istinu: 25.08.2017, 10:16:41
закрытие тестирования

[DNS]

Я работаю в IT Департаменте в крупной компании(её все знаю, название не буду озвучивать), знал бы ты как я извращаюсь при устаноке KAV6 WS через админ кит. А руководству что там до выбора антивируса, каспер у всех на слуху, 99% пользователе не слышали ничего кроме Нода Каспера и Веба, а про фаерволы я вообще молчу.
Множите сказать почему "они точно не выберу ни AVAST ни, естественно, Outpost"?

Avast не выберут по причине отсутствия наличия админкита, вероятно. Не говоря о прочих "достоинствах"

К вашему сведению, у Avasta есть Админка, которая работает как на MSDE так и на полноценном SQL.

[ofChar]

С последней версией каспа не работал. Тестил только предыдущую...
Может она и получше...
Но многое зависит и от настроек...
Я реверсер, поэтому могу высказывать свое мнение, и я думаю оно весово, т.к. писал тестовые программы(вирусы). И могу сказать что каспера насного легче обмануть чем оутпост.
А эвристик у прерыдущих версий действительно слабый, насчет 2010 молчу, ибо даже ставить на тачку не хочу!

Если я правильно понял, Вы реверсили продукты ЛК и их конкурентов? Интересно было бы поближе ознакомиться с результатами исследований...
Проактивку KIS 2009 я и сам обходил. При дефолтных настройках. Дык, включите интерактивный режим, и будет вам то же счастье, что и NODоюзерам. А именно - паника по любому поводу. Причем, если KIS сообщает человеческим языком о подозрительных действиях и требует реакции, то NOD чуть ли не любую программу, написанную на асме, записывает в злодеи (не поясняя, чем провинилась), что нервирует и мешает работать. По крайней мере, у меня было так год назад, с 3-ей версией. Я понимаю, что не все шкодингом занимаются, но и такое количество ложняков не доставляет. Снижать уровень эвристики? Увольте. ИМХО, хороший антивирус (не обязательно каспер, а вообще) должен сообщать юзеру о подозрительной активности, причем - что конкретно пытается делать программа. А юзер принимает решение - казнить или миловать. Для этого, правда, юзер должен быть грамотным.
Опять же по опыту, авасту далеко до коммерческих KIS или NOD.
А последним, как и всем другим, далеко до совершенства. На wasm.ru , в разделе virology, есть темка про эмуляцию. Там Крис Касперски (между делом, не специально, но отчетливо) обозначил позицию аверов в отношении надежности их продукции (сам он, якобы на MCafee работает). Так что, не расслабляемся

[ofChar]

Avast не выберут по причине отсутствия наличия админкита, вероятно. Не говоря о прочих "достоинствах"

К вашему сведению, у Avasta есть Админка, которая работает как на MSDE так и на полноценном SQL.

Не знал, спасибо за инфу.

[AVALS]

Вы знаете кто это Net-Worm.Win32.Kido? И что он сделал с Касперским?

был у нас такой вирняк в конторе , стоит kav6 по началу действительно каспер его в отличие от других антивиров его не видел , на форуме каспера как только не материли разработчиков , но всё таки на данный момент он его видет и валит!

[ofChar]

Вы знаете кто это Net-Worm.Win32.Kido? И что он сделал с Касперским?

был у нас такой вирняк в конторе , стоит kav6 по началу действительно каспер его в отличие от других антивиров его не видел , на форуме каспера как только не материли разработчиков , но всё таки на данный момент он его видет и валит!

Если Вы не ошиблись с версией, то советую поставить что-то посвежее. Вообще - линейка KAV создана ИМХО для заполнения дешевой ниши. Лучше бы они этого не делали, сами себе репутацию портят. Если каспер, то KIS. Или корпоративные продукты + могучие руки админа.

[ofChar]

Простейшая проверка антивируса
Антивирус можно проверить самым простым тестом, с помощью EICAR-файла

Пожалуй, напишу свой антивирус, который EICAR ловить будет. Куда присылать на тестирование?

Тестирование антивирусов.
Коллекция вирусов (37420 файлов), беззубых (напакостить не смогут). Предназначена для тестирования своего любимого антивируса на предмет состоятельности по основному роду деятельности.

