Много чего говориться о скорости антивируса. Мол, этот тормозит, а этот не тормозит. А есть какие-нибудь определённые параметры? Ну, там сколько оперативки жрёт. Или всё это основывается на личном мнении пользователя?
Много чего говориться о скорости антивируса. Мол, этот тормозит, а этот не тормозит. А есть какие-нибудь определённые параметры? Ну, там сколько оперативки жрёт. Или всё это основывается на личном мнении пользователя?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
всё зависит от внутренних алгоритмов программы. общий принцип такой: чем поверхностней алгоритмы, тем быстрее работает программа. и в большинстве случаев скорость работы антивируса это компромисс между желанием разработчиков вставить навороченные алгоритмы и пожеланиями пользователей о скорости работы.Сообщение от werewolf
было бы полезно , если бы в тестах указывалось количество съедаемой оперативной памяти (для компонентов монитора ,сканера )
пока ни в одном тесте такого не видел ???
Сомневаюсь что это сейчас актуально. При минимальном объеме оперативки рекомендуемом для Windows 2000/XP 256 Мб если монитор возьмёт 10 или 40Мб особого значения не имеет.
Тормоза обычно связаны не с объёмом оперативки, а со скоростью проверки. Т.е. сколько Мб/сек. Обычно в логе сканера это указано.
Мб/сек - характеристика весьма относительная. Например она может очень сильно меняться в зависимости от типов проверяемых файлов. Например, диск с фильмами или mp3-шками будет проверяться очень быстро, тот же диск, содержащий кучу относительно мелких исполняемых файлов, завернутых в несколько слоев упаковщиков и крипторов, будет проверяться на много порядков медленнее.
Да, еще желательно проверять быстродействие на типичном и часто используемом наборе файлов, например на каталоге винды и 'Program Files' с установленным набором широко распространенных программ.
Сравнивать скорость проверки по коллекции вирусов, конечно, круто, но для большинства пользователей эти показатели не имеют никакого значения. Ведь в обычном штатном режиме работы, файлов с вирусами просто нет на компьютере. А если уж "попал на вирусы", то тут уж время работы антивируса не так уж критично, намного важнее корректность лечения.
ещё был прикол, вроде про Панду писАли. по умолчанию поиск полиморфных вирусов отключен, но как только антивирус находил на диске вирус (любой другой), тут же включался поиск полиморфных. инфа не проверена, просьба не пинать.
Средняя скорость сканирования это как средняя температура по больницеНа самом деле важна не обсолютная скорость, а скорость относительно других антивирусов. Но даже это не даёт никакой уверенности что на спицифическом компе всё не будет наоборт
Кроме того есть всякие фокусы что бы ускорить работу сканера. КАВ, например, подсчитывает контрольные суммы, и повторную проверку делает на порядок быстрее.
Это приводит например к тому, что более быстрый Др.Веб в определённых ситуациях может проиграть более медленному КАВ
Тем хуже Др.Веб'у. Даже если антивирус работает достаточно быстро, это не значит, что не следует использовать дополнительные возможности по увеличению быстродействия.
Кстати, механизм кэширования результатов предыдущих проверок для увеличения быстродействия используется антивирусом Vba32 начиная с версии 3.007, которая была выпущена еще в 2001 году. То есть на несколько лет раньше, чем в KAV, хотя маркетологи Касперского, как обычно, не постеснялись поднять шум - первые в мире, уникальная технология и т.д.
У них в принципе тоже есть такое, но используется только резидентным монитором, и нужно ручками настраивать размер кеша.
У них разница в том что контрольные суммы в КАВ хранят не в памяти, а цепляют потоками к файлу, насколько я понимаю.Кстати, механизм кэширования результатов предыдущих проверок для увеличения быстродействия используется антивирусом Vba32 начиная с версии 3.007, которая была выпущена еще в 2001 году. То есть на несколько лет раньше, чем в KAV, хотя маркетологи Касперского, как обычно, не постеснялись поднять шум - первые в мире, уникальная технология и т.д.
Vba32 хранит контрольные суммы в файле vba32.vch, так что эти данные сохраняются до следующего обновления вирусных баз и помогают значительно ускорять время проверки.
