# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Результаты теста антивирусов на лечение активного заражения (октябрь 2008) на anti-malware

## SDA

Краткое содержание:

- Введение
- Сравнение антивирусов по возможности лечения
- Итоговые результаты теста и награды
- Анализ изменений в сравнении с предыдущими тестами
- Комментарии партнеров Anti-Malware.ru 

http://www.anti-malware.ru/malware_t...est_2008#part2

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Результаты вполне логичны...

----------


## eifory

1. Налицо разница между качеством антивируса и уровнем/ростом продаж 
2. Такие тесты здорово отрезвляют в отношении некоторых  производителей... :Shocked:

----------


## XP user

> 2. Такие тесты здорово отрезвляют в отношении некоторых  производителей...


Я очень спокойно отношусь. В разделе Помогите - все равны, что бы эти результаты ни говорили...  :Roll Eyes (Sarcastic): 

Paul

----------


## Rampant

Очень даже здравая мысль) я устанавливаю безопасность своим клиентам, и по количеству нареканий делаю выводы, пока меня устраивает тот выбор, который сделал я) Только непоймите меня неправильно, что я на клиентах тестирую проги) естественно любую программу я юзаю пару месяцев, перед тем как предложить её другим.

----------


## ananas

Может кому этот тест и поможет с выбором, например, лекарям незадачливых клиентов. Я не вижу практической пользы от него. Понапропускать вирей, а потом лечиться. Мойте руки перед едой, а не запасайтесь лекарствами от диареи.

----------


## santy

*anti-malware.ru* : наш ответ британскому *VB100*.  :Smiley: .

----------


## XP user

До того, как флуд (вернее флад) начинается, я хочу привести слова Сергея Ильина, которые можно найти здесь:



> Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест. Дело в том, что у некоторых вендоров пока ещё специальные утилиты для борьбы с руткитами не интегрированы в основной продукт. Например, пользователи могут дополнительно воспользоваться:
> 
> 1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).
> 2. AVG Anti-Rootkit, который также имеет высокую эффективность (Silver Anti-Rootkit Protection Award).
> 3. Trend Micro RootkitBuster, также достаочно эффективен (Silver Anti-Rootkit Protection Award).
> 4. Чуть хуже McAfee Rootkit Detective (Bronze Anti-Rootkit Protection Award).
> 
> Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.
> 
> ...


Вот это мудрые слова по делу.  :Smiley: 

Paul

----------


## DVi

> Может кому этот тест и поможет с выбором, например, лекарям незадачливых клиентов. Я не вижу практической пользы от него.


IMHO практический смысл этого теста полностью соответствует тематике проекта Virusinfo.

----------


## Wayfarer

Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.
В данном же случае, мы имеем уже зараженную систему как свершившийся факт ( После ряда перезагрузок ). Не прослеживается ли в этом некого противоречия в терминах?

----------


## XP user

> Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.
> В данном же случае, мы имеем уже зараженную систему как свершившийся факт ( После ряда перезагрузок ).


Причём тест противоречит практике ещё по другим параметрам - когда приходят в раздел Помогите, то тогда часто с жалобами о том, что ни один из победителей либо ничего не видит, либо установиться даже не хочет когда система уже заражена. В тесте же подобраны всего 15 зловредов из сколько? Миллион уже?

На чистой системе VM Ware всё проще и красивее, естественно. Ряд обстоятельств ещё зависит от того, что ещё установлено на компе, какие драйвера, и т.д. Этого, естественно, в таких тестах учитывать нельзя...

Но всё же - мои поздравления победителям.  :Smiley: 

Paul

----------


## ananas

> IMHO практический смысл этого теста полностью соответствует тематике проекта Virusinfo.


Да я какбе в курсе. :)



> Не прослеживается ли в этом некого противоречия в терминах?


Думаю, нет. То, о чем Вы говорите про процесс запуска, можно сформулировать как предотвращение заражения. АМ уже делает подобный тест. Считаю, что его результаты будут интереснее и познавательнее.

----------


## priv8v

> Это связано с тем, что для вирусописателей очень важно, чтобы их детища были незаметными для пользователя и как можно долго функционировали на заражённой системе, выполняя в это время свои вредоносные функции.


стоит отметить, что из-за невысокого уровня хак-программистов (таких большинство) действия по скрытию наоборот вынуждают пользователя начать метаться как ошпаренному в поисках того, как бы этот зловред удалить - юзер начинает качать и ставить антивирусы один за другим, качает тулзы, возможно даже идет на ВИ в соответствующий раздел. (подобное может быть вызвано постоянными алертами антивируса (половину он удаляет, а остальная половина восстанавливает первую) - который после подобной сильной пропарки мозга пользователя отправляется в корзину и начинается описанная выше антивирусная чехарда. Также всякие бсоды и долгая загрузка/выключение играют в этом отнюдь не последнюю роль. 

По-моему, те зловреды, которые играют по сложным правилам (ставят свой драйвер в систему для скрытия файлов/записей в реестре/процесса, памят длл или создают екзешник - не суть и спокойно и незаметно что-то делают - тырят пароли к примеру) антивирусы сносят достаточно уверенно если знакомы с ними, а вот тех зверей, которые играют "не по правилам" - создают несколько драйверов (возможно и дубликатов), кучу служб, блокируют много чего, блокируют антивирусы, блокируют заходы на сайты определенные, портят систему (но не настолько что бы ее нельзя было восстановить с помощью скриптов АВЗ) - вот с такими антивирусы борятся уже хуже - могут не исправить систему, не все удалить и т.д...

PS: читая текст я сокрушался, что его провели какие-то совсем мне неизвестные люди... но начав переходить на их профили на АМ увидел знакомые ники  :Smiley:  
Респект огромный! Спасибо за тестирование! 
Было очень интересно.

----------


## ananas

А мне интересно, что кроме самого теста существует еще околотестовая непонятная возня. Сергей Ильин, вдруг, как-бы случайно прозрел.


> Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест. Дело в том, что у некоторых вендоров пока еще специальные утилиты для борьбы с руткитами не интегрированы в основной продукт. Например, пользователи могут дополнительно воспользоваться:
> 
> 1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).
> 2. AVG Anti-Rootkit, который также имеет высокую эффективность (Silver Anti-Rootkit Protection Award).
> 3. Trend Micro RootkitBuster, также достаочно эффективен (Silver Anti-Rootkit Protection Award).
> 4. Чуть хуже McAfee Rootkit Detective (Bronze Anti-Rootkit Protection Award).
> 
> Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.


Но и прозрение у него опять же избирательное. У Есета тоже есть отдельные специальные утилиты для лечения отдельных заражений.

----------


## Wayfarer

> Причём тест противоречит практике ещё по другим параметрам


Почти как человеческий фактор, иногда, противоречит здравому смыслу: гром грянул-начали креститься :Smiley: 



> То, о чем Вы говорите про процесс запуска, можно сформулировать как предотвращение заражения.


Это естественно: как-никак, приоритетная задача. Но я имел в виду, можно ли ситуацию с заражением после двух-трех перезагрузок системы, когда в ряде случаев "дело уже сделано" считать активной фазой заражения.

----------


## ALEX(XX)

> У Есета тоже есть отдельные специальные утилиты для лечения отдельных заражений.


 Угу. И у Симантека куча спец утилит против конкретных зверей...

----------


## SergM

Ну тогда до кучи: у победителя теста тоже этого добра хватает (утилит дополнительных). Некоторые вобще уникальные, например, утилита для дешифровки зашифрованных файлов.

----------


## Ivaemon

> 1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).


Так ведь у Антивира есть проверка на руткиты! Или туда вставлен другой детектор?!

----------


## aleksdem

Лечение активного заражения (или, скорее, то, что под этим понимали авторы теста) задача очень специфическая и более присуща для выполнения спец-утилитам (типа CureIt) или даже всеми нами любимому ресурсу, на котором и имеем честь находиться. Для антивирусных решений именно как защиты системы, компьютера и в конечном итоге - информации (то есть, Информационной Безопасности как таковой) этот параметр (лечение..) имеет отношение весьма отдаленное. Тем более, никакого отношения не имеет к, так называемому, "качеству" антивирусов. Если бы это было подчеркнуто авторами исследования, - тест можно было бы считать вполне приемлимым и целесообразным. Но, естественно, этого не произошло и, как всегда, имеем простую рекламу и пиар для несведующих пользователей. Жаль.

----------


## kps

А я считаю, что этот тест имеет прямое отношение к качеству антивируса. Лично мне не нужен антивирус, который не может вылечить зараженный компьютер, хотя сигнатура зловреда в базе *есть*. На мой взгляд для антивируса это самый важный параметр - уметь вылечить зараженный компьютер, потому что антивирусы нередко ставятся на уже зараженную систему именно для лечения. Кроме того, из-за недостатков сигнатурного метода детектирования нередки случая заражения, если антивирус уже установлен, но сигнатуры не было в базе. Так вот, хороший антивирус после попадания сигнатуры в базы должен обнаружить зловреда на компьютере, а не делать вид, что все в порядке.
Зловредов с руткит-технологиями сейчас стало много, и не обращать внимание на эту проблему - значит, просто отстать в технологическом развитии.

Что качается отдельных антируткит-утилит, то не каждый пользователь антивируса будет ими пользоваться и не каждый умеет их использовать.

По поводу утилит против конкретных зверей - как простому пользователю узнать, какой у него зверь, да еще и по классификации отдельного вендора?
Да и утилита против одного зверя как-то не очень гарантирует чистоту компьютера во времена, когда компьютер нередко заражается кучей зловредов различных видов. Здесь утилиты-антируткиты лучше, чем утилиты против отдельных зловредов, т.к. ищут не (только) по сигнатуре, а детектят методы маскировки вредоносных программ.

----------


## aleksdem

> Лично мне не нужен антивирус, который не может вылечить зараженный компьютер, хотя сигнатура зловреда в базе *есть*.


А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком". Причем, мне, как пользователю, абсолютно все-равно, есть в базах сигнатуры этого конкретного вируса или нет. Есть масса других технологий, кроме сигнатурного детекта. Не спорю, иногда лечение действительно необходимо для спасения какой-то информации и т.п. Но все это уже "махание руками после боя". Да и луше это выполнят спец-утилиты. Мне, повторюсь, не нужен антивирус, который дал возможность "спереть" важные данные, а потом при появлении в базах новых сигнатур успешно убрал зловреда и все следы его пребывания...(Это, к стати, делают и многие современные вирусы самостоятельно).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kps

> А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком".


Ну, если следовать этой мысли, то Вам вообще не нужен никакой антивирус  :Smiley:  Потому что 100% - ой защиты не существует и никакой из методов защиты - ни сигнатурный, ни проактивный, ни какой другой не может гарантировать Вам, что заражения не произойдет. Особенно учитывая, что вредоносные программы постоянно развиваются и появляются в большом количестве.
Я не спорю, что предотвратить заражение очень важно, но и лечение уже зараженного компьютера не менее важно.  Не делать же людям, у которых много всего важного на компьютере, format и fixmbr. Я с лечением компьютеров знаком немного по разделу "Помогите!"  :Smiley:  И людям, которые проходят у нас лечение, необходимо именно лечение активного заражения.

----------


## Ivaemon

С точки зрения простого юзера - согласен с Aleksdem`ом.

----------


## Wayfarer

*aleksdem*
К сожалению, злоумышленники всегда на шаг впереди всех технологий :Smiley:

----------


## aleksdem

> *aleksdem*
> К сожалению, злоумышленники всегда на шаг впереди всех технологий


И вот "кто" из антивирусов наиболее успешно может противостоять этим злоумышленникам, тот и более качественный. 100% защиты никогда небыло и не будет, но стремится к удовлетворительному результату всегда нужно. И "умение лечить" в этой борьбе далеко не главное. Не те времена и совсем не те задачи стоят перед антивирусными решениями. Кому нужны "вылеченные" системные файлы или система после серьезного заражения? Спасти важные данные -другое дело. Поэтому хорошие "лекари" обязательно нужны. Но ИБ - это несколько другое, намного более широкое понятие. К стати, победители тестирования не "пасут задних" в этой всей круговерти. Меня просто в очередной раз "не устраивает" подача авторами своей интересной (в этот раз) работы.

----------


## Cmeliy

Чего Авира так плохо там себя показала?

----------


## santy

> ...Я не спорю, что предотвратить заражение очень важно, но и лечение уже зараженного компьютера не менее важно.  Не делать же людям, у которых много всего важного на компьютере, format и fixmbr. Я с лечением компьютеров знаком немного по разделу "Помогите!"  И людям, которые проходят у нас лечение, необходимо именно лечение активного заражения.


Имхо, данный тест имел бы большую ценность, если бы тестирование проводилось при установленном антивирусе (запуск зловреда + лечение заражения сканером с антируткитом, если пропущен монитором)... Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....

----------


## rav

> К сожалению, злоумышленники всегда на шаг впереди всех технологий


Не всегда так. Есть технологии, которые позволяют быть на один шаг впереди в некоторых аспектах.

*Добавлено через 1 минуту*




> И вот "кто" из антивирусов наиболее успешно может противостоять этим злоумышленникам, тот и более качественный.


Стоит подождать результатов теста на противодействие активному заражению.

----------


## Wayfarer

> Есть технологии, которые позволяют быть на один шаг впереди в некоторых аспектах.


... и, как мне кажется, оставляя потенциальным злоумышленникам поле для экспериментов в рамках уже готовых решений, с "заточкой противодействия" конкретной технологии.

----------


## rav

> ... и, как мне кажется, оставляя потенциальным злоумышленникам поле для экспериментов в рамках уже готовых решений, с "заточкой противодействия" конкретной технологии.


Что, безусловно, увеличит стоимость разработки малвар, ибо такие "заточки" нужны под каждый продукт отдельно и они время от времени будут дохнуть из-за вендорских улучшений продуктов. Пионэры, при этом, отвалятся нафиг.

----------


## Wayfarer

Нельзя списывать со счетов и энтузиастов вирусописания, действующих по неким принципам самоутверждения.

----------


## kps

> Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....


И в чем противоречие? CureIt! - основан на сканере антивируса Доктор Веб, а AVPTool - на сканере антивируса Касперского. Если бы эти антивирусы были слабы в лечении активного заражения, то мы бы ни их ни их утилиты (которые по сути представляют собой соответствующий сканер без дополнительных модулей) не рекомендовали для лечения активного заражения.

----------


## vaber

> Методология любопытная: 1) заражаем систему 2) устанавливаем антивирус. Раньше полагал, что активное заражение-это, собственно, сам процесс запуска зловреда и начало исполнения им либо деструкций либо непосредственных задач.


Не верно полагаете. Лечение активного заражения - процесс обнаружения и удаления активной (работающей) вредоносной программы в системе.
То, что Вы предложили называется инсталляция вредоносной программы.



> Причём тест противоречит практике ещё по другим параметрам - когда приходят в раздел Помогите, то тогда часто с жалобами о том, что ни один из победителей либо ничего не видит, либо установиться даже не хочет когда система уже заражена. В тесте же подобраны всего 15 зловредов из сколько? Миллион уже?


Опять же, путаница в определениях и неверная трактовка происходящего в разделе "Помогите".
Антивирус у пользователей может не обнаруживать вредоносный код (победители теста в том числе) в системе потому, что просто-напросто отсутствует детект на компоненты вредоносной программы. Что лечить ему спрашивается? Или еше вариант: не может вылечить вредоносный код потому, что есть детект на часть ее компонентов. Пример:
Есть exe файл, который прописан в автозапуске. При старте системы стартует exe и из ресурсов достает dll, ложит ее в system32 и внедряет в системный процесс. У некоего антивируса есть сигнатура дял детекта этой dll, но отсутствует детект на exe. Что мы видим в итоге? Антивирус постоянно при каждой загрузки будет обнаруживать и удалять эту dll. Какая картина получается глазами пользователя? Конечно та, что антивирус просто не может вылечить вредоносную программу, хотя реально антивирус может удалить такого трояна, если бы была сигнатура на exe файл. Затем пользователь смотрит результат теста где у такого антивируса отличные результаты и говорит что это все неправда "у меня был троян, которого антивирус не лечил". Таких примеров или аналогичных по смыслу может быть куча и они постоянно встречаются.
Что касается невозможности установить антивирус на зараженную систему, то в абсолютном большинстве случаев это связано с целенаправленным противодействием установки антивируса - завершения процессов, удаление файлов или же ключей реестра. Такие вредоносные программы не использовались в тесте. Нет смысла. Да,вендоры могут делать некую защиту от убиения своих процессов из User Mode, но если вредоносная программа имеет при себе драйвер, тот установки не видать. Пример  - червь Bagle. Подобных вредоносных программ стоит лечить специальными утилитами, которые "не входят в список на убиение" в этом черве. Такие вредоносные программы не интересны, тупы. Смысла борется нет, если используется драйвер у малвары. И вторая проблема связанная с такими семплами - трудность отбора такого семпла, который бы идентичным образом бы мешал работе всех используемых в тесте антивирусов.
Если бы не учитывались все эти требования к побору семплов в тесте, то не было бы никаких проблем подобрать вредоносов так,чтобы сделать победителем любой антивирус.



> Имхо, данный тест имел бы большую ценность, если бы тестирование проводилось при установленном антивирусе (запуск зловреда + лечение заражения сканером с антируткитом, если пропущен монитором)... Кстати, сам тест противоречит методике лечения, которая применяется на ВирусИнфо.... поскольку пользователям рекомендуется вылечить зараженный компьютер специализированными утилитами и сканерами, типа CureIt, avptool, а далее ставить антивирусный монитор на чистую систему....


Это был бы совсем другой тест - проверка способности (теоретической) антивирусных продуктов предотвратить активацию вредоносной программы. И задача у такого теста совсем иная. Почему теоретической? Да потому, что нельзя предугадать, как поведет себя пользователь при инсталляции вредоноса (исключения составляют продукты, которые не задают никаких вопросов пользователю). Ведь прекрасно видно же из того же "Помогите", что зараженными оказываются пользователи всех без исключения продуктов. 
Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.
Что касается CureIt и avptool - Вы не задумывались почему используются именно они? Эти утилиты и предназначены для лечения тех, у кого стоит антивирус, не способный лечить. И их спосбоности в плане лечения мало чем отличаются от способности лечить самих антивирусов (разница в том. что в них реализована некоторая защита от вредоносных программ, убивающих антивирусы).

----------


## santy

> И в чем противоречие? CureIt! - основан на сканере антивируса Доктор Веб, а AVPTool - на сканере антивируса Касперского. Если бы эти антивирусы были слабы в лечении активного заражения, то мы бы ни их ни их утилиты (которые по сути представляют собой соответствующий сканер без дополнительных модулей) не рекомендовали для лечения активного заражения.


Противоречие в том, чтобы использовать установку антивируса для лечения зараженной системы. (Лично я никогда это не делаю, следуя рекомендациям ВирусИнфо.) Вначале лечение активного заражения с помощью утилит и сканеров, далее, установка антивирусного монитора на чистую систему. Другое дело, что не все антивирусные компании выпускают сканеры (это им в минус) подобные CureIt или AVPTool... (И за это огромное спасибо ДрВеб и ЛК). Для полного же (комплексного) представления о защите системы как раз хотелось бы и увидеть - способны ли были мониторы тех компаний, которые не достигли 100%результата (или 0%) в пост_лечении противодействовать на стадии детекта активному заражению. (Пример недавний: массовая рассылка линков на вредоносный код через ICQ : Eset (на стадии Imon), определил scr-файл внутри zip-файла как вариант Injector... и чуть позднее на ВирусТотал  *. scr был определен как вариант Ldpinch, товарищ же решил протестировать scr-файл с помощью монитора DrWeb и поймал свои данные только с помощью Comodo Firewall), потому... новый тест - противодействие активному заражению будет с новым подбором вирусных программ... и о результатах теста на лечение активного заражения можно будет забыть... точнее, он уже уйдет в тираж...