Имхо, не совсем корретно оценивать антивирусные продукты таким образом.
1) Подход годится для оценки работы почтового антивируса или антивирусного сканера, поскольку простое сканирование исключает использование проактивной защиты, например.
2) Некоторые умные антивирусы могут не отреагировать на беззубый вирус. За что им будет респект .

Сообщение отредактировал ofChar: 15.10.2009, 11:02:29

[Killerkod]

http://vse.kz/style_images/bb.ct.kz/folder_rte_images/left_just.gif
Если я правильно понял, Вы реверсили продукты ЛК и их конкурентов? Интересно было бы поближе ознакомиться с результатами исследований...
Проактивку KIS 2009 я и сам обходил. При дефолтных настройках. Дык, включите интерактивный режим, и будет вам то же счастье, что и NODоюзерам. А именно - паника по любому поводу. Причем, если KIS сообщает человеческим языком о подозрительных действиях и требует реакции, то NOD чуть ли не любую программу, написанную на асме, записывает в злодеи (не поясняя, чем провинилась), что нервирует и мешает работать. По крайней мере, у меня было так год назад, с 3-ей версией. Я понимаю, что не все шкодингом занимаются, но и такое количество ложняков не доставляет. Снижать уровень эвристики? Увольте. ИМХО, хороший антивирус (не обязательно каспер, а вообще) должен сообщать юзеру о подозрительной активности, причем - что конкретно пытается делать программа. А юзер принимает решение - казнить или миловать. Для этого, правда, юзер должен быть грамотным.
Опять же по опыту, авасту далеко до коммерческих KIS или NOD.
А последним, как и всем другим, далеко до совершенства. На wasm.ru , в разделе virology, есть темка про эмуляцию. Там Крис Касперски (между делом, не специально, но отчетливо) обозначил позицию аверов в отношении надежности их продукции (сам он, якобы на MCafee работает). Так что, не расслабляемся

С нодовскими ложными срабатываниями не сталкивался не разу... А чтобы следить за тем что софт вытворяет, можно просто поставить фаер. Я юзаю Оутпост 2009, настраивал сам, и за год такого пользования еще ни разу не разочаровался...

Но как говорится - На вкус и цвет, товарищей нет))

[Про100 РоМанТиК]

Люди помогите почему у меня антивирус не устанавливается?

[DNS]

Знать бы какой антивирус и куда устанавливаете.
Гаданием и личением по фотографии не занимаемся

[borec_za_istinu]

Я юзаю Оутпост 2009, настраивал сам, и за год такого пользования еще ни разу не разочаровался...

За год пользования вызвал несколько "синяков". Фтопку.

[WindomMan]

Год юзал KAV7 , на днях инстальнул 6-ку workstation 2009! Понравился интерфейс, неплохо работает,в отличии от 7-ки не грузит так сильно систему в момент автозапуска! КлючиГ ещё на 50 машин)))

[borec_za_istinu]

Цитата Тестирование антивирусов.
Коллекция вирусов (37420 файлов), беззубых (напакостить не смогут). Предназначена для тестирования своего любимого антивируса на предмет состоятельности по основному роду деятельности.

Имхо, не совсем корретно оценивать антивирусные продукты таким образом. 1) Подход годится для оценки работы почтового антивируса или антивирусного сканера, поскольку простое сканирование исключает использование проактивной защиты, например. 2) Некоторые умные антивирусы могут не отреагировать на беззубый вирус. За что им будет респект .

Мы сравниваем антивирусы по выполнению ими хотя бы их основной функции в самом минимальном варианте, без использования поведенческих анализаторов. Всегда считал, что антивирусы - не считая поведенческого анализатора - реагируют на определённым образом сформированные участки кода вируса, а не на сам вирус, как таковой, ведь не добавляется же вирус в антивирусную базу целиком - они, иногда, весят довольно-таки немало для, казалось бы, неприметных программок, каковыми они должны быть. И никакой респект они за такое поведение не получат - если вирус, при каком-либо условии, сможет выполнить свои функции, неважно как он был запущен - антивирус должен на него отреагировать, хотя бы занеся его в "подозрительные" файлы.
Если у вас есть другое мнение на этот счёт - выкладывайте, будет интересно почитать.

А теперь привожу результаты тестирования другой версии trustport antivirus, ссылка на которую есть в этом сообщении.

