PDA

Просмотр полной версии : Как сравнивать антивирусы



Geser
20.12.2004, 00:27
Как сравнивать антивирусы

Уже не один год не утихают споры о том, какой антивирус лучше, однако проблема в том, что большинство спорящих не имеют понятия, по каким параметрам стоит сравнивать антивирусы. В связи с этим я хочу поделиться своим взглядом на критерии оценки антивирусов. Комментарии и дополнения приветствуются.

Пояснения:
1.Поскольку существует множество видов вредоносных программ, для того что бы каждый раз не писать длинные пояснения, там где не имеет значения конкретный тип вредоносных программ, я буду употреблять слово "зверь"
2.Сравнение антивирусов не является целью данной статьи, поэтому, несмотря на то, что я буду приводить в пример конкретные антивирусы, все примеры просьба рассматривать именно как абстрактные примеры.

Итак, критерии оценки антивирусов:

1. Количество известных "зверей".
Часто можно встретить фразы типа "Касперский лучше чем ДрВеб, потому что Касперский знает 100000+ "зверей", а ДрВеб 60000+". На самом деле не всё так просто. Число, публикуемое антивирусными компаниями - это не количество известных "зверей", а количество записей в базах антивируса. При этом при помощи одной записи антивирус может определять несколько разновидностей "зверя", и даже несколько разных "зверей". Поэтому нет прямой связи между количеством записей в базах антивируса и числом "зверей" которые антивирус определяет.

Кроме того, даже сами разработчики не знают точно сколько "зверей" определяет их антивирус, поскольку запись, добавленная для определённой модификации "зверя", может определять и новые модификации, которые разработчики могли даже не видеть.
Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.

2. Тесты на коллекциях "зверей".
Казалось бы - всё просто. Берёшь коллекцию "зверей", и сравниваешь, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?
2.1 Вопрос - как собиралась коллекция. Допустим у меня стоит КАВ, и всех "зверей", которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КАВ найдёт всех "зверей", а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КАВ лучше всех остальных антивирусов.
Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КАВ, то можно получить некоторое представление об остальных антивирусах.
2.2 Дополнительная проблема в том, что считать "зверем", а что нет. К примеру, КАВ с расширенными базами считает "зверем" adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как ДрВеб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КАВ найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных "зверей" он тоже будет в 2 раза лучше.
Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше.
Так что тесты на коллекциях "зверей" не дают полной картины, и не являются надёжным критерием надёжности антивируса

3. Скорость реакции на новых "зверей", т.е. количество времени с момента появления "зверя", до того момента когда антивирус начинает его обнаруживать.
Рассмотрим такую ситуацию. На официальном сайте NAV заявлено, что обновления выходят раз в неделю. На оффсайте КАВ заявлено, что обновления выходят каждый час. Предположим что оба утверждения соответствуют истине. Теперь представьте себе, что кул хацкер Вася Пупкин написал вирус, который через 3 дня после заражения компьютера уничтожает всю информацию на диске, и выложил его на сайте кряков под именем Norton Antivirus 2005 crack.exe. Это даёт гарантию, что за пару дней сотни, если не тысячи, человек его скачают и запустят. Несложно понять, что в такой ситуации пользователи NAV практически гарантированно потеряют всю информацию на дисках, а у пользователей КАВ есть неплохие шансы обнаружить и удалить вирус до того, как он успеет что-либо сделать.
Отсюда ещё один недостаток сравнительных тестов, основанных на коллекциях "зверей". Понятно, что в коллекции большинство "зверей" довольно старые, и никакой разницы между антивирусами, у которых высокая скорость реакции и теми, у которых низкая, нет. На деле же антивирусы с высокой скоростью реакции намного более надёжны.
Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых "зверях"?
Какое-то количество "зверей" разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых "зверей" играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. По этому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.

4. Поддержка всевозможных паковщиков и крипторов.
Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду.
Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального.
Т.е. берём "зверя", который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность "зверя" сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, которым упакован "зверь", то для него файл теперь стал чистым.
Хочу сказать, что паковка и шифрование "зверей" - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее, и тем сложнее вирусописателю спрятать от него "зверя".
С другой стороны, чем больше пакеров и крипторов знает антивирус, тем медленнее он работает (к примеру, это одна из причин медленной работы КАВ, который на сегодня лидирует по количеству поддерживаемых пакеров/крипторов). Так что если Вы нашли антивирус, который быстро работает, скорее всего его надёжность оставляет желать лучшего. Конечно, выбор между скоростью и надёжностью - личное дело каждого.