----------


## aleksdem

> Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.


Спасибо Вам за подробные объяснения. Но очень бы хотелось видеть в конце Вашей фразы "На что они,так сказать, способны" маленькое уточнение: *"в плане лечения"*. А то проверка проводится технологий современных антивирусов "в плане лечения", а оценка дается общая. Вроде как невинная игра слов, а в результате "мгновенные" отклики типа "так вот где настояшие качественные антивирусы!" Все это было бы просто смешно, если бы небыло так грустно... :Smiley:

----------


## santy

> ... Да и сам тест проводился не с целью максимально приближения к реальности, а скорее проверка технологий современных антивирусов в плане лечения. На что они,так сказать, способны.
> Что касается CureIt и avptool - Вы не задумывались почему используются именно они?


Что касается CureIt и AVPTool, то я не задумываюсь на этот счет. Я их использую при лечении (часто в качестве "контрольного выстрела"). AVPTool реже, ввиду его большего размера. Было бы неплохо, если и другие АВ_компании выпускали бы подобные сканеры.

----------


## XP user

> Опять же, путаница в определениях и неверная трактовка происходящего в разделе "Помогите".


Не сомневаюсь, что я ОПЯТЬ неправильно трактую...  :Wink: 

Меня научили на специальных супер-пупер курсах от Майкрософта, что противопоказано хоть что-либо *установить* на уже заражённую систему - такая система лечится специальными тулзами, после чего можно уже установить резидентный антивирус, хотя метод 'Flatten & Rebuild' (то есть форматирование + установка системы заново) - лучше. Неправильно учили?  :Roll Eyes (Sarcastic): 

Paul

----------


## Alexey P.

> А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком". Причем, мне, как пользователю, абсолютно все-равно, есть в базах сигнатуры этого конкретного вируса или нет. Есть масса других технологий, кроме сигнатурного детекта. Не спорю, иногда лечение действительно необходимо для спасения какой-то информации и т.п. Но все это уже "махание руками после боя". Да и луше это выполнят спец-утилиты. Мне, повторюсь, не нужен антивирус, который дал возможность "спереть" важные данные, а потом при появлении в базах новых сигнатур успешно убрал зловреда и все следы его пребывания...(Это, к стати, делают и многие современные вирусы самостоятельно).


 К сожалению, это несколько наивно. Такую точку зрения можно часто встретить, как ни странно, у спецов по ИБ, админов и т.п.
 И ещё у домохозяек, но тут вроде всё понятно и логично  :Smiley: .
 Нет защиты без дыр. Их может быть меньше или больше, но они всегда есть. Неуязвимая система - это выключенный из сети и закрытый в сейф под вооруженной охраной компьютер.
 Имхо, предмет теста - один из важнейших параметров антивируса и напрямую связан с его качеством.

P.S. А набор малвари взят очень неслабый, впечатляет. Цвет вражеской мысли  :Smiley: .

----------


## Ivaemon

> И ещё у домохозяек, но тут вроде всё понятно и логично .


В качестве домохозяйки (вернее, домохозяина, т.к. у себя дома хозяин я :Smiley: ) скажу: за 4 с половиной года не было НИ ОДНОГО заражения, хотя в инете бывал ВЕЗДЕ. Просто стояли антивири с очень хорошим детектом.

----------


## aleksdem

> К сожалению, это несколько наивно. Такую точку зрения можно часто встретить, как ни странно, у спецов по ИБ, админов и т.п.
>  И ещё у домохозяек, но тут вроде всё понятно и логично .
>  Нет защиты без дыр. Их может быть меньше или больше, но они всегда есть. Неуязвимая система - это выключенный из сети и закрытый в сейф под вооруженной охраной компьютер.
>  Имхо, предмет теста - один из важнейших параметров антивируса и напрямую связан с его качеством.
> 
> P.S. А набор малвари взят очень неслабый, впечатляет. Цвет вражеской мысли .


Стремиться к более-менее надежной защите, - это, конечно, наивно. (Бесспорно, даже для домохозяек  :Smiley: ). Но какими терминами тогда можно охарактеризовать способность  антивирусов "лечить" систему после активного заражения, а значит уже после выполнения зловредом своих функций (в большинстве заслуживающих внимания случаев)? А не простое ли это очковтирательство и обман пользователя? 
Чтобы прекратить этот спор, предлагаю каждому ответить самому себе (на кровати под одеялом) на один простой вопрос: Вы какой себе установите антивирус: тот, который не пустит в систему 90 из 100 зловредов, или тот, который не пропустит в систему 89, но зато, как нибудь потом, вылечит систему от всех 100?
Для меня лично и один лишний остановленный вовремя вирус важнее стопроцентного лечения в будущем (что, к стати, априори тоже невозможно).

----------


## Alexey P.

> Меня научили на специальных супер-пупер курсах от Майкрософта, что противопоказано хоть что-либо *установить* на уже заражённую систему - такая система лечится специальными тулзами, после чего можно уже установить резидентный антивирус, хотя метод 'Flatten & Rebuild' (то есть форматирование + установка системы заново) - лучше. Неправильно учили? 
> Paul


 Почему же, правильно учили. MS плохому не научит  :Smiley: .
Бороться с вирусами, троянами - нетривиальная задача.
 Куда проще подготовить спеца по установке виндов.

P.S. К слову, это уже автоматизировано, и спец не нужен.
Коллега вместе с купленным компьютером получил Windows на CD аварийного восстановления. При загрузке с этого CD диск переразбивается, форматируется и устанавливается чистая Windows. Юзерских данных нет, но и от покупателя претензий быть не может - кто ж его заставлял цеплять трояны ?

*Добавлено через 23 минуты*




> Чтобы прекратить этот спор, предлагаю каждому ответить самому себе (на кровати под одеялом) на один простой вопрос: Вы какой себе установите антивирус: тот, который не пустит в систему 90 из 100 зловредов, или тот, который не пропустит в систему 89, но зато, как нибудь потом, вылечит систему от всех 100?


 Конечно же, тот, который просто пообещает стопроцентную защиту на подлете. Маркетинг - сильная штука, что ни говори, они и родную мать продадут  :Smiley: .



> Для меня лично и один лишний остановленный вовремя вирус важнее стопроцентного лечения в будущем (что, к стати, априори тоже невозможно).


 Угу. А работающий в присутствии антивируса спамбот - это неважно. Раз на входе не пойман - не судьба.
 И работают, ещё как работают. Вон, спама сколько сыпется - не из воздуха же они берутся.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Бороться с вирусами, троянами - нетривиальная задача.


Знаю, знаю. Я уже годами в поиске реально работающих методов.  :Wink: 




> Куда проще подготовить спеца по установке виндов.
> P.S. К слову, это уже автоматизировано, и спец не нужен.


Вы забыли указать, что это только когда Рустока и ему подобных нет на компе...  :Wink: 

Paul

----------


## aleksdem

> *Добавлено через 23 минуты*
> 
> 
>  Конечно же, тот, который просто пообещает стопроцентную защиту на подлете. Маркетинг - сильная штука, что ни говори, они и родную мать продадут .
> 
>  Угу. А работающий в присутствии антивируса спамбот - это неважно. Раз на входе не пойман - не судьба.
>  И работают, ещё как работают. Вон, спама сколько сыпется - не из воздуха же они берутся.


Я понял Вас. Вы скорее, поставите себе тот антивирус, маркетологи которого пообещают стопроцентное лечение. :Smiley:  А причем тут (в ракурсе нашего спора) "работающий в присутствие антивируса спамбот"? Вы хотите сказать, что его нужно сначала пропустить в систему, а потом вылечить успешно?

----------


## ananas

*vaber*, Ваше выступление очень даже многим понравилось. Особенно одно место неоднократно цитируется. Спасибо за самооценку. Вам изнутри безусловно виднее.

----------


## Alexey P.

Общее впечатление от теста - не так давно Славу Русакова упрекали в недопустимых экспериментах, прямо намекали на то, что это афера. А сейчас практически то же уже не делает только ленивый.
 К слову, список этих ленивых в обсуждаемом тесте прилагается  :Smiley: .

*Добавлено через 4 минуты*




> Я понял Вас. Вы скорее, поставите себе тот антивирус, маркетологи которого пообещают стопроцентное лечение. А причем тут (в ракурсе нашего спора) "работающий в присутствие антивируса спамбот"? Вы хотите сказать, что его нужно сначала пропустить в систему, а потом вылечить успешно?


 Нет, надо просто делать вид, что его нет.
Что и имеет место быть, и достаточно массово. Полагаю, не менее половины получаемого мной спама разослано счастливыми обладателями Нортона.

 Я потому и упомянул о маркетинге, что антивирус, не способный даже увидеть работающий троян - нонсенс, чистый маркетинг и не более того. И обещания ловить всё на подлете - практически полностью из этой области. К сожалению, наблюдаемая реальность показывает, чего стоят эти обещания. "Ну не смогла я, мужик, не смогла" (с) анекдот.
 А когда к этому ещё и прикладывается неспособность лечения - кранты. Дальше уже только саппорт с его утилитами.

----------


## aleksdem

> Нет, надо просто делать вид, что его нет.
> Что и имеет место быть, и достаточно массово. Полагаю, не менее половины получаемого мной спама разослано счастливыми обладателями Нортона.


Не будем скатываться на откровенный флуд, предполагая степень "счастливости" обладателей какого-то конкретного варианта защиты. Вопрос стоял о реальной значимости умения антивирусов "лечить" в контексте рассматриваемого теста. И главное, - о навешивании ярлыков "качественных" и "некачественных" антивирусов именно на основании этого теста.

----------


## Alexey P.

Это не флуд, это реальность.
Мечты о непробиваемой защите - вещь хорошая и нужная, человеку свойственно мечтать. Но и представлять реальную картину тоже надо.
 Спам сыплется вагонами, от посетителей в "Помогите" отбоя нет, и далеко не все они - несведущие домохозяйки. Говорить при этом о ненужности лечения - это наивно, повторюсь в который раз. Демагогия, не более.

P.S. To vaber - респект, действительно интересный тест.

----------


## vaber

> Это не флуд, это реальность.


Алексей, не думаю что Вам получится переубедить людей, которые на игле маркетинга  :Wink: . Они наивно полагают, что некоторые антивирусы эвристически детектируют вредоносной программу еще до того, как ее скомпилировал вирусописатель  :Smiley: . Стало-быть им и лечится никогда поэтому не понадобиться.

----------


## aleksdem

> Алексей, не думаю что Вам получится переубедить людей, которые на игле маркетинга . Они наивно полагают, что некоторые антивирусы эвристически детектируют вредоносной программу еще до того, как ее скомпилировал вирусописатель . Стало-быть им и лечится никогда поэтому не понадобиться.


О, да Вы, право, мастер навешивания ярлыков. Только совсем недалекие пользователи не поняли, что "маркетинговая игла" в данном случае именно Ваш тест. :Wink:

----------


## K_Mikhail

> Алексей, не думаю что Вам получится переубедить людей, которые на игле маркетинга . Они наивно полагают, что некоторые антивирусы эвристически детектируют вредоносной программу еще до того, как ее скомпилировал вирусописатель . Стало-быть им и лечится никогда поэтому не понадобиться.


Они пользуются продукцией конкурентов для лечения, но при этом заявляют, что им самим "лечить нечего". Пусть продолжают рекламировать CureIt!, AVPTool, AVZ и дальше, если сами неспособны выпустить своё средство.  :Smiley:

----------


## vaber

> О, да Вы, право, мастер навешивания ярлыков. Только совсем недалекие пользователи не поняли, что "маркетинговая игла" в данном случае именно Ваш тест.


Ваше право так считать.
Для меня важно лишь то, что тест признан специалистами в области ИБ, вирусными аналитиками различных вендоров (к слову, далеко не только победителей). Мнение фанатов мне не интересно.

----------


## ALEX(XX)

> Они пользуются продукцией конкурентов для лечения, но при этом заявляют, что им самим "лечить нечего". Пусть продолжают рекламировать CureIt!, AVPTool, AVZ и дальше, если сами неспособны выпустить своё средство.


 Долго думали?

----------


## K_Mikhail

> Долго думал?


Мы на "ты" не переходили вроде?  Попробуете опровергнуть или силёнок маловато?

----------


## ananas

*vaber*, а мне все равно, кем признан Ваш тест. Еще бы не признать, если они сами его мучительно выдумывали. Я же полагаю, что Ваша лечебная клизма не способствует снятию кого бы то ни было  с маркетинговой иглы. Как раз, наоборот - впрыскивает тоже самое, но большими порциями.

----------


## aleksdem

> Ваше право так считать.
> Для меня важно лишь то, что тест признан специалистами в области ИБ, вирусными аналитиками различных вендоров (к слову, далеко не только победителей). Мнение фанатов мне не интересно.


Фанаты, "сидящие на игле маркетинга" - кто Вам дал право судить и оценивать людей? Занимайтесь лучше "оценками" антивирусных решений. И лучше, если бы Вы ориентировались на мнения обычных пользователей, а не, так называемых "специалистов в области ИБ и вирусных аналитиков", погрязших в конкурентной борьбе и грязных подтасовках с целью получения максимальных прибылей. У Саркози со счета деньги сперли народные умельцы, а вирусные аналитики все умничают о "революционых" технологиях (практически у всех вендоров без исключения). Интересно, после лечения Вашими победителями сломаной банковской системы защиты деньги законным владельцам вернуть можно? :Smiley:

----------


## ALEX(XX)

> Только совсем недалекие пользователи не поняли, что "маркетинговая игла" в данном случае именно Ваш тест.


И в чём же? То что DrWeb прекрасно лечит, это я знаю давно. ещё начиная с версии 4.13, с далёких времен MS-DOS, когда бушевали файловые вирусы. То что надо стремиться не допустить заражения системы это ясно, но что делать, когда случился факт заражения? А такое бывает часто, ни один антивирус не ловит 100% заразы. В таком случае надо лечить систему, не всегда возможен вариант убиения системы (а иногда и просто запрещён). Если что-то лоамется, Вы идёте к специалисту и просите починить, а представьте, что спец. говорит Вам (не смотря на пустячную неисправность), что это надо выкинуть и купить новый. Неприятно, правда? И Вы идёте искать другого мастера. Точно так же и здесь.
Месяца 3 назад довелось мне познакомится с одним ПК поражённым Jeefo (старенькая зараза, 2003-го года кажется). Расклад получался такой, что пришлось ставить Авиру, которая была под рукой. Встала без проблем, обновилась тоже (вручную, инета на той машине не было). А вот лечить эти файлы не хотела. Пришлось ехать домой, записывать курит, возвращаться и лечить.. А что мне прикажете было делать? Грохнуть всю ОС удалив зараженные файлы (располсзя этот Jeefo добротно)?

----------


## aleksdem

> И в чём же? То что DrWeb прекрасно лечит, это я знаю давно. ещё начиная с версии 4.13,...


Вы, наверное, не посмотрели все мои сообщения. Я нигде слова против мастерства в лечении DrWeb или KAV не обмолвил. Наоборот, честь и хвала им за это. Я веду речь только о том, что приклеивать ярлык "качественного" или "не качественного" антивируса на основании этого теста нельзя.

----------


## ALEX(XX)

> Мы на "ты" не переходили вроде?


 Извините, пропустил "и". Очепятка.




> Попробуете опровергнуть или силёнок маловато?


А что опровергать? Я опираюсь на свой опыт работы. Если Вы мне подскажите, что помогает лучше, чем связка drWeb CureIt & AVZ для лечения, я Вам спасибо скажу. CureIt, AVPTool и AVZуникальные в своём роде средства. Как вылечить машину, на которой зловред препятствует вообще установке антивируса? Или антивирус, установился, но был убит зловредом? Винт снимать? Да, это решение, но не в том случае, если машина опечатана. Или с LiveCD грузится, тоже можно. А чем проверять в этом случае? Да и не всегда есть под рукой LiveCD.. Вобщем, никакой рекламы я не вижу. Эти продукты реально работают и помогают. Вот когда другие вендоры сделают нечто подобное, тогда и будет смысл говорить дальше.

----------


## SDA

> Алексей, не думаю что Вам получится переубедить людей, которые на игле маркетинга . Они наивно полагают, что некоторые антивирусы эвристически детектируют вредоносной программу еще до того, как ее скомпилировал вирусописатель . Стало-быть им и лечится никогда поэтому не понадобиться.


Я думаю, не для кого не новость, что сигнатуры не опережают вирусописателей. Если зловреда нет в сигнатурах (всякие хипсы я не беру в счет) и он попал в систему, естественно его сигнатура,если ее нет в базе добавится позже. Вот здесь и выходит умение антивируса лечить зараженную систему и непросто лечить, но чтоб система после лечения была работоспособная (не все домохозяйки ходят на virusinfo.info). A маркетинг и рекламу можно приписать любому тесту, не обязательно этому. И критика того, кто ничего не делал, а только ищет зацепку, не стоит "выеденного яйца".

----------


## K_Mikhail

> Извините, пропустил &quot;и&quot;. Очепятка.


 Мир.  :Smiley:  



> А что опровергать? Я опираюсь на свой опыт работы. Если Вы мне подскажите, что помогает лучше, чем связка drWeb CureIt & AVZ для лечения, я Вам спасибо скажу. CureIt, AVPTool и AVZуникальные в своём роде средства. Как вылечить машину, на которой зловред препятствует вообще установке антивируса? Или антивирус, установился, но был убит зловредом? Винт снимать? Да, это решение, но не в том случае, если машина опечатана. Или с LiveCD грузится, тоже можно. А чем проверять в этом случае? Да и не всегда есть под рукой LiveCD.. Вобщем, никакой рекламы я не вижу. Эти продукты реально работают и помогают. Вот когда другие вендоры сделают нечто подобное, тогда и будет смысл говорить дальше.


Всё то, что Вы говорите -- верно. Но, до тех пор, пока другие вендоры не выпустят своё решение для лечения, они, предлагая своим end-users вышеперечисленные утилиты для лечения, так или иначе занимаются их рекламой. Это ведь сомнений не вызывает?  Ну а связка CureIt! + AVZ == да, хорошая, хотя я к помощи AVZ крайне редко прибегал.  :Smiley:

----------


## ALEX(XX)

> Я веду речь только о том, что приклеивать ярлык "качественного" или "не качественного" антивируса на основании этого теста нельзя.


Возможность нормального лечения системы - важный фактор оценки работы антивируса. Это одно из тех свойств, которое оплачивается Вами же. В плане ловли заразы, все приблизительно (я имею ввиду так сказать лидеров ) равны. Но рано или поздно, что-то да пропускают. А вот тут начинается самое интересное. Если антивирус что-то пропустил, а потом "прозрел", то ему надо лечить систему. А если он не может лечить, а только поможет догробить систему, то это только минус ему. А потом начинается "помогите вылечить". Ладно если это дома, полбеды. А если на предприятии? Угробить всю сетку неспроможным антивирем и быть в твёрдой уверенности в его качестве? В любом случае, Вы когда лечите машину, Вы же ищете то, что способно вылечить или сразу форматируете винт и ставите всё заново? Значит Вы ищите то, что качественнее?

*Добавлено через 8 минут*




> они, предлагая своим end-users вышеперечисленные утилиты для лечения, так или иначе занимаются их рекламой. Это ведь сомнений не вызывает?


