[ Закрыто ] Тесты на лечение активного заражения

RSS
Всем привет!

Вот тут на анти-малваре.ру свежие тесты лечения активных угроз подоспели.
Неужели в целом по индустрии все так плохо?



Источник: http://www.anti-malware.ru/antivirus_tests

Методология теста опубликована здесь http://www.anti-malware.ru/node/10211
Изменено: mike 1 - 12.10.2012 00:09:43
Михаил

Ответы

По отношению к Касперскому & K.
Нужен не фанатизм открашенный в белые или черны тона.
Нужен прагматизм.

И право слово...
На любимом K & K западе, есть статья за недостоверную рекламу = за распространение недостоверный сведений.
Если уж ты западник, то стоит быть им во всём.

P.S.
Давно можно было снизить в 5-7 раз нагрузку на систему.
И раза в 4-ре минимум, увеличить скорость сканирования.
В разы сократить ложные срабатывания.
И всё это делается элементарно.
Для этого нужно создать локальную  базу проверенных файлов SHA1 с которой будет работать антивирус.
Собственно база проверенных есть у каждой компании.
Достаточно интегрировать её в продукт.
И проверять процессы не эвристикой - а сравнивая SHA1 файла/объекта с локальной базой проверенных.
И только те объекты которых нет  в базе проверять эвристикой и сигнатурами.
При сканировании дисков аналогично отсеивать/проверять файлы  по SHA1 и только небольшую группу оставшихся подвергать тщательной
проверке/анализу.
Что мешает непонятно...
Затраты минимальны.
При этом получаем продукт принципиально нового уровня.
Цитата
RP55 RP55 пишет:
И право слово... На любимом K & K западе, есть статья за недостоверную рекламу... Если уж ты западник, то стоит быть им во всём.

RP55, дружище, рулишь - как всегда! У нас немного другая специфика: рекламу на сайтах задают люди не только ангажированные, но и с «альтернативным восприятием реальности», как тактично выражаются психиатры.
Например, небезызвестный в ЛК Капрал пишет мне в личку: «Я понимаю пришол злой и страшный Бармалей и причем по твою душу )))) Но такова жизнь , сумочка мне нужна так что не боись )))», орфография и пунктуация автора сохранена. Админы, можете проверить сами – загляните ко мне в корзину!
То есть, по моему мнению, человек или пьян в ж…пу, или хронически неадекватен, но рейтинг своей фирме поднимает упорно – даже на чужих форумах-))
Gaudeamus!
Цитата
santy пишет:
mike_1 , 100% Касперского - это явная погонка, дальше как говорится расти некуда. А расти есть куда. В июле-августе мы все видели как лечит Касперский бэкдор crexv. (полно на форумах подобных тем), как после сканирования Касперским, или AVPtool перестает работать Пуск. И это продолжалось бы бесконечно, если бы не усилия энтузиастов.
-------------
до сих пор приходят юзеры, у которых не работает Пуск. Система вылечена антивирусом Касперским.
santy Да я слышал о таком зловреде, но с ним еще не доводилось сталкиваться. Вообще уж лучше пускай лечит зловреда чем он будет видеть его, но ничего с ним не сможет сделать.
Михаил
Цитата
RP55 RP55 пишет:
По отношению к Касперскому & K.
Нужен не фанатизм открашенный в белые или черны тона.
Нужен прагматизм.

И право слово...
На любимом K & K западе, есть статья за недостоверную рекламу = за распространение недостоверный сведений.
Если уж ты западник, то стоит быть им во всём.