А с потоками в файлах есть куча проблем, например, не все файловые системы их поддерживают. Также при копировании таких файлов, например, на дискету, винда начнет пугать пользователя про то, что типа, потоки не могут быть скопированы, вы можете потерять данные. У потоков есть только одно достоинство - они копируются вместе с файлом, а также сохраняются при его переименовании, это помогает не проверять файл повторно после переименования/копирования/перемещения, но IMHO остальные недостатки этого метода все же делают его малопригодным.
Кстати, эффективность кэширования очень сильно зависит от частоты обновления вирусных баз. Польза от кэширования в 2001 году была просто огромной. Сейчас же, при выпуске дополнений по нескольку раз в день, кэш помогает уже не так сильно, как хотелось бы.
Кстати, как вычисляют сигнатуры? Есть стандартный способ, или в каждом случае по своему?
Если имеются в виде контрольные суммы файлов для кэширования результатов проверки, то есть самые различные алгоритмы, например CRC32, MD5, ...
Лучше, конечно, использовать криптографическую хэш-функцию вроде MD5, чтобы содержимое файла нельзя было подогнать под конкретное значение контрольной суммы (существовали вирусы, которые добивались того, чтобы значение CRC инфицированных файлов совпадало со значением "чистых" файлов). Хотя недавно была новость, что какие-то математики нашли способ в определенных случаях подогнать содержимое файла и под конкретное значение MD5.
Что касается использования контрольных сумм для кэширования результатов проверки, то тут есть еще один вопрос, который нужно решить - не всегда проверка контрольной суммы файла дает выигрыш по сравнению со временем антивирусной проверки. Простейший пример - те же самые AVI файлы, считать контрольную сумму в этом случае намного дольше, чем просто проверить формат файла и не искать в нем вирусы. Если эту проблему удается эффективно решить - выигрыш по скорости проверки будет, если не удается - данный алгоритм просто нет смысла использовать.
Спасибо за разъяснение, это тоже интересно
Но я имел в виду сигнатуры по которым антивирус определяет вирусы.
у каждого антивируса есть специальные алгоритмы, которые в общем случае можно назвать "движок". вирусные аналитики готовят для "движка" специальные записи, по которым можно детектировать вируса или трояна. примерно это выглядит как некоторые специальные "точки" или последовательность точек. это и называют сигнатурой. у полиморфных вирусов может не быть вообще устойчивых сигнатур, для таких случаев создают специальный код для детектирования.Спасибо за разъяснение, это тоже интересно
Но я имел в виду сигнатуры по которым антивирус определяет вирусы.
Собственно я почему спросил. Если алгоритм создания сигнатур стандартный, то можно при первом сканировании для каждого файла на диске создать сигнатуру, а потом проверять только не совпадает ли данная сигнатира с сигнатурами вирусов.
тут "две большие разницы", как говорят в Одессе. "сигнатура" применяется именно по отношению к вирусу, т.е. это совокупность данных, по которым можно чётко определить вирус. по отношению к файлу нельзя выделить "сигнатуру", по файлу можно посчитать CRC32 или MD5, а потом контролировать это значение.
выше об этом писАли, что и iChecker Касперского, и "кэш" Vba32 использует именно алгоритмы подсчёта какой-то контрольной суммы, чтобы не перепроверять один и тот же файл несколько раз.
Ясно. Ещё одна вещь которая меня всегда интересовала, это как работает эвристический анализ, и как он может находить неизвестные вирусы.
это проще пареной репы. берём простейший вирус. его алгоритм:
1. найти первый файл с расширением COM
2. открыть файл
3. записать своё тело в конец
4. закрыть файл
5. найти следующий файл
антивирусная программа, которая "знает" последовательность этих действий, находит на диске файл, у которого такой алгоритм, лезет в свою базу известных, его там нет, тогда пишет "похож на "Search.COM.virus"
не, я слышал, что её нафиг взломали, но тогда это подняло бы сильный шум, само название Message digest показывает, что этот алгоритм используется для получения подписи документа, ну, есть ещё SHA1
Ваши права в разделе