 ИМХО, это казуистика.  :Smiley:  Если быть точнее, то их задача - помочь пользователю в любом случае, пользователь за это дело денюшки платит. Ну вот если вирлаб просто не поспевает выпустить решение для проблемы, а у пользователя ну полный аврал, то что им делать? Если они откажут в помощи, пользователь закручинится слишком, в депрессию впадёт или в бубен даст, разные варианты. А вот если помогли, то пользователь доволен, раз помогли, значит не зря бабки заплатилю А чем там ему помогали, ему без разницы, лишь бы работало. А потом и вендор уже сможет такую траблу решить сам, без помощи других утилит. Всяко бывает... А вот если вендор ничего не хочет делать, а его пользователи всё время спасаются сторонними/конкурентными тулзами, то это проблемы вендора. Пусть работает по-людски

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Но, до тех пор, пока другие вендоры не выпустят своё решение для лечения, они, предлагая своим end-users вышеперечисленные утилиты для лечения, так или иначе занимаются их рекламой. Это ведь сомнений не вызывает?  Ну а связка CureIt! + AVZ == да, хорошая, хотя я к помощи AVZ крайне редко прибегал.


Зачем им напрягаться, если (за бесплатно!) уже существуют такие отличные инструменты, даже от конкурентов? Это всё новые проекты, деньги, и т.д. Вы можете их заставлять развивать свои решения если делать CureIt! + AVP Tool + AVZ - платными или только доступными за бесплатно пользователям определённых продуктов.  :Roll Eyes (Sarcastic): 

(Надел защитную каску от камней) 

Paul

----------


## aleksdem

> Возможность нормального лечения системы - важный фактор оценки работы антивируса. Это одно из тех свойств, которое оплачивается Вами же. В плане ловли заразы, все приблизительно (я имею ввиду так сказать лидеров ) равны. Но рано или поздно, что-то да пропускают. А вот тут начинается самое интересное. Если антивирус что-то пропустил, а потом "прозрел", то ему надо лечить систему. А если он не может лечить, а только поможет догробить систему, то это только минус ему. А потом начинается "помогите вылечить". Ладно если это дома, полбеды. А если на предприятии? Угробить всю сетку неспроможным антивирем и быть в твёрдой уверенности в его качестве? В любом случае, Вы когда лечите машину, Вы же ищете то, что способно вылечить или сразу форматируете винт и ставите всё заново? Значит Вы ищите то, что качественнее?


Нет, я ищу то, что умеет лучше всего "лечить". То есть именно то, что "качественнее" в лечении. Это, как не трудно догадаться, CureIt, AVZ и т.п. Но в качестве файлового монитора я использую решения именно наиболее "качественные" в этом отношении, а в роли фаервола используются опять же решения совершенно других производителей, наиболее "качественные" на сегодняшний день и т.д. Скажете, что все это субъективно? А я и спорить не буду. Но буду спорить с теми, кто приклеивает ярлыки "некачественных" антивирусов на основании теста "лекарей".

----------


## K_Mikhail

> ИМХО, это казуистика.  Если быть точнее, то их задача - помочь пользователю в любом случае, пользователь за это дело денюшки платит. Ну вот если вирлаб просто не поспевает выпустить решение для проблемы, а у пользователя ну полный аврал, то что им делать?


 Уметь устранить проблему сторонними утилитами (по возможности не от "заклятых друзей" конкурентов) и руками. Это совершенно нормальная практика тех. поддержки соответствующего вендора.  


> Если они откажут в помощи, пользователь закручинится слишком, в депрессию впадёт или в бубен даст, разные варианты.


  Или на virusinfo.info придёт.  :Smiley:  


> А вот если помогли, то пользователь доволен, раз помогли, значит не зря бабки заплатилю А чем там ему помогали, ему без разницы, лишь бы работало.


 Практика показывает, что есть процент пользователей (немаленький), который спрашивает -- "как, вы предлагаете мне воспользоваться утилитой от ваших конкурентов? у вас неплохое чувство юмора".  


> А потом и вендор уже сможет такую траблу решить сам, без помощи других утилит. Всяко бывает... А вот если вендор ничего не хочет делать, а его пользователи всё время спасаются сторонними/конкурентными тулзами, то это проблемы вендора. Пусть работает по-людски


Дык о том же говорится -- пусть свои выпускают.

*Добавлено через 9 минут*




> Зачем им напрягаться, если (за бесплатно!) уже существуют такие отличные инструменты, даже от конкурентов? Это всё новые проекты, деньги, и т.д.


  Ну, к примеру, тот же AVPTool вышел после CureIt!'а.. Значит, напрягаться таки есть зачем (хотя бы тот же имидж).  :Wink:  Для других, видать, &quot;имидж ничто&quot; (с), но попаразитировать -- без проблем.   


> Вы можете их заставлять развивать свои решения если делать CureIt! + AVP Tool + AVZ - платными или только доступными за бесплатно пользователям определённых продуктов. 
> 
> (Надел защитную каску от камней) 
> 
> Paul


 Делать эти вещи платными -- имхо, ущербное направление. Главное, что социум знает кто есть who.  :Smiley:

----------


## XP user

> Делать эти вещи платными -- имхо, ущербное направление. *Главное, что социум знает кто есть who.*


А на практике это юзеров не очень волнует, я боюсь. То есть - после успешного лечения они так же весело продолжают пользоваться тем, что было - до следующего случая заражения. Это как у сектантов - глаза не открываются если только не дать шоковую терапию.  :Smiley: 



> но попаразитировать -- без проблем.


P.S.: Зря вы так. Я думал, что эти инструменты были выпущены как благородный поступок в помощи *любым* юзерам. Я сам сторонник БЕСПЛАТНЫХ решений лечения для пользователей, невзирая на то, какая у них резидентная защита. Бывает и случаи, когда все 3 вышеназванных инструмента блокируются зловредом, и приходится использовать либо gmer, либо IceSword, либо ping-pong, либо ещё что-то. Жалоб от производителей этих продуктов о том, что мы здесь - паразиты не слышал...  :Wink: 

Paul

----------


## Alexey P.

> О, да Вы, право, мастер навешивания ярлыков. Только совсем недалекие пользователи не поняли, что "маркетинговая игла" в данном случае именно Ваш тест.


 aleksdem, сорри, Вы материал этого теста до конца прочли ?
Там внизу комментарии специалистов.
И ещё вот это:
http://www.secureblog.info/articles/360.html

P.S. Мне очень понравилась одна фраза:



> В этой индустрии все-таки по-прежнему решают конкретные люди, а не маркетинговое бабло. И это радует.


 С этим согласен 100%. Действительно радует.

----------


## aleksdem

> Там внизу комментарии специалистов.


Да я вообще против теста ничего не имею. В своем первом сообщении в этой теме я назвал его интересным и нужным. Я против подачи результатов, как провала (или победы) конкретных антивирусов в Общем. Это провал (или победа) именно в сфере лечения. И не более. Важный ли это аспект работы программ - конечно. Но не более важный чем работа веб- или  файлового монитора. И качество антивирусного решения, а точнее всего конкретного комплекса защиты зависит далеко не только от умения "лечить".
Ну а касательно того, кто и что в этой сфере ИБ решает, так стоит задуматься (например) о подавляющем господстве Symantec, по крайней мере, на западном рынке,  несмотря на все упомянутые Вами его качества. Люди, конечно, конкретные, только цели обеспечения действительно качественной защиты и получения сверхприбылей часто расходятся диаметрально...

----------


## K_Mikhail

> А на практике это юзеров не очень волнует, я боюсь. То есть - после успешного лечения они так же весело продолжают пользоваться тем, что было - до следующего случая заражения. Это как у сектантов - глаза не открываются если только не дать шоковую терапию.


  Да, юзеров это не волнует. И знаю я это не понаслышке.  


> P.S.: Зря вы так. Я думал, что эти инструменты были выпущены как благородный поступок в помощи *любым* юзерам.


  Так и есть. Но при этом выпуск подобных утилит -- есть маркетинговый ход. Я думаю, что редкий человек не слышал о CureIt!, AVPTool и AVZ и о том, какой вендор что выпускает.  :Wink:  


> Я сам сторонник БЕСПЛАТНЫХ решений лечения для пользователей, невзирая на то, какая у них резидентная защита. Бывает и случаи, когда все 3 вышеназванных инструмента блокируются зловредом, и приходится использовать либо gmer, либо IceSword, либо ping-pong, либо ещё что-то. Жалоб от производителей этих продуктов о том, что мы здесь - паразиты не слышал... 
> 
> Paul


Я не про ресурс говорю, а про тех вендоров, которые не могут обеспечить своих пользователей средствами лечения, обосновывая это якобы высоким уровнем детекта (что-то из серии "нам нечего лечить").

----------


## santy

> И ещё вот это:
> http://www.secureblog.info/articles/360.html
> 
> P.S. Мне очень понравилась одна фраза:
> 
>  С этим согласен 100%. Действительно радует.


А что здесь может радовать? Какая-то, чуть ли не "паталогическая" неприязнь к продуктам других кампаний... единственное, что радует так это посыл... "Мы с ДрВеб"... дай бог, чтобы это было надолго...

*Добавлено через 5 минут*




> ...Но при этом выпуск подобных утилит -- есть маркетинговый ход. Я думаю, что редкий человек не слышал о CureIt!, AVPTool и AVZ и о том, какой вендор что выпускает.


А Вы спросите у Зайцева Олега  является ли (являлся ли) маркетинговым ходом выпуск его утилиты.

----------


## borka

> А мне не нужен антивирус (точнее весь комплекс защиты), который дает возможность "заразить" систему, установить троянскую программу и дать ей соединиться с "заказчиком". Причем, мне, как пользователю, абсолютно все-равно, есть в базах сигнатуры этого конкретного вируса или нет. Есть масса других технологий, кроме сигнатурного детекта. Не спорю, иногда лечение действительно необходимо для спасения какой-то информации и т.п. Но все это уже "махание руками после боя". Да и луше это выполнят спец-утилиты. Мне, повторюсь, не нужен антивирус, который дал возможность "спереть" важные данные, а потом при появлении в базах новых сигнатур успешно убрал зловреда и все следы его пребывания...(Это, к стати, делают и многие современные вирусы самостоятельно).


А каким антивирусом пользуетесь лично Вы?

*Добавлено через 5 минут*




> Вы, наверное, не посмотрели все мои сообщения. Я нигде слова против мастерства в лечении DrWeb или KAV не обмолвил. Наоборот, честь и хвала им за это. Я веду речь только о том, что приклеивать ярлык "качественного" или "не качественного" антивируса на основании этого теста нельзя.


По конкретным параметрам - можно.

----------


## SDA

> А что здесь может радовать? Какая-то, чуть ли не "паталогическая" неприязнь к продуктам других кампаний... единственное, что радует так это посыл... "Мы с ДрВеб"... дай бог, чтобы это было надолго...
> 
> *Добавлено через 5 минут*
> 
> 
> 
> А Вы спросите у Зайцева Олега  является ли (являлся ли) маркетинговым ходом выпуск его утилиты.


Я конечно не Олег, но насколько я знаю АВЗ был написан в далеком 2004 году в административно-защитных целях, Олег Зайцев, тогда работал на никому не известном (я имею ввиду сферу производителей антивирусов) Смоленскэнерго, так о каком маркетинговом ходе идет речь? 
Также можно разбирать другую "конструктивную критику".

----------


## borka

> Я не про ресурс говорю, а про тех вендоров, которые не могут обеспечить своих пользователей средствами лечения, обосновывая это якобы высоким уровнем детекта (что-то из серии "нам нечего лечить").


Согласись, достаточно двусмысленно звучит "нам нечего лечить" - то ли действительно, "мы не допускаем заражений", то ли "мы ничего вылечить не в состоянии"...  :Wink:

----------


## aleksdem

> А каким антивирусом пользуетесь лично Вы?


Лично я - никаким. По работе тестирую все. Для лечения  зараженых систем у друзей и знакомых применяю CureIt и AVZ. Им же в зависимости от качества (и наличия) интернет соединения рекомендую Avira, KIS или Eset (именно в таком порядке в зависимости от возможности нормального обновления).



> По конкретным параметрам - можно


Конечно, по определенным параметрам можно (и нужно) судить о качестве антивируса. Но не по результатам обсуждаемого теста.

----------


## borka

> Конечно, по определенным параметрам можно (и нужно) судить о качестве антивируса. Но не по результатам обсуждаемого теста.


А по каким результатам?

----------


## K_Mikhail

> А Вы спросите у Зайцева Олега  является ли (являлся ли) маркетинговым ходом выпуск его утилиты.


 Изначально нет, после его перехода под крыло вендора -- да, но не его собственным, а вендора. В той же 4.30 посмотрите св-ва avz.exe. Производитель -- Лаборатория Касперского, 2007.

----------


## aleksdem

> А по каким результатам?


По результатам обеспечения ИБ.

----------


## K_Mikhail

> Согласись, достаточно двусмысленно звучит &quot;нам нечего лечить&quot; - то ли действительно, &quot;мы не допускаем заражений&quot;, то ли &quot;мы ничего вылечить не в состоянии&quot;...


Посмотри рез-ты того же NOD'а и вспомни насколько он не допускает заражений.  :Wink:

----------


## santy

> Изначально нет, после его перехода под крыло вендора -- да, но не его собственным, а вендора. В той же 4.30 посмотрите св-ва avz.exe. Производитель -- Лаборатория Касперского, 2007.


Я в курсе. Но это ваше мнение (про маркетинг), а не мнение автора данной утилиты.

----------


## Гриша

> Посмотри рез-ты того же NOD'а и вспомни насколько он не допускает заражений.


Не понял про NOD  :Shocked: 

В тесте 0-ой результат и детект у него посредственный или я не так понял?

----------


## borka

> По результатам обеспечения ИБ.


Ну так где они?

*Добавлено через 1 минуту*




> Посмотри рез-ты того же NOD'а и вспомни насколько он не допускает заражений.


Я с НОДом не знаком.  :Smiley:

----------


## ananas

> И критика того, кто ничего не делал, а только ищет зацепку, не стоит "выеденного яйца".


Ага. А кто делал больше всех, тот самый полезный. Логично, что тут сказать?  :Smiley: 
*SDA*, Вам то лечение зачем, у Вас же Акронис...  :Wink: 



> Да, юзеров это не волнует. И знаю я это не понаслышке.


Все всё знают. Правильно. Меня это не волнует.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

> Но это ваше мнение (про маркетинг), а не мнение автора данной утилиты.


Если сейчас - то мнение автора совпадает с мнением работодателя.

----------


## aleksdem

> Посмотри рез-ты того же NOD'а и вспомни насколько он не допускает заражений.


Во-первых, на "ты" мы не переходили. Во-вторых, все гораздо больше зависит от настроек Windows и того же Eset. (Настройки "по-умолчанию" применять ни в одном антивирусном решении нельзя"). В третьих, как говориться, из двух зол выбирают меньшее. На слабых (обычных) машинах с интернет-подключением  Dial-Up ни Avira, ни продукты ЛК не проходят.

----------


## borka

> Во-первых, на "ты" мы не переходили.


Это мне, а не Вам.  :Smiley:  Мы на "ты".  :Smiley: 




> На слабых (обычных) машинах с интернет-подключением  Dial-Up ни Avira, ни продукты ЛК не проходят.


А что так?  :Wink:

----------


## K_Mikhail

> Я в курсе.


  Это радует и внушает оптимизм.  :Smiley:  


> Но это ваше мнение (про маркетинг), а не мнение автора данной утилиты.


Это не моё или чьё-либо мнение, а реальность.

*Добавлено через 1 минуту*




> Не понял про NOD 
> 
> В тесте 0-ой результат и детект у него посредственный или я не так понял?


Всё так.

----------


## aleksdem

> А что так?


Ну разработчики Avira, наверное думают, что интернет давно такой везде, как у них в Германии  :Smiley: , а что касается продуктов ЛК - так авторам (которых здесь предостаточно) виднее, почему постоянно валят мегатонные обновления.. Да и зачем оно Вам? Лучше продвигайте поскорее пятый DrWeb. Может что-то стоящее получится. :Wink:  А то вон, конкуренты не спят. На днях вышел уж очень интересный COMODO IS. Бесплатный вариант имеет очень широкий функционал, прекрасно обновляется, что-то ловит, все (в разумных пределах) блокирует, систему не грузит...

----------


## SDA

> Ага. А кто делал больше всех, тот самый полезный. Логично, что тут сказать? 
> 
> А сказать можно примерно так. Соберите сторонников такого подхода, выдайте им вместо компов счоты, можно по двое в одни руки, и начинайте нащелкивать облачные вычисления. Будете самими активно-полезными. И компьтерные вирусы не страшны. Артель Бо'ты-Счо'ты. 
> 
> *SDA*, Вам то лечение зачем, у Вас же Акронис... 
> 
> 
> Все всё знают. Правильно. Меня это не волнует. У кого другое мнение, может продолжать меняться спасибками.
> 
> А представьте ни миг, что топик состоит из одних спасибок. "Спасибо, дорогой тестер" - и куча ников от благодарных сторонников. "И тебе спасибо, уважаемый вендор" - и опять куча ников от фанатов. Красота.


Критиковать всегда легче, чем работать, особенно так называемая "конструктивная критика", скатывающаяся к воплям о "маркетинговых ходах" и выискивании недостатков. Насчет Акронис вы правы, но это мой личный подход и к теме поста не имеет отношения, хотя тот же антивирус выявивший зловреда является причиной для бекапа (правда последние 3 или больше года не помню попавших в систему серьезных зловредов).

----------


## Rampant

Уважаемые гуру, вы бы подитожили для среднестатистического юзера, всё это интересно, но непонятно)

----------


## SDA

> Я думаю, не для кого не новость, что сигнатуры не опережают вирусописателей. Если зловреда нет в сигнатурах (всякие хипсы я не беру в счет) и он попал в систему, естественно его сигнатура,если ее нет в базе добавится позже. Вот здесь и выходит умение антивируса лечить зараженную систему и непросто лечить, но чтоб система после лечения была работоспособная (не все домохозяйки ходят на virusinfo.info). A маркетинг и рекламу можно приписать любому тесту, не обязательно этому. И критика того, кто ничего не делал, а только ищет зацепку, не стоит "выеденного яйца".


Мое личное итоговое мнение (см. выше), что хорошим антивирусным продуктом является продукт, который не только детектит зловреда, но и удовлетворительно с ним борется по факту заражения, так как детект зловредов идет на шаг меньше, чем вирусописатели. Какой прок в антивирусе, который детектит, но не может вылечить.
Именно из этих позиций тест заслуживает внимания и благодарности тестерам за проделанную работу.

----------


## Зайцев Олег

> Уважаемые гуру, вы бы подитожили для среднестатистического юзера, всё это интересно, но непонятно)


Легко  :Smiley: 
Если подвести итоги длинному флейму и спору, что нужно, что не нужно, актуально ли и т.п., то следует рассмотреть несколько сценариев для реального юзера:
1. Человек покупает ПК, получает доступ в Инет, через какое-то время его компьютер начинает "шалить". Понимая, что наверное это вирус, юзер идет в магазин, выбирает самую красивую (тяжелую, что дадут) коробку с антивирусом, приносит домой, втыкает диск и ожидает, что антивирус сейчас установится и полечит ему ПК. И тут оказывается, что антивирус или не устанавливается, или не лечит  :Smiley:  
2. Ситуация 1, но на компьютере уже есть антивирус, но он пропустил заразу. затем вышло обновление сигнатур, антивирус получил возможность продетектить зверя, но из-за его защиты, маскировки и т.п. не может это сделать
3. Ситуация 1-2, но антивирус лечит, но не до конца. Т.е. что-то полечил, что-то недобил, и либо система потом нараскосяк, или части зверя еще активны, или убивается сам зверь, но жив его дроппер и процесс лечения идет по кругу, или еще что-то подобное
4. Ситуация 1-3, но антивирус у юзера уже был - он не справился, и юзер купил/спер/скачал новый, и получили ситуацию 1-3 с новым антивирусом
Т.е. ситуации то очень типовые, особенно 1 - многие юзеры задумываюся о покупке антивируса только изрядно пострадав от заразы. А тест как раз и показывает, а что будет в подобной ситуации ... Причем этот тест рассматривает вполне конкретную и вполне характерную проблему - антивирус содержит в базах сигнатуры заразы, и выясняется, как хорошо он сможет ее забороть, если зараза уже активна. Описанные выше сценарии показывают, что проблема такая вполне реальна и существует, а результаты теста показывают на существующие проблемы - что мало забить сигнатуру зверя в базу, нужно уметь его увидеть и прибить. 
На другие вопросы дадут ответы другие тесты, например тест на качество эвристики покажет, как хорошо антивирус реагирует на разную новую заразу, тест антишпиона покажет, как хорошо антивирус пресекает воровство паролей и персональных данных и т.п. ...