5. Эмулятор
О наличии эмулятора у антивирусов скорее всего мало кто слыхал. Что же это такое?
Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями, чтобы спрятать "зверей" от антивирусов. Понятно что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.
Понятно так же и то, что наличие эмулятора не увеличивает скорость работы антивируса. Опять же - или скорость, или безопасность. Насколько я могу судить, хорошими эмуляторами обладают ДрВеб, NAV и КАВ.

6. Эвристический анализ
Многие о нём слыхали, но не уверен, что все понимают, что это такое.
Для начала стоит понять, как вообще антивирус находит "зверей". А делает он это просто. Для каждого "зверя" находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий "зверь". Понятно что для того, чтобы сигнатура появилась в базе антивируса, сначала этот "зверь" должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления "зверя". Эвристический анализ работает по другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для "зверей". Таким образом можно обнаружить "зверей", которые никогда не попадали вирусным аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующх антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных "зверей". К тому же, чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания. Примером может служить ДрВеб, у которого с одной стороны хороший эвристик, а с другой - куча ложных срабатываний. Хотя в последней версии ложных срабатываний стало поменьше. Скорее всего за счёт худшения чувствительности эвристика. Довольно неплохой эвристик был разработан специалистами антивирусной компании "ВирусБлокАда". Возможно лучший из существующих на данный момент.

7. Корректное лечение вирусов.
Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.

8. Работа на зараженной системе.
Если с обнаружением неактивных "зверей" всё более-менее просто, то с обнаружением и удалением активных (работающих) "зверей" всё намного сложнее.
8.1. Начнём с того, что часть "зверей" скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких "зверей". Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах.
Для обнаружения таких зверей используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб).
8.2. Другая часть "зверей" при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таком попыткам. Например завершить процесс КАВ дело весьма не простое, и по зубам далеко не любому "зверю". ДрВеб работает на уровне драйвера, и завершение его процесса не приводит к прекращению антивирусного мониторинга.
8.3. Удалить с диска файл активного "зверя" - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить "зверя", но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.
Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики КАВ и ДрВеб обычно отвечают в течении суток - и в случае, если файл является "зверем", и в случае, если он чист. Вирусные аналитики многих других фирм вообще никогда не отвечают на письма с подозрительными файлами. Так что Вам останется только мучаться подозрениями бессонными ночами

10. Отсутствие ложных срабатываний
Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление "зверей". Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы. К сожалению относительно высоким количеством ложных срабатываний страдает ДрВеб, хотя в последних версиях есть некоторые улучшения в этом плане.

11. Стабильность работы и отсутствие конфликтов с другими программами.
Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться со "зверями", перехватывают многие системные функции. Это может привести к всякого рода конфликтам с другими программами.
К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся со "зверями" благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов.
Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными "зверями" (в случае, если по какой-то причине они будут запущены).

12. Загрузка системы
Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

Xen
20.12.2004, 01:44
IMHO двумя основными критериями качества антивируса являются оперативность саппорта (см. выше почему) и возможности по удалению задетектенной заразы (полно примеров, когда отдетекченый троян, писаный явно на заказ, хрен удалишь тем же КАВом... кишка тонка...). Количество записей в базе и возможности эвристики не при делах, так как в современных продуктах представляют жалкое зрелище ;-) (а кому выгодно выпускать хороший и более-менее универсальный антивирус? ну, может быть, военным... но не на потребительский рынок).

Ничего, что встрял? :)

Sanja
20.12.2004, 02:07
по поводу тормозов

многие незадумывались чем обусловленны тормоза одного или легкая работа другово

вся разнится в том что к примеру КАВ знает оооочень большек количество всяческих паковщиков крипторов и.т.д и следоватеьно глубина его проверки намного больше чем у других антивирусов что дает ему преимущество в отлове но потерю в скорости

пример - Ф-Прот был быстрый антивирус и вот в новой версии добавили поддержку паковщиков и все.... теперь о ф-прот можно услышать... даааа был хороший антивирус а теперт так тормозит.... удалю ка яего и поставлю нод32...