P.S.
Давно можно было снизить в 5-7 раз нагрузку на систему.
И раза в 4-ре минимум, увеличить скорость сканирования.
В разы сократить ложные срабатывания.
И всё это делается элементарно.
Для этого нужно создать локальную  базу проверенных файлов SHA1 с которой будет работать антивирус.
Собственно база проверенных есть у каждой компании.
Достаточно интегрировать её в продукт.
И проверять процессы не эвристикой - а сравнивая SHA1 файла/объекта с локальной базой проверенных.
И только те объекты которых нет  в базе проверять эвристикой и сигнатурами.
При сканировании дисков аналогично отсеивать/проверять файлы  по SHA1 и только небольшую группу оставшихся подвергать тщательной
проверке/анализу.
Что мешает непонятно...
Затраты минимальны.
При этом получаем продукт принципиально нового уровня.
А не проще использовать облачные решения чем собирать и сравнивать эти самые файлы?;)
Михаил
конечно же не проще. и причин для этого не мало:
- не у всех есть интернет
- не у всех он всегда подключен
- не у всех нормальная скорость интернета
- запрос на сервер занимает время, хоть и не большое
проще держать базу локально (20-30 мб., не больше) и обращаться к ней
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
конечно же не проще. и причин для этого не мало:
- не у всех есть интернет
- не у всех он всегда подключен
- не у всех нормальная скорость интернета
- запрос на сервер занимает время, хоть и не большое
проще держать базу локально (20-30 мб., не больше) и обращаться к ней
Все верно. :) Лично я могу обновить свой антивирус при помощи флешки, где на ней будут записаны последние антивирусные базы.
Михаил
Цитата
mike 1 пишет:
А не проще использовать облачные решения чем собирать и сравнивать эти самые файлы?
1) как известно вирусы блокируют доступ к ресурсам связанным с  антивирусной деятельность.
Какое в этом случае облако ?
2) По поводу сбора - их и так собирают.
В силу того, что для проверки вирус это или нет каждый день в лабораторию поступают тысячи файлов.
Многие файлы дублируются - может так быть что файл в течении одного дня  пришлют 70 раз.
Как его проверять ?
Аналитики влезут на стенку и элементарно не справятся.
В общем, чтобы избежать маразматических транзакций есть база проверенных/чистых файлов.
И... происходит предварительный отсев.
В результате из 70 присланных дублей на стол к вирусному аналитику попадает только 1 файл.
Или 0 файлов если файл ранее проходил проверку.
Т.е. БАЗА проверенных необходима и она регулярно обновляется.
+ Есть база файлов на случай необходимости их доп. проверки/анализа.
3) Есть Машины без доступа к сети.
Соответственно какое облако ?  
4) Минимизация нагрузки на систему.
5) "Протезы делали в подвале старого покосившегося здания"
лично я тоже:)
Правильно заданный вопрос - это уже половина ответа
Цитата
RP55 RP55 пишет:
Цитата
mike 1 пишет:
А не проще использовать облачные решения чем собирать и сравнивать эти самые файлы?
1) как известно вирусы блокируют доступ к ресурсам связанным с  антивирусной деятельность.
Какое в этом случае облако ?
2) По поводу сбора - их и так собирают.
В силу того, что для проверки вирус это или нет каждый день в лабораторию поступают тысячи файлов.
Многие файлы дублируются - может так быть что файл в течении одного дня  пришлют 70 раз.
Как его проверять ?
Аналитики влезут на стенку и элементарно не справятся.
В общем, чтобы избежать маразматических транзакций есть база проверенных/чистых файлов.
И... происходит предварительный отсев.
В результате из 70 присланных дублей на стол к вирусному аналитику попадает только 1 файл.
Или 0 файлов если файл ранее проходил проверку.
Т.е. БАЗА проверенных необходима и она регулярно обновляется.
+ Есть база файлов на случай необходимости их доп. проверки/анализа.
3) Есть Машины без доступа к сети.
Соответственно какое облако ?  
4) Минимизация нагрузки на систему.
5) "Протезы делали в подвале старого покосившегося здания"
Не вижу никаких проблем, чтобы обновить антивирусные базы антивируса при помощи флэшки и тем самым загрузить последние правила для облака и других компонентов защиты антивируса. ;)
Михаил
Цитата
mike 1 пишет:

Все верно. :) Лично я могу обновить свой антивирус при помощи флешки, где на ней будут записаны последние антивирусные базы.
Всё верно :) При таком подходе можно и базу SHA1 обновлять с USB...
Что уменьшит:
1) число ложных сигнатурных определений.
2) скорость сканирования ( как я и говорил не менее чем в 4 раза )
3) снизит нагрузку на систему в целом.
* Чем больше файлов в базе проверенных - тем меньше нагрузка на систему и выше её производительность.
4) И самое главное проверка исполняемых архивов.
В одном архиве может быть тысяча файлов.
Сколько времени уйдёт на проверку при стандартном эвристическом и сигнатурном сканировании\поверке данного архива ?
Несколько минут.
С огромной нагрузкой на систему. ( распаковать архив во временную папку   - что займёт ресурсы процессора вплоть до 100% )
+ Сколько будет выделено пространства в оперативной памяти...
А расчёт SHA1 и его сличение/сравнение пара секунд.
Если машина современная и видео карта поддерживает технологию CUDA...
Миллионы SHA1 в секунду.
В основном время тратиться не на расчёт суммы, а на доступ к файлу.

Так компания которая это сделает увидит восход солнца. ;)
Читают тему (гостей: 2)