----------


## santy

И что, Олег, реально при таком обилии зловредов писать лечение и добавлять в базы сканеров, чтобы при сканировании удалялись ключи реестра, все модули, которые использует зловред при своем развертывании... значит все опять скатывается к сигнатурному анализу?

----------


## Зайцев Олег

> И что, Олег, реально при таком обилии зловредов писать лечение и добавлять в базы сканеров, чтобы при сканировании удалялись ключи реестра, все модули, которые использует зловред при своем развертывании, значит все опять скатывается к сигнатурному анализу?


Ну, AVZ то например чистит в меру сил "хвосты", когда лечит. Не все, и не всегда - но чистит ... и достигается это двумя путями, это не секрет:
1. Эвристическая чистка системы - т.е. после удаления пробежаться по "злачным местам" и посмотреть, где есть ссылки на удаленного зверя. И все аккуратно подчистить
2. Процедура "долечивания", хранимая вместе с базой сигнатур. Она может быть универсальной, на семейство скажем похожих зверей, но ее наличие позволяет устранить то, что нельзя убрать на шаге 1
Стало быть технически пути этого известны, они не сложны. Просто речь идет о том, что антивирус должен уметь найти зверя и "чисто" его прибить (и как видно по тесту, проблемы есть и на стадии прибиения, и на стадии чистки).  И условием теста было то, что у всех антивирусов в тесте есть в базе сигнатуры компонент зверей (именно поэтому их не много, и зловреды на новейшие - чтобы участники теста умели их сигнатурно детектить)

----------


## zerocorporated

> вы бы подытожили для среднестатистического юзера, всё это интересно, но непонятно)


Непонятно потому что 80% темы флуд.




> Для антивирусных решений именно как защиты системы, компьютера и в конечном итоге - информации (то есть, Информационной Безопасности как таковой) этот параметр (лечение..) имеет отношение весьма отдаленное. Тем более, никакого отношения не имеет к, так называемому, "качеству" антивирусов. Если бы это было подчеркнуто авторами исследования, - тест можно было бы считать вполне приемлемым и целесообразным. Но, естественно, этого не произошло и, как всегда, имеем простую рекламу и пиар для несведующих пользователей. Жаль.


Конечному пользователю нужно сейчас "удобство" от работы с продуктом. И какое же будет удобство если он вылечить не может и будет доставать пользователя "Вот тут вирус, а я его вылечить не могу" ?

P.S: А если ещё подумать над тем:
1. Что Вирусописатели "впереди планеты всей".
1. Сколько вообще зловредов от общего числа заноситься в базы.
2. Как часто базы обновляются.

то этот параметр "Лечение" очень важен.




> В качестве домохозяйки (вернее, домохозяина, т.к. у себя дома хозяин я) скажу: за 4 с половиной года не было НИ ОДНОГО заражения, хотя в инете бывал ВЕЗДЕ. Просто стояли антивири с очень хорошим детектом.


А вы что кого то знаете кто может сказать "Ой действительно, у меня были заражение"?
Обычно если так происходит, человек меняет продукт "X" на продукт "Y" и думает: "Ну все! "Y" точно ловит всё", а по поводу продукта "X" говорит "Да он отстой"...
И сами понимаете что это произошло как раз таки из-за того что антивирус не смог "вылечить", и пользователь "понял" что заражен...

----------


## vaber

> Уважаемые гуру, вы бы подытожили для среднестатистического юзера, всё это интересно, но непонятно)


Все просто.  Антивирусный продукт должен:
1. Иметь как можно лучший сигнатурный детект (время реакции на новые угрозы).
2. Проактивная защита (HIPS и/или эвристический способ детектирования). Чем эффективнее проактвная защита, тем лучше.
3. Возможность обнаруживать и лечить вредоносные программы.

Данный тест проводился с целью определения качества работы антивирусов именно по 3 пункту.

----------


## Ivaemon

> Все просто.  Антивирусный продукт должен:
> 1. Иметь как можно лучший сигнатурный детект (время реакции на новые угрозы).
> 2. Проактивная защита (HIPS и/или эвристический способ детектирования). Чем эффективнее проактвная защита, тем лучше.
> 3. Возможность обнаруживать и лечить вредоносные программы.
> 
> Данный тест проводился с целью определения качества работы антивирусов именно по 3 пункту.


Дык ведь не бывает всего сразу и на высочайшем уровне!!! Кто же мешает,скажем,при установленной Авире иметь в заначке и постоянно подкачивать эту лечебную утилитку куреит?

----------


## Wayfarer

> Данный тест проводился с целью определения качества работы антивирусов именно по 3 пункту.


А насколько бы, по - Вашему мнению, могло бы повлиять на результат, если в качестве сэмплов были взяты, к примеру, деструкторы, еще кое-где встречающиеся, просто удаляющие данные? :Roll Eyes (Sarcastic):

----------


## Гриша

> А насколько бы, по - Вашему мнению, могло бы повлиять на результат, если в качестве сэмплов были взяты, к примеру, деструкторы, еще кое-где встречающиеся, просто удаляющие данные?


И что там лечить?

----------


## santy

> Дык ведь не бывает всего сразу и на высочайшем уровне!!! Кто же мешает,скажем,при установленной Авире иметь в заначке и постоянно подкачивать эту лечебную утилитку куреит?


Да, никто не мешает иметь два лицензионных антивируса, один из которых обязательно с качественным лечением, с возможностью нормального общения с техн. поддержкой. Для предприятия это актуально.

----------


## Wayfarer

Вот, поэтому я использовал соответствующий смайлик. Быть может выглядело бы "более корректным" или даже "расширяющим общее представление о смысле теста" за неимением лучшего термина, если бы в методологии или в анотации  к тестам такого рода указывалось, что существует ряд зловредов, которые лечению не подлежат по-определению. Хотя бы для той прослойки пользователей, которые ориентируются в выборе продукта, согласно результатам.

----------


## ananas

> Все просто.  Антивирусный продукт должен:
> 1. Иметь как можно лучший сигнатурный детект (время реакции на новые угрозы).
> 2. Проактивная защита (HIPS и/или эвристический способ детектирования). Чем эффективнее проактвная защита, тем лучше.
> 3. Возможность обнаруживать и лечить вредоносные программы.
> 
> Данный тест проводился с целью определения качества работы антивирусов именно по 3 пункту.


*vaber*, после всего вышеизложенного Ваше экспертное мнение снова выглядит мягко говоря странно. Я бы расставил приоритеты по-другому. Антивирус должен:
1. Иметь проактивную защиту.
2. Иметь сигнатурный детект.
3. Желательно уметь лечить в системе последствия заражения.
Чем лучше высший пункт, тем слабее может быть низший.

*vaber*, зачем лечить вредоносные программы? Они что, станут от этого пользоносными? Да и возможность обнаруживать не тестировалась. Вы знали заранее до начала теста, что зловреды детектятся всеми его участниками, эксперт.   :Sad:

----------


## 456

Тест конечно интересный .
Но я уверен , что если взять другие экземпляры  , то результат будет несколько иной .

Да - Cureit пролечивает хорошо , Kaspersky  тоже на уровне . 
Но все равно бывает - остаются записи в реестре и пр . "Осколки ".
Да и не в этом дело .

Вирусописатели не стоят на месте .  Они знают , как работает программа .
И при желании можно уложить любой антивирус . 
Это  правило .

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kps

> Я бы расставил приоритеты по-другому. Антивирус должен:
> 1. Иметь проактивную защиту.
> 2. Иметь сигнатурный детект.
> 3. Желательно уметь лечить в системе последствия заражения.
> Чем лучше высший пункт, тем слабее может быть низший.


Вы пост Олега читали о ситуациях, когда используется антивирус? И я уже объяснял, что часто антивирус используют именно для лечения активного заражения, не верите - зайдите в раздел "Помогите". Проактивная защита не поможет, если заражение уже произошло и руткит установлен в системе.




> зачем лечить вредоносные программы? Они что, станут от этого пользоносными?


Как Вы думаете, это умно, что Вы здесь сказали? Я, честно говоря, сомневаюсь. Похоже на некомпетентность в области работы антивирусов и вредоносных программ.

----------


## Синауридзе Александр

Пущай себе тестируют на здоровье! У нас своя голова на плечах есть. :Cheesy:

----------


## ananas

*kps*
1. читал
2. мне все равно где, когда, кому и что Вы объясняли
3. верю
4. можно вообще отключить защиту, заражаться и лечиться непрерывно

зы. Я, в отличие от эксперта, по другому рассматриваю названные этим же экспертом приоритеты. Почему Вы с ним не спорите, не понятно. Вернее, очень даже понятно. Похоже на необъективность и предвзятось.

----------


## Гриша

> Похоже на необъективность и предвзятось.


К кому или к чему?

----------


## ananas

Уважаемые гуру!
Объясните, пожалуйста, что значит выражение "лечение вредоносных программ"?

Можно предотвращать воздействие вредоносных программ.
Можно лечиться от воздействия вредоносных программ.
Можно лечиться от последствий воздействия вредоносных программ.
Можно обезвреживать вредоносные программы.
Можно еще много чего...
Можно (или нужно?) эксперту уметь правильно излагать свои мысли.

зы. Я не гуру и никогда им не был.
зызы. Я прочел то, что написал эксперт и, думаю, что понял то, что он имел ввиду.
зызызы. Прошу ответить гуру, а не считающих себя гуру.
Спасибо.

----------


## kps

> Почему Вы с ним не спорите, не понятно.


А по какому поводу мне с ним спорить, если у нас совпадает мнение в оценке важности этого теста ?
И в чем необъективность, не могли бы просветить?  :Smiley:   Я думал, важность того, что антивирус должен уметь лечить зараженный компьютер очевидна любому, кто этими вещами интересуется.

----------


## aleksdem

> А по какому поводу мне с ним спорить, если у нас совпадает мнение в оценке важности этого теста ?
> И в чем необъективность, не могли бы просветить?   Я думал, важность того, что антивирус должен уметь лечить зараженный компьютер очевидна любому, кто этими вещами интересуется.


Вроде все пишут по-русски, а не слышат друг-друга вообще. Человек спрашивает о необходимости лечения вредоносных программ (так написал уважаемый эксперт), а Вы говорите о необходимости лечения компьютера. Я говорю, что умение "лечить" - это еще далеко не все в определении "качественности " любого антивируса - а  уважаемые модераторы говорят, что критиковать легче, чем что-то делать.  Что- то в нашей дискуссии изначально не ладно...

----------


## borka

> Да и зачем оно Вам?


Ну интересно же!  :Smiley: 




> Лучше продвигайте поскорее пятый DrWeb.


К "продвигать" не имею ни малейшего отношения. Сам удивляюсь, почему в бету не дают.  :Wink: 




> Может что-то стоящее получится.


Э-э-э... СтоЯщее уже есть.  :Smiley:  Уже давно ничего не падает.  :Wink:  Насчет стОящее - так это тоже давно есть.  :Wink: 

*Добавлено через 2 минуты*




> *vaber*, зачем лечить вредоносные программы? Они что, станут от этого пользоносными? Да и возможность обнаруживать не тестировалась. Вы знали заранее до начала теста, что зловреды детектятся всеми его участниками, эксперт.


Неужели неясно, что лечится система?  :Unsure:

----------


## ananas

*kps*
1. у вас совпадают мнения в оценке, по-этому он может писать все, что угодно, а вы это стерпите
2. у нас не совпадают мнения в оценке, по-этому вы будете постоянно требовать просветления
3. я не занимаюсь заражением компьютеров, по-этому для меня это не важно
*aleksdem*
спасибо, что прочли мои посты. В это обсуждение вступили те, кто изначально не собирались менять своего мнения, а только его высказать. Так хоть высказывались бы, не становясь в положение...
Желаю всем антивирусных успехов.

----------


## ALEX(XX)

Мы делили апельсин, много наших полегло...

----------


## borka

> Я, в отличие от эксперта, по другому рассматриваю названные этим же экспертом приоритеты. Почему Вы с ним не спорите, не понятно. Вернее, очень даже понятно. Похоже на необъективность и предвзятось.


Никто не может запретить Вам иметь свою систему приоритетов. Смысл теста в том, насколько какой антивирус сможет справиться с зараженной системой. Вне зависимости от того, был ли установлен антивирус, какой антивирус был установлен, насколько были актуальны базы и так далее. Никто не спорит с тем, что "унция предусмотрительности дешевле фунта лекарств" (с) Но *этот* тест оценивает антивирус только по *этому* критерию. Соответственно, по результатам *этого* теста можно сказать лишь то, какой антивирус качественней лечит. Будет тест противодействия заражению - выяснится, какой антивирус устойчивей. Будет еще какой-то тест, будут другие результаты. Вот.  :Smiley: 

*Добавлено через 8 минут*




> Вроде все пишут по-русски, а не слышат друг-друга вообще. Человек спрашивает о необходимости лечения вредоносных программ (так написал уважаемый эксперт), а Вы говорите о необходимости лечения компьютера.


Господи, ну всем же понятно, в каком контексте сказано!  :Wink:  Если я скажу, что сегодня лечил вирусы, всем же ясно, что я их убивал или же восстанавливал работоспособность файлов, поврежденных файловым вирусом.  :Stick Out Tongue:  И даже не я, а антивирус.




> Я говорю, что умение "лечить" - это еще далеко не все в определении "качественности " любого антивируса - а  уважаемые модераторы говорят, что критиковать легче, чем что-то делать.  Что- то в нашей дискуссии изначально не ладно...


"Может, что-то в консеватории подправить?" (с)  :Wink: 
Так вроде все с Вами согласны - умение лечить это далеко не всё.  :Smiley:  Но очень важный показатель. Не менее важный, чем предотвращение заражения.

----------


## aleksdem

> "Может, что-то в консеватории подправить?" (с) 
> Так вроде все с Вами согласны - умение лечить это далеко не всё.  Но очень важный показатель. Не менее важный, чем предотвращение заражения.


Да, похоже в этой консерватории оркестранты ждут от слушателей только аплодисменты и крики "браво". Даже, когда явно фальшивят. Ну что ж, придется нам, слушателям, идти на другой концерт. :Smiley:

----------


## XP user

На самом деле здесь всё просто:

* Существует тест по определённым правилам составлен. В этом всегда есть что-то спорное для кого-то; этого нельзя избегать.
* Есть результат, получен по этим условиям. Мы должны поздравить победителей, извлечь свои уроки, и не переоценывать результат, не в позитивную сторону, не в негативную.
* Вопрос, что важнее - детект или лечение не стоИт.
* На практике не всё так красиво как показывают тесты.

Всё просто, нет? Расслабьтесь, пожалуйста, все.

Paul

----------


## VV2006

Сколько копий наломали, "стока многа букаф" написали...  :Smiley: 
Если, действительно, попытаться просто "расстаканить" практические итоги для обычного юзера на текущий момент - получается так (приговор окончательный и обжалованию не подлежит) :
Лучший детект (пусть иногда и с "ложками") - Avira AntiVir.
Лучшее лечение - CureIt Dr.Web'а.
Лучшее долечивание (исправление и восстановление повреждённых зловредами системных настроек) - AVZ.
Другая прелесть этих продуктов - их бесплатность. В принципе, ничто (видимо, кроме предубеждений) не мешает использовать все эти решения вместе.

З.Ы. Хотелось присовокупить ещё из доп.проактивных защит DefenseWall HIPS, но вряди ли здесь это будет в тему.

----------


## Alex_Goodwin

> Лучший детект (пусть иногда и с "ложками") - Avira AntiVir.


А вот это с какого перепугу? теперь виталики авиру продвигают?

----------


## herzn

> А вот это с какого перепугу?


Неизбежное влияние неметчины с их тестами. :Smiley:

----------


## Ivaemon

> Неизбежное влияние неметчины с их тестами.


Не сомневаюсь, расейские тесты как один утверждают примат Каспера в детекте над всем миром! Или даже Д-ра Веба?

----------


## herzn

Я не знаю кто примат. :Smiley: 
Поскольку в 0-детекте *все существующие антивирусы* очень слабы.
И здесь встает вопрос о лечении. :Smiley:

----------


## Ivaemon

А я знаю. И я знаю только один портал, где еще остались сомневающиеся, что немецкие антивири - лучшие по детекту.

----------


## herzn

Вера- залог спокойствия.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ananas

> На самом деле здесь всё просто:
> ...
> Всё просто, нет? Расслабьтесь, пожалуйста, все.


На самом деле все еще проще:
- полученные медали потом сложатся в некий итоговый рейтинг, более значимые с менее
- будет новый повод для нового холивара.

*Alex_Goodwin*, а Вы уже приступили к проталкиванию идеи новых полезных тестов, например, на лучшую шкурку для гуя? Есть реальная возможность взять еще одну медаль, имхо.

зы. Незачем мне расслабляться, потому что вообще все это не в напряг.  :Smiley:

----------


## SDA

Генеральный директор компании «Доктор Веб» Борис Шаров, несмотря на высокую оценку своего продукта, не считает полезной деятельность Anti-Malware.ru (впрочем, как и раньше). «Пользы от таких тестов нашей индустрии нет никакой, - комментирует он. - Внутренние тесты, проводимые самими антивирусными компаниями, дают гораздо больше полезного материала для развития продуктов. А эти "независимые" тесты - всего лишь средство манипуляции мнением пользователей». В беседе с корреспондентом CNews он подчеркнул, что методика и профессионализм тестеров Anti-Malware.ru вызывает сомнение: «Поскольку софтверная индустрия кончается там, где начинается откровенное пренебрежение к авторским правам, мы не считаем возможным серьезно рассматривать какие-либо результаты тестов на этом портале, независимо от того, какое место наш продукт там занял». http://www.cnews.ru/news/top/index.s...8/10/28/325126

----------


## DVi

Непонятная фраза про "пренебрежение к авторским правам".
Кто знает, о чем это он?

----------


## XP user

> Непонятная фраза про "пренебрежение к авторским правам".
> Кто знает, о чем это он?


Возможно о том, что компания Доктор Веб тестеров на anti-malware попросила НЕ тестировать продукт, а они его всё равно тестировали...  :Smiley: 

Paul

----------


## ananas

Наверное, юридическое лицо Сергей Ильин использует продукты ДрВеб для рабочих станций не по назначению без согласия производителя. И что, могут последовать иски?
*DVi*, а Ваша компания продает право на проведение тестов над своими продуктами или наоборот, платит за участие? Иногда, знаю, что платит. Хотя наоборот могла бы ставить тестеров на место. Они же паразитируют на результатах Вашего труда. Или обеспечиваемый ими пиар и есть этой платой?