Результирующая эффективность - 98,487% (в папке осталось 566 файлов). В принципе, место не изменилось - остался на четвёртом месте. До этого я ошибочно поместил его на пятое, после Panda.

Правда, в сообщении указано, что это 10-я версия, однако лог антивируса сказал, что он является серверным антивирусом 5-й версии.
Интересно, они ядра для антивиря выбирают только по рейтингу Virus Bulletin? Тогда как в него др.веб пробрался? Он принципиально не учавствует в этом списке. Видимо, поэтому в новой версии его и выкинули.

Сообщение отредактировал borec_za_istinu: 23.10.2009, 20:36:43

[ofChar]

Мы сравниваем антивирусы по выполнению ими хотя бы их основной функции в самом минимальном варианте, без использования поведенческих анализаторов

Важно защитить систему любым способом. Оценка по сумме способов была бы наиболее объективной.

Всегда считал, что антивирусы - не считая поведенческого анализатора - реагируют на определённым образом сформированные участки кода вируса, а не на сам вирус, как таковой, ведь не добавляется же вирус в антивирусную базу целиком - они, иногда, весят довольно-таки немало для, казалось бы, неприметных программок, каковыми они должны быть.

Примерно так и есть. В классическом варианте в базу попадают участки кода. В случае с поли/мета-морфными зверьками помогает мало. Кроме того, есть поведенческие сигнатуры(в пояснении почти не нуждается), а также общая эвристика, тут уж кто во что горазд. Исследуемому объекту начисляются "очки опасности" за использование упаковщика, шифрования, нестандартного заголовка, наличие в импорте вызовов, не характерных для мирного приложения, наверное еще за что-то.

И никакой респект они за такое поведение не получат - если вирус, при каком-либо условии, сможет выполнить свои функции, неважно как он был запущен - антивирус должен на него отреагировать, хотя бы занеся его в "подозрительные" файлы.

Я имел в виду тот случай, когда осталась часть файла, попавшая в сигнатуры того или иного авера, но собственно опасный код из вируса удален (для чего иногда достаточно подправить пару байт). Поясню на примере из жизни. Некая антивирусная программа "вылечила" некую троянскую прогу, деактивировав опасный код. Высылаешь файл на virustotal.com, наблюдаешь ругань половины представленных антивирусов, не смотря на то, что файл ни то что навредить, он и запуститься уже не может толком.
По поводу проактивки и эмуляции, поправлю сам себя, сделав уточнение. У разных аверов это реализовано по-разному. Если мы не запускаем файл, а просто даем команду проверить его, то возможны следующие действия:
1) Проверка по сигнатурам. Победит тот, у кого базы ширше базы ( при существующих темпах роста появления новых злодеев в скором времени базы сиргантур будут иметь невозможные размеры, что заставляет многих вендоров искать другие пути).
2) Тоже + эвристика.
3) Попытка запустить файло под эмулятором. Наиболее эффективно, но - долго. Отсюда, возможные упреки в "тормознутости". Точно не знаю, как у кого сделано. Возможно, у кого-то вся моща включается только в случае реального запуска.
К критериям оценки важно добавить следующие:
1) Минимум ложных срабатываний.
2) Эффективная самозащита.
3) Стабильная работа.
Что касется последнего... Я недавно поставил для пробы MсAfee Total Protection. По нескольку раз на дню, после вполне безобидных изменений в системе (или просто перезагрузок) это чудо сообщает о том, что "компьютер защищен не полностью" и требует нажать кнопку "исправить". Оно что, само "кнопку нажать" не может? Другие тоже приглючивали, раз от разу, но при этом сами восстанавливались (сообщая, что были те или иные проблемы). Не ожидал такого от сурьезной конторы.
Эх, нет в мире совершенства...

[Aka_DNS]

Я сделал такую вещь- написал программу на делфи которая шарит по всем локальным дискам и удалят файлы формата doc. Прога маленькая без формы(никакой визуализации), весит себе в процессах и удаляет потихоньку доки.
Вопрос: почему ни Каспер 6.0 WS ни Аваст 4.8 pro не пикнули? Назвать такую прогу хорошей язык не поворачивается, если её запустить то через 10минут док файлов не будит! Получается эвристика полная ерунда а главное базы?

[780-84-86]

Я сделал такую вещь- написал программу на делфи которая шарит по всем локальным дискам и удалят файлы формата doc.