----------


## DVi

*ananas*, Ваши домыслы не имеют никакого отношения ни к ООО "Доктор Веб", ни к ЗАО "Лаборатория Касперского".

Давайте подождем комментариев от сведущих лиц и не будем гадать.

----------


## borka

> Возможно о том, что компания Доктор Веб тестеров на anti-malware попросила НЕ тестировать продукт, а они его всё равно тестировали...


А какое отношение тестинг имеет к авторским правам?

----------


## ananas

*DVi*, Ваша компания иногда платит за то, чтобы ее продукты были протестированы. Это не секрет и не домысл.
Про ДрВеб Вы в 22:51 были не в курсе, а в 00:08 уже выступаете от их имени. Успели устроиться к ним по совместительству на связи с общественностью?

А разве было бы плохо?
-здрасте, я Андрюша, можно вас потестить?
-сначала покажи свою коллекцию.

-алле, это Петя, можно вас потестить?
-Петя, в рот тебе ноги.
 :Cheesy:

----------


## DVi

> Это не секрет и не домысл.


Пока не приведены доказательства - это Ваши домыслы, не имеющие основания.

*Добавлено через 4 минуты*




> Про ДрВеб Вы в 22:51 были не в курсе, а в 00:08 уже выступаете от их имени.


Я не "выступаю из имени". Я прокомментировал вот это Ваше размышление:



> Наверное, юридическое лицо Сергей Ильин использует продукты ДрВеб для рабочих станций не по назначению без согласия производителя.





> Успели устроиться к ним по совместительству на связи с общественностью?


Ваше чувство юмора теряет связь с реальностью. Советую думать прежде, чем писать очередную фантазию.

----------


## ananas

*DVi*, Ваша компания - образец ИБ. Не знаете, что творится в соседних кабинетах. Упомянутая мною информация про тесты общедоступна и получена не путем промышленного шпионажа. Попробуйте привлечь меня за клевету, посмотрим, что у Вас выйдет. Cцылить не буду.  :Cheesy:

----------


## santy

Позиция DrWeb относительно участия в любых маркетинговых тестированиях  вызывает уважение.

----------


## aleksdem

> Генеральный директор компании «Доктор Веб» Борис Шаров, несмотря на высокую оценку своего продукта, не считает полезной деятельность Anti-Malware.ru (впрочем, как и раньше). «Пользы от таких тестов нашей индустрии нет никакой, - комментирует он. - Внутренние тесты, проводимые самими антивирусными компаниями, дают гораздо больше полезного материала для развития продуктов. А эти "независимые" тесты - всего лишь средство манипуляции мнением пользователей». В беседе с корреспондентом CNews он подчеркнул, что методика и профессионализм тестеров Anti-Malware.ru вызывает сомнение: «Поскольку софтверная индустрия кончается там, где начинается откровенное пренебрежение к авторским правам, мы не считаем возможным серьезно рассматривать какие-либо результаты тестов на этом портале, независимо от того, какое место наш продукт там занял».  http://www.cnews.ru/news/top/index.s...8/10/28/325126


Браво, господин Шаров! Трудно дать более меткую и объективную оценку деятельности "тестеров" Anti-Malware.ru . А в устах официального лица "победителей", она вообще звучит как приговор всем этим медалькам и навешиваемым ярлыкам. Думаю, теперь точно можно прекратить наши прения. Еще раз, браво, г. Шаров и ООО "Доктор Веб"!

----------


## XP user

> А какое отношение тестинг имеет к авторским правам?


Это, скорее, вопрос к правообладателю продукта; не я обиделся.  :Smiley: 

В общих чертах могу только сказать, что нарушение авторских прав подразумевает любое *несанкционированное правообладателем* действие третьих сторон с его интеллектуальной собственностью. Ещё момент - где производятся эти действия? Дома, или публично? Итоги теста могли бы быть другими, и деловая репутация производителя продукта могла бы быть нарушена.
P.S.: Дать ответ на то, что он имел в виду может, естественно, только сам Генеральный директор компании «Доктор Веб» Борис Шаров. Я здесь на кофейной гуще гадаю.  :Smiley: 

Paul

----------


## DVi

> Cцылить не буду.


На этом можно разговор закончить.

----------


## SDA

Если следовать позиции Бориса Шарова, то Внутренние тесты, проводимые самими антивирусными компаниями которые дают больше позитива, но они неизвестны проостым пользователям. Наверное такая позиция распространяется на все тесты. Получается, что Доктор Веб закрывается от всех или следует вообще отменить все тесты, так как в любом можно найти не достатки. Вообщем больше вопросов. Вывод: любой тест найдет свои положительные и отрицательные отзывы, другой вопрос стоит ли их проводить?

----------


## XP user

> Вывод: любой тест найдет свои положительные и отрицательные отзывы, другой вопрос стоит ли их проводить?


Проводить нужно, я думаю, в экспертной среде для обмена опытом. Стоит ли 'обработать' потенциальных клиентов с их результатами - это уже вопрос деловой этики. Я бы, по крайне мере запретил по закону ссылаться на результаты таких тестов в целях рекламы.  :Smiley: 

Paul

----------


## vaber

Тесты конечно же стоит проводить, т.к. они делаются для пользователей, помогая им сделать выбор. Речь Шарова, скорее, вызвана плохим взаимоотношением с основателем портала.
Пользователям я бы советовал прислушаться из всех комментариев к мнению Гостева, поскольку из всех давших комментарии, только он является техническим специалистом.

----------


## XP user

> Пользователям я бы советовал прислушаться из всех комментариев к мнению Гостева, поскольку из всех давших комментарии, только он является техническим специалистом.


Я не совсем уверен в том, что вы оказываете себе и ресурсу anti-malware услугу с этими словами.

Paul

----------


## vaber

> Я не совсем уверен в том, что вы оказываете себе и ресурсу anti-malware услугу с этими словами.
> 
> Paul


Поясните, плиз, что Вы имели ввиду?

----------


## XP user

> Поясните, плиз, что Вы имели ввиду?


Исхожу из того, что мы оба говорим об одном и том же: о комментариях на этой странице. 

Здесь дело немного в политкорректности. Вы, как 'участник процесса', так сказать, подвергаете (может быть невольно) сомнению мнения других очень уважемых участников. На самом деле ваша фраза может восприниматься как:




> Только такой техничекий специалист как А.Г. в состоянии правильно судить о таких вещах - остальным лучше бы молчать в тряпочку.


Дело anti-malware - тестировать продукты ('для пользователей', как там говорят) и дать экспертную оценку в виде рейтинга. После этого сам ресурс не должен пытаться ещё дополнительно влиять на споры по этому поводу (Оправдывать методы тестирование другое дело), и тем более не должен высказывать своё явное предпочтение к одному из участников. 

Можно на меня не обращать внимания - я зануда, но аргумент Константина Архипова, директора Panda Security в России, например, на меня произвёл более убедительное впечатление, чем аргумент Алексанра Гостева (хотя я и последнего очень уважаю). Моё восприятие такое именно из-за того, чем мне ежедневно приходится сталкиваться.  :Smiley: 

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## vaber

> Исхожу из того, что мы оба говорим об одном и том же: о комментариях на этой странице. 
> 
> Здесь дело немного в политкорректности. Вы, как 'участник процесса', так сказать, подвергаете (может быть невольно) сомнению мнения других очень уважемых участников. На самом деле ваша фраза может восприниматься как:


Согласен. Я хотел лишь подчеркнуть, что мнения людей, в зависимости от занимаемой должности могут расходится. Маркетолог пишет одно, аналитик - другое. Это нормально.




> Можно на меня не обращать внимания - я зануда, но аргумент Константина Архипова, директора Panda Security в России, например, на меня произвёл более убедительное впечатление, чем аргумент Алексанра Гостева (хотя я и последнего очень уважаю). Моё восприятие такое именно из-за того, чем мне ежедневно приходится сталкиваться.


Что касается этого мнения, я нам форуме anti-malware как раз написал по этому поводу.

----------


## XP user

@ *vaber* 

Самое главное - точно представить себе, какие высказывания на каких ресурсах могут иметь какие последствия - не должно пропадать впечатление объективности. Есть люди, которые, возможно, не заходят на anti-malware, чтобы убедиться в правильном контексте ваших слов, и уже могут делать неправильные выводы.  :Smiley: 

Paul

----------


## santy

> ...Получается, что Доктор Веб закрывается от всех или следует вообще отменить все тесты, так как в любом можно найти не достатки. Вообщем больше вопросов. Вывод: любой тест найдет свои положительные и отрицательные отзывы, другой вопрос стоит ли их проводить?


Да, почему закрывается? DrWeb предоставляет множество своих продуктов для бесплатного использования широкой аудиторией: CireIt, LiveCD, link-checker, да и полноценный антивирус с тестовой лицензией... По результатам работы выпускает подробные пресс-релизы, берите, тестируйте на здоровье... пишите положительные и отрицательные отзывы. Но проводить сравнительное соревнование для антивирусных программ с молниеносным и широким публичным освещением в средствах СМИ (+раздачей интервью) , имхо, надо как минимум с СОГЛАСИЯ самих "участников соревнования". Возможно, тогда будет большее уважение к работе команды тестеров.

----------


## DVi

*santy*, т.е. Вы считаете, что сравнительное тестирование можно осуществлять только среди бесплатных программ? 
Приведите, пожалуйста, ссылку на юридически обоснованный документ, регламентирующий этот вопрос.

----------


## santy

> *santy*, т.е. Вы считаете, что сравнительное тестирование можно осуществлять только среди бесплатных программ?...


Нет, не считаю. Думаю, если антивирусные компании ОФИЦИАЛЬНО участвуют в тестировании, то вопрос использования антивирусных программ должен решаться автоматически. (Это как Олимпийские игры... представьте себе, что Вас заявили для участия в Играх без вашего согласия, а потом постоянно будут без вашего же согласия публиковать в отчетах. С этой стороны рассматриваю.)

----------


## borka

> Это, скорее, вопрос к правообладателю продукта; не я обиделся. 
> 
> В общих чертах могу только сказать, что нарушение авторских прав подразумевает любое *несанкционированное правообладателем* действие третьих сторон с его интеллектуальной собственностью. Ещё момент - где производятся эти действия? Дома, или публично? Итоги теста могли бы быть другими, и деловая репутация производителя продукта могла бы быть нарушена.
> P.S.: Дать ответ на то, что он имел в виду может, естественно, только сам Генеральный директор компании «Доктор Веб» Борис Шаров. Я здесь на кофейной гуще гадаю.


Если в таком контексте, то, наверное, да. Согласен.

----------


## Vagon

Секундочку

Тут представлена статистика с вирустотала на сегодняшний день.
Антивирусы не знают о 42859 вирусов,а 540 - уже знают.
Так вот,если вся эта неизвестная братва размером в 42859 вирусов сядет на комп,то будет уже не до лечения.
А шансы лечения равны 50\50 согласно фотке,а именно,что может попастся такой вирус,который детектится,но может оказаться из неопознаных,который вообще никто не в состоянии лечить.
Вывод.Антивирус с Синим Медным Тазом,такова участь(см.выше).

----------


## Alex_Goodwin

> Так вот,если вся эта неизвестная братва размером в 42859 вирусов сядет на комп,то будет уже не до лечения.


Через час/день аверы добавят и эту тьму - обновятся, но вылечить уже зараженную машину и обнаружить активную угрозу смогут не все, а только победители теста. Остальные, хотя теперь и будут знать, но усевшийся вирус вылечить/удалить/обнаружить не смогут.

----------


## ananas

> вылечить уже зараженную машину и обнаружить активную угрозу смогут не все, а только победители теста


Не "победители". У этого теста один победитель. Да и то не факт, что так будет. Кто не вылечил 1 зловреда из 15, сколько не вылечит из 42859? Кто возьмется просчитать?..

----------


## Alex_Goodwin

> Не "победители". У этого теста один победитель. Да и то не факт, что так будет. Кто не вылечил 1 зловреда из 15, сколько не вылечит из 42859? Кто возьмется просчитать?..


Методы защиты/скрытия зловредов в тесте подбирались, чтобы максимально соответствовать всем основным тенденциям и направлениям.

----------


## XP user

> Остальные, хотя теперь и будут знать, но усевшийся вирус вылечить/удалить/обнаружить не смогут.


А почему не организовать тесты по лечению, не загружая Windows, как на самом деле положено? Или так не будет видно разницы между разными продуктами, и все получат первый приз?  :Roll Eyes (Sarcastic): 

Paul

----------


## Alex_Goodwin

> А почему не организовать тесты по лечению, не загружая Windows, как на самом деле положено? Или так не будет видно разницы между разными продуктами, и все получат первый приз? 
> 
> Paul


В этом случае победителей не будет, т.к. реестр антивирусы не из-под винды лечить не умеют. Да и для пользователя такие диски выпускают опять же не все  :Smiley: 

Более того, чтоб загрузиться с лайв сиди должны быть подозрения, что комп заражен. Если например там спамбот тихо спамит, а провайдер пользователю ничего не сообщил? Или вы предлагаете для профилактики проверяться? Как регулярно?

Пользователь заплатил деньги за качественный детект и лечение, а не за то, что бы ему (ей - домохозяйке) записывать диски, ручками править реестр, выявлять вирусную активность и т.д.

----------


## XP user

> Если например там спамбот тихо спамит, а провайдер пользователю ничего не сообщил? Или вы предлагаете для профилактики проверяться? Как регулярно?
> 
> *Пользователь заплатил деньги за* качественный детект и лечение, а не за то, что бы ему (ей - домохозяйке) записывать диски, ручками править реестр, выявлять вирусную активность и т.д.


Ни один простой пользователь не может справиться по любому с таким ботом в нормальных условиях, какая бы прекрасная антивирусная программа ни стояла. Беда в том, что вендоры точно не говорят для чего клиент платит (в лучшем случае это для техподдержки). Когда беда - никого дома нет. '100% гарантии никто не может дать', и пр. оговорки. И приходится заходить на такие ресурсы как наш.

P.S.: Тест имеет, на мой взгляд, 2 слабых места:
* Комп был заражён неестественным образом
* Комп был заражён на виртуальной машине.

Paul

----------


## Alex_Goodwin

И к чему ваш последний пост? 100% защиты нет и не будет. И если юзер не знает, что он заражен, то он никуда не обратится.



> * Комп был заражён неестественным образом


Тест проводился не для проверки способности блочить заразу на этапе установки, а для проверки качества лечения, поэтому нет никакой разницы как комп заражен.



> * Комп был заражён на виртуальной машине.


Тут есть небольшой недостаток, но но в данном случае это не совсем существенно - выбраные сэмплы ведут себя на виртуальной и реальной машине одинакого (детекта вм нет).

----------


## XP user

> И к чему ваш последний пост? 100% защиты нет и не будет. И если юзер не знает, что он заражен, то он никуда не обратится.


Это просто, чтобы немного поправить ваш аргумент о том, *для чего именно клиент платит*; аргумент, который на мой взляд неуместен здесь. Дело в том, что если на настоящем компе заразить с такими же зловредами, то тогда я вам гарантирую другие, менее 'солнечные' результаты - какие именно зависит ещё от слишком много других обстоятельств, которые подобные тесты не могут отражать.  :Smiley: 

Paul

----------


## santy

> Тест проводился не для проверки способности блочить заразу на этапе установки, а для проверки качества лечения, поэтому нет никакой разницы как комп заражен.


Интересно, какой приблизительно процент в настоящее время вирусняка с руткит-компонентой в "полку вновь прибывающих"? Любопытно было бы выявить способность антивирусов лечить файлы, зараженные семейством Sality/Sector... которые тоже являются в настоящее время частью тенденции...

----------


## herzn

> Интересно, какой приблизительно процент в настоящее время вирусняка с руткит-компонентой в "полку вновь прибывающих"?


Немало.



> Любопытно было бы выявить способность антивирусов лечить файлы, зараженные семейством Sality/Sector... которые тоже являются в настоящее время частью тенденции...


Кстати да, было бы интересно попросить об этом vaber, Alex_G, Ego1st, zerocorporated.
По сравнению с проведенной работой пробить секторов и вирутов не так уж и долго. :Smiley:

----------


## borka

> Дело в том, что если на настоящем компе заразить с такими же зловредами, то тогда я вам гарантирую другие, менее 'солнечные' результаты - какие именно зависит ещё от слишком много других обстоятельств, которые подобные тесты не могут отражать.


Например?

*Добавлено через 1 минуту*




> Любопытно было бы выявить способность антивирусов лечить файлы, зараженные семейством Sality/Sector... которые тоже являются в настоящее время частью тенденции...


+1.

----------


## XP user

> Например?


Какие программы были ДО того, как вы установили антивирусную программу для лечения компа? Не остались ли драйвера или библиотеки от них? Работать как-то может ещё возможно, а отражать атак или лечить как следует может уже оказаться проблемной задачей если антивирус не на все 100 работает.

Какой файрвол установлен? Если Касперский, например, устанавливать с Sygate на одной машине, то тогда установка ещё идёт, но как только Касперский начинает сканировать папки Sygate, начинается борьба такая, что только кнопка 'reset' спасёт.

Какие видео драйвера установлены? Насколько они действительно совместимы с антивирусом? Возможно работать как-то получается, а отражать атаки и/или лечить может уже быть проблематично.

Такие обстоятельства можно также отнести к следующим:
Какие аудио драйвера установлены? Действительно ли они совместимы с антивирусом?
Есть ли сьёмные устройства? Если да, какие?
Какие plug-ins и add-ons установлены? От какого производителя именно?
Есть ли тулбары? Если да, какие?
Включена ли служба Восстановление Системы?

Короче, есть целый список параметров, которые могут влиять неожиданным образом на антивирус и его способность что-нибудь толковое делать в системе.

Paul

----------


## borka

> Какие программы были ДО того, как вы установили антивирусную программу для лечения компа? Не остались ли драйвера или библиотеки от них? Работать как-то может ещё возможно, а отражать атак или лечить как следует может уже оказаться проблемной задачей если антивирус не на все 100 работает.
> 
> Какой файрвол установлен? Если Касперский, например, устанавливать с Sygate на одной машине, то тогда установка ещё идёт, но как только Касперский начинает сканировать папки Sygate, начинается борьба такая, что только кнопка 'reset' спасёт.
> 
> Какие видео драйвера установлены? Насколько они действительно совместимы с антивирусом? Возможно работать как-то получается, а отражать атаки и/или лечить может уже быть проблематично.
> 
> Такие обстоятельства можно также отнести к следующим:
> Какие аудио драйвера установлены? Действительно ли они совместимы с антивирусом?
> Есть ли сьёмные устройства? Если да, какие?
> ...


Совершенно не понимаю влияния драйверов видеокарты на способность антивируса детектировать и лечить известного ему вируса. А заодно и совместимость антивируса с аудиодрайвером... Равно как и при чем *отражение атак* к лечению, и какая связь установки каспера, а также наличие файерволла со способностью (возможностью) лечения. И при чем тут тултипы?  :Smiley: 
Максимум, на что способны эти конфликты, это на возможность запуска антивируса, но не лечения.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Wayfarer

Daemon Tools, кажется, 4.03 с опцией Запускаться вместе с системой у ряда пользователей намертво стопорила скан объектов запуска в Авире Премиум, вплоть до ухода на циркулярный ребут-конфликт с их антируткитом, правда, был исправлен довольно оперативно.

----------


## XP user

> Совершенно не понимаю влияния драйверов видеокарты на способность антивируса детектировать и лечить известного ему вируса. А заодно и совместимость антивируса с аудиодрайвером... Равно как и при чем *отражение атак* к лечению, и какая связь установки каспера, а также наличие файерволла со способностью (возможностью) лечения. И при чем тут тултипы? 
> Максимум, на что способны эти конфликты, это на возможность запуска антивируса, но не лечения.


Нет запуска - нет лечения. Для каждого вендора существует список несовместимых программ. Либо будет синий экран, либо антивирус будет неполноценно работать. С некоторыми драйверами NVidea, например, бывает такие проблемы с разными программами антивирусной защиты - вроде всё ОК, а полностью сканировать комп, например, не удаётся. А вы скажите это чайнику когда он только что собирался лечить комп. Про дефрагментаторов, которые висят в автозапуске (Diskeeper, например) возможно, даже не надо вам объяснить, что может быть... А что там ещё в автозапуске и в диспетчере задач? Бывает у людей 60 или больше программ!?!

Но это самый худщий вариант вы выбрали. А бывает так, что из-за несовместимости антивирус делает вид, что работает (то есть - явных сбоев не даёт) а ЛЕЧИТЬ НЕ МОЖЕТ даже простейшие вещи. Это именно бывает когда стоят эмуляторы всякие, такие как Alcohol120%, и т.д., которые могут скрывать инфу, которую систему даёт антивирусу для нормальной работы. А именно там слабое звено - *без правдивой, неискажённой инфы от системы толка НЕ БУДЕТ от вашего антивируса*. Снимите драйвер Alcohol120%, и всё ОК. 

И пример с Sygate + Касперский очень удачный - вместе они работают на одном компе, явных сбоев нет, а как только сканирование доходит до папки файрвола - всё, конец работе антивируса! 

Про библиотеки, которые могут мешать, лучше спросите у хелперов здесь на форуме; они вам скажут. Вы установите один антивирус (мы же лечить собирались уже заражённую систему по примеру данного теста?), а в IE остался ActiveX объект другого антивируса. А вы посмотрите - успешного лечения я вам гарантировать уже не могу, хотя новый антивирус может установиться без проблем.

P.S.: Проблемы (неполной) (не)совместимости могут не только препятствовать лечению, а ещё стать ПРИЧИНОЙ заражения, которое при прочих равных условиях не состоялось бы!

Paul

----------


## Alex_Goodwin

Если на одном из тысячи компов один из всех ав несовместим с чем-либо, то это не повод проводить тест на лечение именно на этой машине.

----------


## XP user

> Если на одном из тысячи компов один из всех ав несовместим с чем-либо, то это не повод проводить тест на лечение именно на этой машине.


ОК. Не убедил? Тогда, возможно, следующие рекомендации дают повод задуматься:
Общие рекомендации по очистке системы при заражении
Берём один простой пример: вы скачали, установили антивирус-победитель - сбоев нет; всё ОК.
Но, у вас установлен какой-то из последних простейших зловредов, который отредактировал файл Hosts. Вы не можете скачать нужные базы для того, что излечить комп. Как простой пользователь может знать, что надо бы отредактировать файл Hosts обратно? 

Этим мы раскрыли ещё один недостаток результатов данного теста - тестеры исходят из СОБСТВЕННЫХ знаний, и не представляют себе кто такой простой, неопытный клиент, который просто надеется на лечение.

Paul

----------


## ananas

> Если на одном из тысячи компов один из всех ав несовместим с чем-либо, то это не повод проводить тест на лечение именно на этой машине.


Конечно, не повод. И если на втором из второй тысячи - тоже не повод. И третий... Наряду с практикой всегда должна существовать некая база академических знаний. Ее можно изучать и пополнять. На нее можно ссылаться. Ею можно гордиться. Правда, практически зачастую применить трудно.

В тесте на лечение, имхо, победил метод, упомянутый *SDA* с использованием программ системных откатов. Это лечение действительно эффективное и избавляет от подобных проблем тех пользователей, которые о нем заранее позаботились.

----------


## XP user

@ *ananas* 

Это, к сожалению, не для целовой группы - простые пользователи с деньгами -, которые должны оценить результаты данного теста для обосновенной покупки того или иного продукта. Прошу фокус держать именно на это; то есть: указать ситуации, при которых результаты данного теста не состоятся. Именно это простые люди должны знать, и это не оговаривается в результатах. Там просто медали дают.  :Smiley: 

Paul

----------


## Alex_Goodwin

Чтобы сделать откат надо знать, что его нужно делать. А если видимых признаков заражения нет, тогда что? + Надо уметь делать откат.



> Конечно, не повод. И если на втором из второй тысячи - тоже не повод.


Сомнительно, что из-за несовместимости ав будет работать, но не будет лечить. Скорее всего несовместимость выползет еще на этапе установки.

----------


## zerocorporated

> Этим мы раскрыли ещё один недостаток результатов данного теста - тестеры исходят из СОБСТВЕННЫХ знаний, и не представляют себе кто такой простой, неопытный клиент, который просто надеется на лечение.
> 
> Paul


Для того чтобы выполнить полную проверку ПК антивирусом и антируткитом встроенным в антивирус нужно "спец" знаниями обладать?

----------


## XP user

> Для того чтобы выполнить полную проверку ПК антивирусом и антируткитом встроенным в антивирус нужно "спец" знаниями обладать?


В определённых ситациях надо по крайне мере статус 'продвинутого пользователя', иначе вы с продуктом ничего не сделаете. 

Paul

----------


## zerocorporated

> В определённых ситациях надо по крайне мере статус 'продвинутого'. 
> 
> Paul


Не встречал пока таких "ситуаций". А вы можете примеры привести?

----------


## XP user

> Не встречал пока таких "ситуаций". А вы можете примеры привести?


Очень даже много, но не хочется обидеть никого:
Касперский не грузится
и так по каждому вендору...

Paul

----------


## zerocorporated

> Очень даже много, но не хочется обидеть никого:
> Касперский не грузится
> и так по каждому вендору...
> 
> Paul


И каким образом это относиться к опытному пользователю?

То есть вы считаете что если антивирус не смог установиться, к примеру на ПК то это даст ему плюс в тесте на лечение активного заражения?

----------


## XP user

> И каким образом это относиться к опытному пользователю?


Там, видимо, программа Kaspersky Internet Security была? 

После перезагрузки для принятия параметров свежо установленного антивирусника могут в системе быть зловреды, которые именно действуют против определённых продуктов таким образом. Если данный пример неубедителен, то тогда могу и привести другие, даже до такой степени, что меня отсюда выгонят. Давайте не будем, а?  :Wink: 




> То есть вы считаете что если антивирус не смог установиться, к примеру на ПК то это даст ему плюс в тесте на лечение активного заражения?


Давайте не путаем вещи.  :Wink: 
Сами по себе результаты *в условиях данного теста* - убедительны. Я уже поздравил победителей. Я говорю о безполезности данного теста для простого пользователя при опрелённых ситуациях. Таких условий как на данном тесте в реальной жизни НЕ БЫВАЕТ.

Paul

----------


## ananas

> Если данный пример неубедителен, то тогда могу и привести другие, даже до такой степени, что меня отсюда выгонят.


Не, не надо. Только предлагаю, *p2u*, именовать в дальнейшем фокусников иллюзионистами. А так, для меня все ясно и обсуждение закончено. Спасибо.

ps. Производители АВ, научите свои комплексные пакеты всему, что умеют продвинутые проги системных бэкапов. Думаю, что с вашими технологиями и возможностями это будет не сложно. Имхо, разве это не проще и доступнее лечения по вашим методикам?

pps. Откат может происходить автоматом к защищенному сохраненному образу при каждом ребуте, если инкрементивно вы туда чего-нибудь добавить не пожелали...

----------


## Rampant

> Я говорю о безполезности данного теста для простого пользователя при опрелённых ситуациях.


Всё верно, совсем недавно столкнулся с ситуацией невозможности установки ни одного из самых именитых антивирей, на заражённую систему знаменитым sality.aa, танцы с бубном, мать-перемать и немного знаний) решили проблему, водрузив наконец в систему антивирус, на всё ушло несколько часов. Простому юзверю, такое неподсилу. После этого я подсунул ему флэшки, заражённые этим зловредом, и он прекрасно детектировал и блокировал заражение.

----------


## borka

> Нет запуска - нет лечения. Для каждого вендора существует список несовместимых программ. Либо будет синий экран, либо антивирус будет неполноценно работать. С некоторыми драйверами NVidea, например, бывает такие проблемы с разными программами антивирусной защиты - вроде всё ОК, а полностью сканировать комп, например, не удаётся. А вы скажите это чайнику когда он только что собирался лечить комп. Про дефрагментаторов, которые висят в автозапуске (Diskeeper, например) возможно, даже не надо вам объяснить, что может быть... А что там ещё в автозапуске и в диспетчере задач? Бывает у людей 60 или больше программ!?!


Проблемы несовместимости выясняются на стадии инсталляции и профилактических запусков антивируса.




> Но это самый худщий вариант вы выбрали. А бывает так, что из-за несовместимости антивирус делает вид, что работает (то есть - явных сбоев не даёт) а ЛЕЧИТЬ НЕ МОЖЕТ даже простейшие вещи. Это именно бывает когда стоят эмуляторы всякие, такие как Alcohol120%, и т.д., которые могут скрывать инфу, которую систему даёт антивирусу для нормальной работы. А именно там слабое звено - *без правдивой, неискажённой инфы от системы толка НЕ БУДЕТ от вашего антивируса*. Снимите драйвер Alcohol120%, и всё ОК.


Сильно сомневаюсь.  :Smiley: 

*Добавлено через 3 минуты*




> Берём один простой пример: вы скачали, установили антивирус-победитель - сбоев нет; всё ОК.
> Но, у вас установлен какой-то из последних простейших зловредов, который отредактировал файл Hosts. Вы не можете скачать нужные базы для того, что излечить комп.


Опять же - какое отношение это имеет к лечению *известного* зловреда?




> Этим мы раскрыли ещё один недостаток результатов данного теста - тестеры исходят из СОБСТВЕННЫХ знаний, и не представляют себе кто такой простой, неопытный клиент, который просто надеется на лечение.


Клиент, который просто надеется на лечение, просто обращается в Службу Поддержки соответствующего антивируса, где  решаются все вопросы.

*Добавлено через 4 минуты*




> Я говорю о безполезности данного теста для простого пользователя при опрелённых ситуациях. Таких условий как на данном тесте в реальной жизни НЕ БЫВАЕТ.


Ну так любое тестирование не всегда опирается на реалии. Но случаи множественного заражения, незапуск антивируса, конфликты и прочее предлагаю не рассматривать.  :Wink: 

*Добавлено через 2 минуты*




> Всё верно, совсем недавно столкнулся с ситуацией невозможности установки ни одного из самых именитых антивирей, на заражённую систему знаменитым sality.aa, танцы с бубном, мать-перемать и немного знаний) решили проблему, водрузив наконец в систему антивирус, на всё ушло несколько часов. Простому юзверю, такое неподсилу. После этого я подсунул ему флэшки, заражённые этим зловредом, и он прекрасно детектировал и блокировал заражение.


Вот поэтому очень хотелось бы видеть тест антивирусов на противодействие активному Sality aka Sector.

----------


## XP user

> Проблемы несовместимости выясняются на стадии инсталляции и профилактических запусков антивируса.


Да? Всегда?  :Smiley: 




> Сильно сомневаюсь.


Ваше право. Если система врёт, то врёт. Антивирус склонен верить ей и её данным.




> Опять же - какое отношение это имеет к лечению *известного* зловреда?


Антивирус его не узнаёт если система больна определённым образом.




> Клиент, который просто надеется на лечение, просто обращается в Службу Поддержки соответствующего антивируса, где  решаются все вопросы.


Это да. Не оговаривается это в тесте, однако. Ссылается на то, кто лучше при крайне теоретических обстоятельствах. Там, наоборот говорят, что весь показ делался 'для блага простого пользователя'.  :Smiley: 
P.S.: У проигравших тоже есть техподдержка. 




> Ну так любое тестирование не всегда опирается на реалии.


Именно поэтому не надо такие тесты использовать для маркетинга - их надо оставить в экспертной среде, где им место.




> Вот поэтому очень хотелось бы видеть тест антивирусов на противодействие активному Sality aka Sector.


Меня такой тест мало интересует, если честно.  :Smiley: 

Paul

----------


## borka

> Проблемы несовместимости выясняются на стадии инсталляции и профилактических запусков антивируса. 
> 
> 
> 
> 
> 
>  Сообщение от p2u
> 
> 
> Да? Всегда?


Давайте уточним, речь идет о вирусах или не?  :Smiley:  Если не, то конфликты *будут* выявлены именно на стадии инсталляции и при запусках антивируса ДО попадания вируса в систему. О чем вами же и было сказано насчет каспера и сюгате.  :Wink: 




> Ваше право. Если система врёт, то врёт. Антивирус склонен верить ей и её данным.


Да что вы говорите!  :Smiley:  Такое впечатление, что модули антируткита вендоры добавляют исключительно от нечего делать.  :Smiley:  А задача антируткита в том и состоит, чтобы похерить то, что говорит система антивирусу, и получить то, что нужно. Так сказать, выбить из нее признания.  :Wink:  Так шта... Не склонен антивирус доверять системе, ни разу не склонен.  :Smiley:  Особенно сейчас, когда сусликов развелось...




> Антивирус его не узнаёт если система больна определённым образом.


Напомню. Ваше утверждение касалось *обновления* антивируса.  :Smiley:  При чем тогда здесь узнаёт - не узнаёт?




> Именно поэтому не надо такие тесты использовать для маркетинга - их надо оставить в экспертной среде, где им место.


"Все тесты - лажа!" (с) И только по одной-единственной причине: *всегда* найдется хоть один человек, который им не поверит.  :Smiley:  Хоть в экспертной среде, хоть в маркетинговой. А внешние тесты проводятся исключительно в маркетинговых целях. В этом плане я согласен с паном Шаровым - свои внутренние тесты дают каждому разработчику больше, чем внешние.




> Меня такой тест мало интересует, если честно.


А это ваше право.  :Smiley:

----------


## XP user

> Если не, то конфликты *будут* выявлены именно на стадии инсталляции и при запусках антивируса ДО попадания вируса в систему. О чем вами же и было сказано насчет каспера и сюгате.


Нет, необязательно. Если у вас остался старый модуль или драйвер от Симантека, допустим, не думайте, что хоть кто-нибудь вам сообщит об этом. Мне приходится регулярно такие вещи убрать у людей. Именно поэтому и знаю.
P.S.: Если Sygate уже был установлен, то тогда Касперский молчит о том, что он есть, и что могут быть проблемы. Почему? Видимо потому что Sygate уже ни кем не поддерживается. Но это не значит, что люди его не используют. Online Armor вообще ужас - он оставляет целых 3 драйвера после удаления.




> Да что вы говорите!  Такое впечатление, что модули антируткита вендоры добавляют исключительно от нечего делать.  А задача антируткита в том и состоит, чтобы похерить то, что говорит система антивирусу, и получить то, что нужно. Так сказать, выбить из нее признания.  Так шта... Не склонен антивирус доверять системе, ни разу не склонен.  Особенно сейчас, когда сусликов развелось...


Почему тогда, если всё так солнечно, столько обращений к таким ресурсам как virusinfo? Причём и там бывает случаи, когда сигнатура зловреда известна, и антивирус среди победителей. Один пример:
Помогите победить BackDoor.Bulknet.240.
В главных ролях: сам Доктор Веб. Называет даже зверя по имени, и не может ничего делать. 'Удалил?' спрашивает у системы. 'Да, удалил'. А в следующий раз зловред опять там.
P.S.: Это не значит, что Доктор Веб - плохой антивирус. Просто в данном тесте он не так хорошо себе показывает. Почему? Вот такие вещи надо исследовать. Тогда будет прогресс и настоящая польза для простых пользователей. Это со всеми так бывает. Поэтому, вместо того, как надсмеяться над проигравшими, как я заметил на некоторых ресурсах, надо хорошо подумать - а что эти тесты на самом деле показывают? Для меня лично - не очень много.




> Напомню. Ваше утверждение касалось *обновления* антивируса.  При чем тогда здесь узнаёт - не узнаёт?


Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.




> В этом плане я согласен с паном Шаровым - свои внутренние тесты дают каждому разработчику больше, чем внешние.


Я рад, что мы хотя бы по одному элементу думаем одно и то же.

Paul

----------


## Alex_Goodwin

> Если Sygate уже был установлен, то тогда Касперский молчит о том, что он есть, и что могут быть проблемы. Почему? Видимо потому что Sygate уже ни кем не поддерживается. Но это не значит, что люди его не используют. Online Armor вообще ужас - он оставляет целых 3 драйвера после удаления.


Вы уверены, что проблемы будут именно с лечением? Что других проблем не будет и пользователь ни о чем не догадается? И, о ужас, именно при лечении эти проблемы проявятся?




> когда сигнатура зловреда известна, и антивирус среди победителей. Один пример:
> Помогите победить BackDoor.Bulknet.240.
> В главных ролях: сам Доктор Веб. Называет даже зверя по имени, и не может ничего делать. 'Удалил?' спрашивает у системы. 'Да, удалил'. А в следующий раз зловред опять там.


И вновь вы передергиваете: сигнатура только на один из файлов, а на rs32net.exe детекта нет.




> Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.


Это в чей камень огород? И как это относится к обсуждаемому тесту?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Вы уверены, что проблемы будут именно с лечением? Что других проблем не будет и пользователь ни о чем не догадается? И, о ужас, именно при лечении эти проблемы проявятся?


А как если до лечения не идёт дело? Тест пытается доказывать, что на заражённый комп устанавливаем антивирус, обновляем базы, и вперёд. Почему вдруг меняются условия и надо сначала некоторое время работать с антивирусом, чтобы выявить проблемы? (Борис тоже об этом начал) 
Касперский застревает в папке Sygate (из-за сильной самозащиты Sygate), система зависает, и надо нажать кнопку 'reset'. Я это заметил, а в он-лайне искал, искал, описания не нашёл. Даже в безопасном режиме это так. Придётся консультироваться со специалистами, которые могут угадать, в чём дело если они сами сталкивались. Если Sygate убрать, всё нормально.




> И вновь вы передергиваете: сигнатура только на один из файлов, а на rs32net.exe детекта нет.


Что доказывает именно то, о чём я говорил - не бывает в настоящей жизни то, что тест пытается доказывать.




> Это в чей камень огород? И как это относится к обсуждаемому тесту?


Я камнями не бросаю, Alex. Про отредактирование Hosts File зловредом как мера против обновления некоторых продуктов я уже говорил, нет?

Paul

----------


## Alex_Goodwin

> А как если до лечения не идёт дело?


Тогда юзер поставит другой ав, либо будет искать причину и может обратиться в тех. поддержку. Что никак не скажется на уничтожение вирусов после установки ав.



> Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.


Повторяю, как это относится к обсуждаемому тесту?



> Что доказывает именно то, о чём я говорил - не бывает в настоящей жизни то, что тест пытается доказывать.


Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора.
Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.

----------


## kps

В тесте проверялась способность антивируса удалить зловреда, если есть детект на все компоненты зловреда. Если хоть на один компонент малвары детекта нет (пример - приведенная тема из "Помогите!") - то это уже не относится к тестированию на способность лечить активное заражение известных зловредов, т.к. недетектируемый компонент просто восстановит другие компоненты.

----------


## XP user

> Тогда юзер поставит другой ав, либо будет искать причину и может обратиться в тех. поддержку. Что никак не скажется на уничтожение вирусов после установки ав.


Угу. Ещё один антвирус удалять без следов.




> Повторяю, как это относится к обсуждаемому тесту?