Можете ее выложить в архиве?

[ofChar]

Я сделал такую вещь- написал программу на делфи которая шарит по всем локальным дискам и удалят файлы формата doc. Прога маленькая без формы(никакой визуализации), весит себе в процессах и удаляет потихоньку доки.
Вопрос: почему ни Каспер 6.0 WS ни Аваст 4.8 pro не пикнули? Назвать такую прогу хорошей язык не поворачивается, если её запустить то через 10минут док файлов не будит! Получается эвристика полная ерунда а главное базы?

Жжешь!
По мнению аверов, тут все законно. Некто с достаточными правами запустил процесс очистки жесткого диска. По крайней мере ,они так ответят на претензию.
А с флехи через авторан запустится? Здесь грань тонка, но очень важна.
Кстати, куда DNS-а дели? Молчу, молчу...
Не, по любому надо по пиву...

Если серьезно, у кспера, кажись, можно настроить HIPS и на такие "вызовы". Просто, что-то давно я такого деструктива не встречал.

Сообщение отредактировал ofChar: 23.10.2009, 23:09:45

[borec_za_istinu]

1) Проверка по сигнатурам. Победит тот, у кого базы ширше базы

В таком случае должен победить макэфи корпоративный. У моего брата в конторе стоит - базы больше гига весят .

По мнению аверов, тут все законно. Некто с достаточными правами запустил процесс очистки жесткого диска. По крайней мере ,они так ответят на претензию.

Тут, кстати, должен бы поведенческий анализатор заинтересоваться этой программкой - это по его части.

Просто, что-то давно я такого деструктива не встречал.

Счас ведь большая часть вирусов используется для коммерческих целей - ключи стырить, превратить в спам-бота и иже прочее. Доход приносит, а изничтожение доков - не приносит. Единственно, если доки шифруются и предлагается купить "дешифратор", что мы и наблюдали не так давно с неким вирусом.

DNS отправился в ридонли на 10 дней - в целях штудирования правил.

[ofChar]

1) Проверка по сигнатурам. Победит тот, у кого базы ширше базы

В таком случае должен победить макэфи корпоративный. У моего брата в конторе стоит - базы больше гига весят .

По мнению аверов, тут все законно. Некто с достаточными правами запустил процесс очистки жесткого диска. По крайней мере ,они так ответят на претензию.

Тут, кстати, должен бы поведенческий анализатор заинтересоваться этой программкой - это по его части.

Просто, что-то давно я такого деструктива не встречал.

Счас ведь большая часть вирусов используется для коммерческих целей - ключи стырить, превратить в спам-бота и иже прочее. Доход приносит, а изничтожение доков - не приносит. Единственно, если доки шифруются и предлагается купить "дешифратор", что мы и наблюдали не так давно с неким вирусом.

DNS отправился в ридонли на 10 дней - в целях штудирования правил.

В гиговые антивирусные базы Маккофе верится слабо. Это из другой области, похоже.
Что касается реакции на удаление файлов, то ответ аверов будет примерно таков: "Мы психитрией не занимаемся". Антивирь может (должен?) реагировать на скрытый запуск программы, а не на действия пользователя, решившего запустить невесть что. Это, скорее вопрос к разработчикам ОС. Типа "А почему, если я вручную файлы удаляю, меня переспрашивают, а если из программы, то нет?"

Отсутствие деструктива у большинства сегодняшних зверьков лично мне можно было не объяснять.
Хотя, Руссо Туристо имел привычку в пятницу, 13-го грохать кроме системных файлов еще и рабочий стол вместе с содержимым. Что, впрочем, восстанавливаеца утилитками, если вовремя.

[Aka_DNS]

По тупости потеряна и программа и исходники... кусками вспоминаю код но в одном месте встрял....
Такие проги(на удаление, троян-шутка) пишутся мной и братом не в первые, ни разу не один антивирус сразу ничего не сказал.
Ругатся начинали спустя несколько месяцев как на Unknown Virus.

[borec_za_istinu]

MODERATORIAL [borec_za_istinu]

Ребят, вы поаккуратнее с исходниками таких программ. Конечно, для программера этот код ничего нового не даст. Но учитывайте, что наш форум читают разные люди, некоторым только дай волю. Как знать, чего им в голову взбредёт...