Мы же говорим о применимости результатов данного теста дома, нет? Тогда я тоже повторяю, но в этот раз со ссылкой на источника:
Методология теста антивирусов на лечение активного заражения ( октябрь 2008 )



> При установке на зараженную машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, *обновление* и т.д.).


Прямо относится, значит. Нет баз - нет детекта - нет лечения.




> Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора.


Не сомневаюсь, что они это быстро исправят. Об этом речь не шла - чтобы измерить реакцию контор на неизвестных угроз можно другие тесты организовать. Это будет иметь больше значения для простого юзера, чем попытки лечения на виртуальной машине.




> Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.


С этим не берусь даже спорить. Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.

Paul

----------


## Alex_Goodwin

> Мы же говорим о применимости результатов данного теста дома, нет?


Один частный случай с противодействием одному ав - что будет заметно и вызовет вопросы. В тест не брались специально те зловреды, что противодействуют установке ав (бигль и ко) - смысла в их тестировании нет, до устоновки ав сними надо бороться спец утилитами. Выбранные сэмплы специально не противодействуют ав- не пытаются удалить ав и т.д.




> можно другие тесты организовать. Это будет иметь больше значения для простого юзера, чем попытки лечения на виртуальной машине.


 Все нормальные тесты имеют значение (вб100 - не нормальный тест). Можно и нужно и будут организованы. для комплексной оценки.



> С этим не берусь даже спорить. Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.
> Paul


Мы здесь обсуждаем результаты теста на лечение активного заражения, а не возможность установки ав на такую машину. Собственно всем понятно, что зараженную машину лучше лечить, при квалификации соответствующей АВЗ и ко, а не ав. Данный тест моделирует ситуацию, когда юзер уже заражен, а сигнатура только пришла, что сейчас и актуально, т.к. сначала появляется новый зловред, а через время - сигнатура. Есть масса технологий, позволяющих избежать заражения, но не об этом речь в этом тесте. Тот же хост КИС не даст поправить.

----------


## zerocorporated

> Тот же хост КИС не даст поправить.


Даст - в автоматическом режиме он вообще очень много дает... слишком много. Как сказал NickGolovko:



> В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне

----------


## XP user

> Мы здесь обсуждаем результаты теста на лечение активного заражения, а не возможность установки ав на такую машину. Собственно всем понятно, что зараженную машину лучше лечить, при квалификации соответствующей АВЗ и ко, а не ав. Данный тест моделирует ситуацию, когда юзер уже заражен, а сигнатура только пришла, что сейчас и актуально, т.к. сначала появляется новый зловред, а через время - сигнатура. Есть масса технологий, позволяющих избежать заражения, но не об этом речь в этом тесте. Тот же хост КИС не даст поправить.


Я прекрасно знаю, что мы здесь обсуждаем, Alex. На сам тест как некие абстрактные данные у меня претензии нет. 'Тест проведён, эксперты довольны, всё честно'. (c) 
*В условиях теста* победитель лечит лучше всех - думаю, что вряд ли кто-нибудь это оспорит.  :Smiley: 
P.S.: Почему придумали такие хитрости с 'Платинум'. В восприятии людей победитель всегда получает золото, нет? А теперь золото получил тот, который на втором месте.  :Roll Eyes (Sarcastic): 

Paul

----------


## DVi

> P.S.: Почему придумали такие хитрости с 'Платинум'. В восприятии людей победитель всегда получает золото, нет? А теперь золото получил тот, который на втором месте.


Причем еще год назад: http://antimalware.ru/node/152
Паул, ну хоть вы-то не спекулируйте на "якобы незнании" методологии.

----------


## Ivaemon

Кстати, замечательно кто-то из маркетингового отдела придумал: если первый - победитель; если второй - золотой, не хуже первого.

----------


## santy

> Завтра сигнатура придет и Доктор булку вынесет. Если она (булка) не обновится быстрее Доктора... Но речь не об этом, а о том, что если сигнатура у доктора будет, то он снесет булку, а вот Нод, при наличии сигнатуры не снесет, но даже и ничего не найдет и пользователь не обратится на форум, в тех. поддержку и т.д. Т.е. шанс у юзера Доктора есть, а у юзера Нода его при заражении нет.


Несколько лет назад, ЛК проводила показ своего инструмента AdminKit (в составе KAV Workstation 5.0) по сибирским городам. Был на этой встрече и даже немного пообщался в перерыве со специалистами ЛК. (У... масса впечатлений была... впервые увидел сотрудников настоящей антивирусной компании.) А. Никишин тогда рисовал диаграммы роста сигнатур. На тот момент количество сигнатур в КАВ было 250.000 и диаграмма имела вид экспоненты. Сколько сейчас сигнатур выпущено ЛК? 1... 2 миллиона? Представим себе, что роботы вирусописателей используя пакеры и крипторы, а так же базовые вирусные наборы работают по 24часа в сутки, как гастарбайтеры, автоматически проверяют реакцию антивирусных продуктов и добившись отрицательного для них исхода (недетекта), размещают файлы на своих ресурсах, а так же "заряжают" в спамашины и боты линки на зараженные ресурсы и рассылают по миллионам электронных адресов... Успеют антивирусные лаборатории выпускать сигнатуры для лечения зараженных компьютеров? При таком исходе можно будет смело переименовать AVPTool в AVPLargeTool. (В связи с этим неплохо было бы комплектовать AVPTool не полным набором баз, (которая будет расти по экспоненте), а самыми рейтинговыми по классификации вирусами за определенный период, чем значительно бы сократился размер этой тулзы... возможно тогда бы она чаще использовалась юзерами при лечении системы).... по поводу *тестирования*: похоже, прав, *ananas*... маркетинговый vb100 с коллекцией тысяч вирусных тел плох и ненормален, маркетинговый же тест anti-malware с коллекцией несколько десятков - хорош и современен... *детект и лечение:* здесь похоже работает правило, которое в физике называют соотношением Гейзенберга... Всегда будут востребованы продукты, которые лучше всего детектируют_блокируют (проактивно, эвристически, сигнатурно) вируса и которые лучше всего лечат системы от заражения.... *противодействие активному заражению*... то, что делает *p2u* - понятно, максимально использовать для безопасности возможности настройки системы, то что делает *Олег Зайцев* - тоже понятно, вылечить систему за минимальное время, то что делает *DrWeb*  - понятно: выпуск CureIt-а, инструмента с идентичным интерфейсу сканера основного антивируса с лучшим лечением делает его узнаваемым, и здесь работает правило - не создавать новых сущностей без необходимости..., то что делают *Avira, Eset* понятно - максимально проактивно обезопасить систему на стадии детекта... Что можно пожелать *ЛК*, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...? Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.

----------


## XP user

> Причем еще год назад: http://antimalware.ru/node/152
> Паул, ну хоть вы-то не спекулируйте на "якобы незнании" методологии.


Не знал. Я в тестах anti-malware и других по поиску и лечению/удалению зловредов никогда особо не углублялся. Я больше интересуюсь файрволами.  :Smiley:  Мне казалось странным, что если кто-то говорит, что он/она 'выиграл(а) золото', что это не первый приз. Извините за офф-топ.

Paul

----------


## herzn

> Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.


Что есть интересно.
И ЛК и Dr.Web являются далеко не самыми худшими представителями антивирусной промышленности в вопросе скорости реакции и детекта.  :Wink: 
P.S. Я не обращаю внимания на известные всем тесты на детект.
К ним вопросов намного больше, чем к обсуждаемому. :Smiley:

----------


## borka

> Нет, необязательно. Если у вас остался старый модуль или драйвер от Симантека, допустим, не думайте, что хоть кто-нибудь вам сообщит об этом. Мне приходится регулярно такие вещи убрать у людей. Именно поэтому и знаю.
> P.S.: Если Sygate уже был установлен, то тогда Касперский молчит о том, что он есть, и что могут быть проблемы. Почему? Видимо потому что Sygate уже ни кем не поддерживается. Но это не значит, что люди его не используют. Online Armor вообще ужас - он оставляет целых 3 драйвера после удаления.


Еще раз - эта проблема всплывет на этапе инсталляции и запусков антивируса ДО заражения.




> Почему тогда, если всё так солнечно, столько обращений к таким ресурсам как virusinfo?


Коллега *Alex_Goodwin* объяснил.  :Smiley: 




> Будет обновления в размере 12 МБ может быть и узнаёт - хотя не факт. А если скачать их нельзя? Тогда придётся уже на качество эвристики рассчитывать.


Еще раз - при чем здесь обновления?  :Smiley: 

*Добавлено через 5 минут*




> А как если до лечения не идёт дело? Тест пытается доказывать, что на заражённый комп устанавливаем антивирус, обновляем базы, и вперёд. Почему вдруг меняются условия и надо сначала некоторое время работать с антивирусом, чтобы выявить проблемы? (Борис тоже об этом начал)


Про обновление баз речь не идет. В *этом* тесте зловред известный. А насчет того, кто на чем застревает, то при сканировании системных папок, где и обитает зловред, нет необходимости сканировать папку сюгате.  :Wink: 

*Добавлено через 5 минут*




> Мы же говорим о применимости результатов данного теста дома, нет? Тогда я тоже повторяю, но в этот раз со ссылкой на источника:
> Методология теста антивирусов на лечение активного заражения ( октябрь 2008 )
> Прямо относится, значит. Нет баз - нет детекта - нет лечения.


Такое впечатление, что методологию вы не читали.  :Wink:  Там русским по сайту написано:



> 1. детектирование компонентов вредоносной программы всеми участвующими в тесте антивирусами;





> Мы обсуждаем возможность установить антвирус на уже заражённую систему - моя точка зрения: это может по многим параметрам неблагополучно кончиться. Больше я ничего не хочу говорить, и я никого не атакую.


Для *каждого* антивируса всегда можно найти зловреда, который бы никогда не дал бы ему не то чтобы проверить систему, но и сесть в нее...  :Sad:

----------


## XP user

@ *borka* 

Все аргументы уже выяснили во время вашего отсутствия. Дальнейшее обсуждение приведёт только к излишнему повторению и флуду.

Только один вопрос для понимания по поводу этого:



> Про обновление баз речь не идет. В этом тесте зловред известный.


Если базы не требуются для лечения данных зловредов, почему тестеры тогда время потратили на обновление? (Вопрос чисто технический, чтобы все поняли).




> При установке на заражённую машину учитывались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, *обновление* и т.д.).


Paul

----------


## borka

> Если базы не требуются для лечения данных зловредов, почему тестеры тогда время потратили на обновление? (Вопрос чисто технический, чтобы все поняли).


Во-первых, а зачем передергивать? Никто не говорил, что для лечения базы не требуются. Во-вторых, вы все еще не прочитали методологию:




> 2. отсутствие целенаправленного противодействия работе антивируса;


Если после установки антивируса вендор рекомендует обновить базы, то, безусловно, это нужно сделать. Как показывает практика, если в системе сидит серьезный зловред, то антивирус даже не установится, не говоря про обновится.
А вот если антивирус не устанавливается, то пользователь либо обращается в Суппорт, либо идет за помощью на форум.

ЗЫЖ Только к рассматриваемой теме это по-прежнему не имеет ни малейшего отношения.  :Smiley:

----------


## XP user

@ *borka*

Если строго остаться в рамках данного теста, на что вы сами настаиваете, то тогда поясните, плиз.

С одной стороны вы говорите:



> Про обновление баз речь не идёт. В этом тесте зловред известный.


С другой стороны вы говорите:



> Никто не говорил, что для лечения базы не требуются.


Не доходит до меня.

P.S.: Про то, что я не прочитал методологию можно уже не писать, спасибо. Два раза вполне достаточно для того, чтобы все это поняли. Скорее у меня что-то либо с русским языком, либо с логикой.  :Smiley: 

Paul

----------


## santy

> Еще раз - эта проблема всплывет на этапе инсталляции и запусков антивируса ДО заражения.
> (


Ну, не факт, что вплывет эта проблема ни на этапе инсталляции нового антивируса, ни на этапе сканирования системы. *Paul* здесь прав... и драйвера встречаются от старых версий (4.5) КАВ, который не всегда нормально деинсталлируется, и модули от Симантек, не исключенные из автозагрузки.... (скажем, если Симантек был установлен через центр управления с паролем, а пароль забыт_утрачен_унесен с собой другим админом, то приходится не деинсталлировать, а исключать многочисленные службы из загрузки). Проявляют же себя_визуально становятся видны эти модули например при запуске АВЗ в виде перехватчиков. А вот как они влияют на работу антируткитов - не могу сказать.

----------


## XP user

@ *All*

Общее замечание. Мне кажется, что для практической применимости данного теста для чайников тестеры надо бы оговорить, что тест носит чисто теоретический характер. 
Типа - 
- 'Не пытайтесь повторить это дома на реальной машине - есть большая вероятность, что вам не удастся из-за множества причин'.
- 'Мы обновили базы, но это чисто формальное действие. В данном случае это не требовалось. Если мы НЕ обновили бы базы, то тогда мы всё равно убили бы эти зловреды из-за того, что система ДО заражения была девственной, и что все зловреды даже без баз опознаются, и, конечно, такое не бывает в реальной жизни когда вы пытаетесь ставить новый антивирус на уже заражённую машину'.

и т.д., и т.п.

Повторяю - для того, чтобы защищать методику и результаты, тестеры и вендоры-победители приведут аргумент, что всё делается для простых юзеров. Если эти же простые юзеры (и вендоры, проигравших тест) используют разумные аргументы чтобы доказать несостоятельность абсолютных выводов, сделанных из данного теста, то тогда их посылают куда подальше с надсмешкими всякими. 

Кроме того, аргументы, изпользованные юзерами, чтобы доказать свою точку зрения приведут сами же победители когда потребуется доказать свою точку зрения. Даётся впечатление, что использование разумных аргументов - привилегия победивших данного теста; всем остальным следовало бы молчать и ахнуть от восхищения. 

Это некорректно. Ссылки давать даже не буду. Слово 'активное заражение' в Гугл достаточно - сами найдёте обсуждения и аргументы за и против выводов, которые на самом деле можно делать из этого теста.

Paul

----------


## Зайцев Олег

> Что можно пожелать *ЛК*, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...? Найти золотую середину между детектом и лечением. Двух крайностей одновременно достигнуть невозможно.


И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. Приведу пример в ответ на то, что будет, когда вирлаб не справится с потоком зловредов и набивкой сигнатурных баз - http://www.virustotal.com/ru/analisi...835a0786bb6dde. Тогда придется делать "эвристику" (кавычки не случайны), основанную на тупом детекте констант и тому подобных вещах. По этой ссылке р-ты проверки ужасного злобного вируса, написанного минуту назад на коленке - он при запуске выводит на консоль строки в цикле вида "Я вот сейчас как вызову "+"Имя[i]", где имя[1..7] - массив констант типа "URLDownloadToFileA" и "trojan.exe". В заключении этот EXE выводит фразу "И юзер помрет со смеху"  :Smiley:  Как нетрудно видеть, два антивируса тут-же детектировали эту злобную заразу  :Smiley:  :Smiley:  Смешно, хотя по идее плакать надо -безобидная программа по выводу строк в цикле на консоль сразу заподозрена двумя известными антивирусами, хотя она ничем не упакована, совершенно безвредна и не делает вообще ничего опасного. Далее еще тест - второй написанный на коленке "ужасный и кровожадный вирус" - EXE, который статически импортирует две функции - URLDownloadToFileA и ShellExecute. И все - вместо тела EXE заглушка, которая не делает ровнум счетом ничего (т.е. EXE стартует и тут-же завершается с exitcode=0) - вот результат проверки - http://www.virustotal.com/ru/analisi...aa7bc47cc3c6fc (на него совсем тошно смотреть  :Smiley:  Не содержащий никакого программного кода EXE был заклеймен как злобный вирус только за статический импорт)
Мораль - сигнатуры были и есть основным методом детекта, плюс может некие "результаты поведенческого анализа" типа рейтинга опасности в KIS (с последним тоже не все так просто - там оценка всегда объективна и рейтинг заслужен, но многие приложения ведут себя неадекватно - при старте начинают требовать себе права отладчика, пытаться управлять службами, дропать файлы в системные папки и творить прочие безобразия). Плюс со временем явно приоритет получат технологии типа UDS в KIS и Sonar в NIS - т.е. системы, которые столкнувшись с подозрительной программой немедленно свяжутся с разработчиком, и получат из некоей мега-базы ответ, что делать. В такой ситуации качество детекта может быть весьма высоким при небольшом объеме баз - не придется таскать огромадные базы чистых и зловредных на каждый ПК

----------


## herzn

Приведенные примеры нельзя назвать даже фолсом.
Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей. :Smiley: 
Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем? :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

> Если строго остаться в рамках данного теста, на что вы сами настаиваете, то тогда поясните, плиз.
> С одной стороны вы говорите:
> 
> С другой стороны вы говорите:
> 
> Не доходит до меня.


Что конкретно не доходит? Что вы передергиваете?  :Smiley:  Или что в рамках данного теста базы обновлять не имеет смысла? Или что речь не о базах как таковых, а именно об обновленных?  :Wink: 




> Скорее у меня что-то либо с русским языком, либо с логикой.


Смысл слова "передергивать" вы знаете. Остальное не столь важно.  :Smiley: 

*Добавлено через 3 минуты*




> Ну, не факт, что вплывет эта проблема ни на этапе инсталляции нового антивируса, ни на этапе сканирования системы. *Paul* здесь прав... и драйвера встречаются от старых версий (4.5) КАВ, который не всегда нормально деинсталлируется, и модули от Симантек, не исключенные из автозагрузки.... (скажем, если Симантек был установлен через центр управления с паролем, а пароль забыт_утрачен_унесен с собой другим админом, то приходится не деинсталлировать, а исключать многочисленные службы из загрузки). Проявляют же себя_визуально становятся видны эти модули например при запуске АВЗ в виде перехватчиков. А вот как они влияют на работу антируткитов - не могу сказать.


Если проблема не всплывет ни на этапе инсталляции, ни на этапе сканирования системы ДО заражения, можно смело утверждать, что эта проблема не проявится в условиях заражения.  :Smiley: 

*Добавлено через 10 минут*




> И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. Приведу пример в ответ на то, что будет, когда вирлаб не справится с потоком зловредов и набивкой сигнатурных баз


Между прочим, страдают паранойей не только антивирусы, которые приведены в качестве примера. Кроме того, это только вы знаете, что файл безвреден.




> Смешно, хотя по идее плакать надо -безобидная программа по выводу строк в цикле на консоль сразу заподозрена двумя известными антивирусами, хотя она ничем не упакована, совершенно безвредна и не делает вообще ничего опасного.


Опять же - это только вы об этом знаете.




> Плюс со временем явно приоритет получат технологии типа UDS в KIS и Sonar в NIS - т.е. системы, которые столкнувшись с подозрительной программой немедленно свяжутся с разработчиком, и получат из некоей мега-базы ответ, что делать. В такой ситуации качество детекта может быть весьма высоким при небольшом объеме баз - не придется таскать огромадные базы чистых и зловредных на каждый ПК


 :Smiley:  Это как - ждать ответа в онлайне?

*Добавлено через 2 минуты*




> Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
> Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?


Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.  :Smiley:

----------


## Зайцев Олег

> Приведенные примеры нельзя назвать даже фолсом.
> Поскольку фолс относится все-таки к реально существующим файлам в природе на компьютерах пользователей.
> Это как создать svchost.exe, поместить его в папку WINDOWS, проверить утилью работающей по именам и сказать: Видите какое дерьмо?
> Вот только вопрос, что может делать в этой папке на реальном компьютере файл с таким именем?


Пример с файлом, имеющим подозрительное имя как раз некорректнен - в системе такого нет, имя похоже на системное и т.п. - за такое можно поругаться. Но приведенный мной пример не такой - обычный EXE, импортирующий вполне легальные функции (документированные замечу) вполне стандартным образом, и к тому-же никак их не вызывающий ! И это пример 2, пример 1 воообще ничего не импортирует - просто у него в теле есть имена функций, которые он выводит на экран. И я видел сотни "детектов" разных безобидных утилит и программ только за то, что они статически импортят пару функций, содержат на свою беду неподходящие слова в константах  или сжаты подозрительным пакером. С пакером то еще все более или менее ясно, но почему банальный импорт 1-2 функций приводит к детекту ? Вот в чем вопрос (причем эти импортированные функции никак не вызываются, а первый демо-пример то собственно ничего кроме вывода шуточных сообщений на консоль не делает ...).

*Добавлено через 8 минут*




> 1. Опять же - это только вы об этом знаете.
> 
> 
> 2.  Это как - ждать ответа в онлайне?
> 
> 3. Я бы не отказался от такого детекта помимо сигнатурного и эвристического анализа.


1. Не только я - антивирус по хорошему должен изучить *поведение* зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик
2. Именно так. И это общая тенденция, так как
2.1 у разработчика может стоять мега база, пополняемая постоянно зверями и чистыми. В результатет ее размер будет огромен, скажем десятки/сотни ГБ, поместить такую в антивирус нереально, равно как обновлять. Но ничто не мешает скажем антивусу собрать MD5 хеши неопознанного ПО и запросить такую мегабазу, запомнив ответ. Минус ясен - нужен Инет. Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно
2.2 Встретив нечто с опасным поведением антивирус может не гадать, что делать - а запросить центр. Там будет накапливаться статистика таких запроросов, что позволит аналитикам в первую очередь пополнять базу тем, что вызывает наибольшие проблемы. 
Причем время между запросом и ответом небольшое, скажем 
максимум 1-2 секунды, поэтому часами ждать не придется
3. Он есть такой в AVZ, есть он в KIS (последний заметив запуск EXE с явно корявыми атрибутами и подозрительным именем может выдать алерт, типа вот дескать такое вот чудо-юдо стартует, запустить или как ?), но KIS в основном смотрит на объективные данные (предполагаетмое поведение и т.п.), а не на внешние признаки

----------


## Olegka-2007

> И эта "золотая середина" гораздо лучше параноидального детекта, эвристики и т.п. ...
> ПК


Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура! 
Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах. 
ps Я не профессионал (прошу сильно не пинать меня :Wink: ), можно сказать - делитант. Поэтому хочу услышать авторитетного мнения. Спасибо!

----------


## ananas

Не совсем понял эту мысль.


> антивирус по хорошему должен изучить поведение зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик...
> Он есть такой в AVZ, есть он в KIS (последний заметив запуск EXE с явно корявыми атрибутами и подозрительным именем может выдать алерт, типа вот дескать такое вот чудо-юдо стартует, запустить или как ?), но KIS в основном смотрит на объективные данные (предполагаетмое поведение и т.п.), а не на внешние признаки


И что? Если это пустышка, так надо или не надо антивирусу реагировать? Может он или он должен? Я буду читать на экране безобидные, но совершенно лишние преведы от медведа или нет?


> у разработчика может стоять мега база, пополняемая постоянно зверями и чистыми. В результатет ее размер будет огромен, скажем десятки/сотни ГБ, поместить такую в антивирус нереально, равно как обновлять. Но ничто не мешает скажем антивусу собрать MD5 хеши неопознанного ПО и запросить такую мегабазу, запомнив ответ. Минус ясен - нужен Инет. Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно


Ясно. Тогда антивирь вообще не нужен никакой. На чистую систему ставится тупой блокиратор, который ждет ответа от мега-базы до принятия решения.

----------


## Зайцев Олег

> Я правильно понимаю, что в бдущем ЛК не будет делать ставку на развитие полноценного эвристика!? Все-таки уклон как всегда будет идти на сигнатурный метод!? Но добавив несколько символов в код и зверь не детектится - нужна другая сигнатура! 
> Я не профессионал в этом деле, поэтому ориентир буду делать на тесты Клементи. Так вот - если посмотреть на результаты (да знаю скажете, что методика спорная, но все же) теста, то видно что у победителя результат за 70%. НУ согласитесь, что все же от эвристики толк есть, да еще какой. Тем более модуль рассчета рейтинга тоже построен на эвристических правилах. 
> ps Я не профессионал (прошу сильно не пинать меня), можно сказать - делитант. Поэтому хочу услышать авторитетного мнения. Спасибо!


Говорить так уже глобально "делать ставку" наверное не стоит (от сигнатруного детекта например отказаться невозможно из-за однозначности вердикта), но технологии эвристического детектирования, оценки опасности и т.п. будут активно развиваться и совершенствоваться. В остальном тенденция идет к многоконтурной защите, т.е. не ставке на что-то одно в ущерб всему остальному, а именно на "контурах", каждый из которых подстраховывает и дополняет остальные. Это важно, так как этом никакие правила и никакой суперэвристик не даст 100% детекта, но довольно большую категорию заразы он перекроет (те самые 70%), что уже весьма хорошо. Прибавим к этому сигнатурный сканер, HIPS, PDM, Firewall - каждый компонент дает шанс на то, что он задавит что-то, пропущенное другим компонентом.

*Добавлено через 8 минут*




> 1. Не совсем понял эту мысль.И что? Если это пустышка, так надо или не надо антивирусу реагировать? Может он или он должен? Я буду читать на экране безобидные, но совершенно лишние преведы от медведа или нет?
> 2. Ясно. Тогда антивирь вообще не нужен никакой. На чистую систему ставится тупой блокиратор, который ждет ответа от мега-базы до принятия решения.


1.1 Если речь идет чисто о сканере, типа Virustotal (он не знает, что за файл, как называется, откуда взят ..), то у сканера на него реакции быть не должно. Взять мои семплы ("ужасные вирусы"  :Smiley:  )- это же совершенно безобидные программы, которая ровным счетом ничего не делают, 4 строчки кода ... их вина только в том, что в их теле есть "нехорошие" константы или "нехороший" по мнению сканеров импорт в заголовке. Эвристик по хорошему должен посмотреть и понять, что в случае первого пример эти константы выводятся на экран, во втором - импорт есть, вызова нет - т.е. код неопасен, и реакция на него следовательно нулевая
1.2 Если речь идет о запуске реального EXE в реальной системе, то в принципе его можно обругать на "нехорошие" атрибуты, в особенности если стартует он скажем из корня диска или из системной папки под псевдосистемным именем. Но обругать не как злобный вирус или троян такой-то там, а именно как подозрительную программу ... Но и тут клеймить нещастную программу за пару констант в теле или за "нехороший" импорт совершенно недопустимо (взять например AVZ - когда его детектили несколько антивирусов эвристикой, детектили его именно за константы в теле, в частности за ключи реестра анализатора автозапуска). 
2. Это конечно крайность, но в принципе да - если есть чистая система и некий анализатор, который при старте проверяет ЭЦП + при отсутствии таковой обращается к мега-базе частых/грязных, то все подписанное известными и довренными производителями софта будет пропущено, все злобное - убито. Остальное попадет аналитикам (как статистика того, что не опазналось, и юзер алерт - типа доверить или нет). Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо  :Smiley:

----------


## ananas

> Если подкрепить это эвристикой (эмулятор, поведенческий анализ в процессе работы, HIPS), то можно получить весьма надежную защиту вообще без сигнатурного движка. А если еще и сигнатурный движок добавтить, то вообще будет хорошо


Вообще то, я имел ввиду несколько не это. Черно-белые списки - это же стопроцентная гарантия или нет? Все "если" вообще станут не нужны, они будут использоваться лишь пока не закончится переходный период к созданию мега-баз. Запускается то, что по аналогии с виндой называется последняя удачная конфигурация или чистый образ. Остальное у клиента вообще не анализируется и не запускается до получения ответа из мега-базы. Если клиент что-либо хочет запустить, он знает, что должен быть в сети, и на отклик потребуется некоторое время. И в этом случае владелец мега-базы может даже продать клиенту гарантию на свои услуги. По другому я не вижу смысла "вбухивания миллионов в дата-центры" как еще один слой.

----------


## Зайцев Олег

> Вообще то, я имел ввиду несколько не это. Черно-белые списки - это же стопроцентная гарантия или нет? Все "если" вообще станут не нужны, они будут использоваться лишь пока не закончится переходный период к созданию мега-баз. Запускается то, что по аналогии с виндой называется последняя удачная конфигурация или чистый образ. Остальное у клиента вообще не анализируется и не запускается до получения ответа из мега-базы. Если клиент что-либо хочет запустить, он знает, что должен быть в сети, и на отклик потребуется некоторое время. И в этом случае владелец мега-базы может даже продать клиенту гарантию на свои услуги. По другому я не вижу смысла "вбухивания миллионов в дата-центры" как еще один слой.


Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п. 
В локальной сети проще - набор софта вполне конкретный, и в плюс к мегабазе глобальной админ в теории модет вести базу хешей файлов, которым по его мнению можно доверять (тот самый спец софт, самописные тулзы  и т.п.). Т.е. все, что вне списка юзер запустить не сможет, и если сильно хочется - то ему придется идти сначала за пивом, потом к админам  :Smiley:  Не панацея, но в принципе защита от подавляющего числа вирусов несигнатурно... Причем по сути это уже делается за счет привилегий в домене с грамотным админом, только путь другой - вместо контроля по мегабазе чем-то там на машинах юзеров админ попросту обрезает юзерам права на установку и запуск любого ПО, все ставится централизованно или локально админом, и админ же дает права на использование. Путь далеко не всегда применимый, но эффективный до безобразия
Принцип "мегабазы" (кавычки опять же как не случайны  :Smiley: ) дял детекта применяются у меня в сети - все легитимные файлы со всех ПК переловлены, посчитаны и описаны базой, и она поддерживается в актуальном состоянии - как что не так, можно моментально найти, что и где применяется из "левого" и пресечь. Ясное дело, что это не в реальном времени применяется, так как для реального времени нужно очень хорошо следить за такой базой и постоянно ее пополнять по десять раз на дню

----------


## ananas

> Это максимизация такой идеи, невозможная глобально (в рамках локальной сети предприятия - без проблем). Суть вот в чем - программ дикое множется и плодятся они как тараканы - уследить за все нереально. Это первое. Второе - ничто не мешает написать человеку программу "для себя" - как тогда быть ?! В мега-базу то она не попадет ... и т.п.


*Олег*, я такого подхода не понимаю. Или делать, или нет. Скооперируйтесть, чтобы работало как DNS. А то пролучится, что у Вас в базе то, что и без всяких запросов к базам общеизвестно и разрешено. Думаю, клиенты будут.

И еще. Вы сейчас сами критикуете идею, о которой выше сказали 


> Плюс тоже - можно "оснастить" антивирус удаленной базой огромного размера, резко повысив качество работы. Это наше завтра, но оно наступит рано или позно


Похоже, не все так однозначно. Да и конкуренты не спят. Средства есть, а вкладывать их или нет - вопрос. Не вложить сейчас - упустить момент. А вложить, так отдача не очевидна.

Но! Я хоть и вступил в обсуждение, считаю идею дата-центров вредной. Нет такой коммерческой компании и тем более государственной, которой я как частное лицо доверю явно рыться на своем винте при любом раскладе.

А корпоративные базы и политики другое дело. Не интересно. Спасибо.

----------


## Зайцев Олег

> *Олег*, я такого подхода не понимаю. Или делать, или нет. Скооперируйтесть, чтобы работало как DNS.


Важно понять, что многие проблемы нерешаемы глобально. Предположим, все скооперировались, все сделали ... но сидит программист, и правит баги в своей программе. Каждое нажатие кнопочки "компилировать" дает новое приложение с новым хешем - и каким образом это отследить и описать базой легитимного ПО (у программиста стоит такая система контроля по мегабазе и он не запустит ни одну из своих программ)? Т.е. получаем умножение количества нажатий кнопки "компилировать" на количество программистов, полученную цифру множим на количество того, что они могут компилировать  :Smiley:  И получаем огромадный поток того, что нужно изучить и поместить в базу легитимных ... а это нереально, ни сейчас, ни в будующем... (а плюс патченные крекерами файлы в великом множестве, всякие самосборки Windows, запакованные криптерами и продолжать можно до бесконечности). И юзеру не объяснить, что замечательная 157-я разновидность игры "Шарики", написанная соседом-студентом не работает из-за того, что не попала в базу ввиду ее распространенность всего на двух ПК... Реально поэтому другое:
1. Сделать мегабазу, но не глобальную, а скажем охватывающую 80-90% всего распространенного ПК. Это огромное подспорье антивирусу и любой системе безопасности. И это базу вести по мере возможности, понимая, что 100% всех существующих программ туда не загнать
2. Почти все крупные производители софта подписывают свои программы - следовательно, вместо базы хешей самих файлов можно создать базу вендоров, подписи которых мы доверяем. Это с одной стороны хуже (например, затесался в ряды фирмы X инсайдер, внедрил троянский код в компоненты X, а компания ее подписала и выкинула в Инет), но зато компактнее на много порядков и решает проблему, как узнавать каждый вариант софта компании X. 
3. Подбивая статистику по запросам юзеров можно пополнять мегабазу п.п.1, внося в нее то, что чаще всего встречается на ПК юзеров ...

----------


## ananas

*Олег*, то, о чем Вы написали, лишь подтверждает, что кроме моего недоверия к самой идее баз, может быть и недоверие меньшего масштаба - недоверие к базе. Слишком много условностей. По-этому, думаю, что о пользе этого базового защитного слоя высказываются лишь те, кому нечего добавить в других слоях.

----------


## Зайцев Олег

> *Олег*, то, о чем Вы написали, лишь подтверждает, что кроме моего недоверия к самой идее баз, может быть и недоверие меньшего масштаба - недоверие к базе. Слишком много условностей. По-этому, думаю, что о пользе этого базового защитного слоя высказываются лишь те, кому нечего добавить в других слоях.


Доверять или не доверять базам - это уже личное дело, деваться то некуда - базы есть и будут, без них никак - ибо любая эвристика, нечеткая логика и т.п. не могут без них. Пример - дебаггер. Если формально на него посмотреть, то что это ? Это какая-то программа, которая вмешивается в работу других программ, читает/пишет их память, модифицирует машинный код и т.п. - чем не злобный вирус ? Или взять например тулбар - в чем разница между тулбаром, который содержит удобные фичи для поиска и тулбаром, который требует энную сумму за разблокировку выхода в Инет или крутит баннеры ?! С технической точки зрения разницы то по сути никакой ... и только база, содержащая экспертную оценку конкретного объекта помогает расставить все точки над i. Еще пример - руткит, защищающий файлы зловреда, и скажем Acronis True Image 11, защищающий папку со своими резервными копиями. С технической точки зрения разницы между Acronis и руткитом нет - оба делают одно и тоже, только руткит из злобных побуждений, а Acronis - из благих. И таких примеров можно приводить сотни, когда формально нет разницы между зловредом и полезной программой нет ...

----------


## Alex_Goodwin

> Что можно пожелать ЛК, которая не является лучшей ни в сигнатурном лечении, ни в проактивном детекте...?


Линейкой измеряли?



> Несколько лет назад...


Как ваш пост относится к теме?



> Я в тестах anti-malware и других по поиску и лечению/удалению зловредов *никогда особо не углублялся*. Я больше интересуюсь файрволами.


Выделено мну. Ну если не угублялись, то к чему столько страниц?  :Wink: 



> всем остальным следовало бы молчать и ахнуть от восхищения.


Всем остальным следовало лечить буткит и русток, а не пеарится..

----------


## ananas

*Олег*, снова меняемся местами?  :Smiley: 

Новый стопроцентнонадежный слой, требующий к тому же миллионых затрат, имеет смысл быть только, если это обеспечит переход на новый революционный уровень защиты от сервиса приложения усилий к сервису с гарантией.

А если при этом опять вспоминать про отсутствие стопроцентной защиты, то отношение к этой и подобным ей инициативам у меня лишь такое, как к очередной рекламной акции по промыванию мозгов.

Доступно это в корпоративной среде - хорошо, кто спорит. Не доступно глобально - разницы в принципе нет. Оптимизации, ускорения, улучшения и т.д. - все это полезно и хорошо. Но это не есть революция или, кому больше нравится, глобальный переворот. 52, 68, 70, 97, 98, 99, 99.9999 < 100. А в реальной жизни и этих тестовых показателей еще надо очень постараться достичь. Желаю антивирусных успехов.

----------


## Wayfarer

Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах  рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом? :Smiley:

----------


## Alex_Goodwin

> Хотелось бы поинтересоваться: вылеченные в результате теста файлы остались работоспособными? Существует ли опасность, в глазах  рядового пользователя, столкнуться с повторным детектом вылеченного файла, скажем, при повторной проверке другим антивирусным продуктом?


Собственно файлы заражал только русток.
От остальных надо было зачищать систему. См. эксельку к тесту - там все написано.

----------


## borka

> И я видел сотни "детектов" разных безобидных утилит и программ только за то, что они статически импортят пару функций, содержат на свою беду неподходящие слова в константах  или сжаты подозрительным пакером. С пакером то еще все более или менее ясно, но почему банальный импорт 1-2 функций приводит к детекту ?


Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.




> 1. Не только я - антивирус по хорошему должен изучить *поведение* зверя, или его машинный код ... и понять, что он имет дело с безобидной пустышкой, и скажем функции импортируются, но не применяются никак. На то он и эвристик


ИМХО, только за счет неслабого снижения скорости работы.





> И это общая тенденция,


Тогда в перспективе антивирус не потребуется.  :Smiley:  При запуске каждого файла будет производиться сверка его контрольной суммы с базой чистых.

----------


## Зайцев Олег

> Можно вспомнить и обратные примеры - когда почти никто ничего не видел, а Антидуров был отловлен именно ориджин-детектом.
> 
> ИМХО, только за счет неслабого снижения скорости работы.
> 
> Тогда в перспективе антивирус не потребуется.  При запуске каждого файла будет производиться сверка его контрольной суммы с базой чистых.


Эмулятор дейстивтельно требует времени, но в ответ он дает качество. Если скажем проверять с эмуляцией не все подряд, а только запускаемые файлы и только один раз (кешируя р-ты проверки), то потери быстродействия не будет.
Я с мегабазами да, согласен - это уже не столько антивирус выходит, сколько распределенная система типа свой/чужой

----------


## ananas

> Я с мегабазами да, согласен - это уже не столько антивирус выходит, сколько распределенная система типа свой/чужой


Эвристика уже находится на максимуме своих возможностей?

Может разработчикам антивирусной защиты пора уже переквалифицироваться - одним садиться за создание черно-белых датацентров, а другим - за повышение надежности программ теневого копирования?

Какая разница, сколько новых вирей появляется, миллион или миллиард, если они все, а не пятнадцать избранных, гарантировано лечатся одним единственным откатом. Если создатели программ теневого копирования возьмутся за активное перевоспитание домохозяек, еще не известно, чья возьмет.

----------


## DVi

> Какая разница, сколько новых вирей появляется, миллион или миллиард, если они все, а не пятнадцать избранных, гарантировано лечатся одним единственным откатом.


- Лечатся ли откатом сворованные пароли?
- Лечатся ли откатом переведенные с банковского счета деньги?
- Лечатся ли откатом сворованные документы?

Все это не лечится ни откатом, ни "лечением активного заражения", увы. Поэтому не надо переводить разговор в неконструктивное русло. Область применения антивируса ограниченна, но отнюдь не стремится к нулю, как Вы это решили представить публике. А область действия бекапа отнюдь не бесконечна.

----------