Geser
20.12.2004, 08:50
IMHO двумя основными критериями качества антивируса являются оперативность саппорта (см. выше почему) и возможности по удалению задетектенной заразы (полно примеров, когда отдетекченый троян, писаный явно на заказ, хрен удалишь тем же КАВом... кишка тонка...). Количество записей в базе и возможности эвристики не при делах, так как в современных продуктах представляют жалкое зрелище ;-) (а кому выгодно выпускать хороший и более-менее универсальный антивирус? ну, может быть, военным... но не на потребительский рынок).

Ничего, что встрял? :)

Нормально :)

vicyo
20.12.2004, 18:11
Сравнивая антивири, неплохо также упомянуть совместимость антивирусного ПО с другими программами на том же компе.
Например, о КАВ мне доводилось слышать гораздо больше жалоб, чем на все остальные антивирусы вместе взятые, что после его остановки невозможно пользоваться той или иной программой ( МСН, 1С и т.д. ). Конечно, часть из этих случаев можно списать на криворукость юзеров, распространённость КАВ, но только часть.
Упомяну также и Нортона, который, в отличии от многих других антивирусов, удаляется с большим трудом.

drongo
20.12.2004, 18:30
*поддерживаю vicyo , особенно с браузерами.

саня упамянул про ф-прот , подтверждаю .
лично у меня тормозить стал монитор его больше касперского во время запуска бродилок - браузеров . поэтому снёс его . разве нельзя было добавить распознавание паковщиков только в сканере или иметь возможность отключить сиё "торможение " в мониторе? всё равно ведь проверяю каждую программу после скачивания сканером .

*также важно при сравнении сканеров ,проверять количество паккеров . ведь можно запаковать уже известных "зверей" так ,что антивирус их уже не будет узнавать .

*я бы добавил ещё количество занимаемой виртуальной и физической памяти . количество процессов .

. ну к гесеру с 1 гига RAM это не относиться :)

*возможность антивируса охранять свои настройки (предупреждать об изменениях )и при выходе из памяти компьютера. с помощью пароля , может дополнительного процесса .
*проверять возможности при установке пакета- тоесть возможность установки только тех компонентов , которые нужны данному пользователю .

vicyo
20.12.2004, 19:25
*также важно при сравнении сканеров ,проверять количество паккеров . ведь можно запаковать уже известных "зверей" так ,что антивирус их уже не будет узнавать .

*возможность антивируса охранять свои настройки (предупреждать об изменениях )и при выходе из памяти компьютера. с помощью пароля , может дополнительного процесса .

*проверять возможности при установке пакета- тоесть возможность установки только тех компонентов , которые нужны данному пользователю .

1.
Если вирь упакованн каким-либо пакером, не значит ли это что и на компе жертвы должна стоять прога, которая умеет распаковывать?

2.
Если не ошибаюсь, то в наши дни все наиболее популярные антивири дают возможность защитить свои настройки паролем.

3.
В данный момент такая фича не актуальна: подавляющее большинство пользователей антивирусного ПО не сильно разбираются в том, что им нужно. Поэтому, чем больше будет настроек, тем больше такие "чайники" напортачат с настройками, что им же дорого обойдётся, при встрече с вирем.

drongo
20.12.2004, 19:38
1.
Если вирь упакованн каким-либо пакером, не значит ли это что и на компе жертвы должна стоять прога, которая умеет распаковывать?



нет ,обычно исполняемый файл(*ехе
)"зверя" после паковки-криптования -тоже *ехе. а ехе запускаеться очень хорошо :)


Если не ошибаюсь, то в наши дни все наиболее популярные антивири дают возможность защитить свои настройки паролем.


не все :( да и убиваемость процессов антивирусного монитора стоит всё равно проверять в тесте .


3.
В данный момент такая фича не актуальна: подавляющее большинство пользователей антивирусного ПО не сильно разбираются в том, что им нужно. Поэтому, чем больше будет настроек, тем больше такие "чайники" напортачат с настройками, что им же дорого обойдётся, при встрече с вирем.


для "продвинутых" оставить такой выбор установки :) ,а а для обычных по умолчанию - наиболее оптимальный .

kps
20.12.2004, 19:45
1.
Если вирь упакованн каким-либо пакером, не значит ли это что и на компе жертвы должна стоять прога, которая умеет распаковывать?


Не значит. Упаковщики встраивают в упакованные файлы механизм самораспаковки в памяти.



2.
Если не ошибаюсь, то в наши дни все наиболее популярные антивири дают возможность защитить свои настройки паролем.

С таким не встречался :) Да и вообще об этом можно забыть, т.к. если вирус уже запустился и знает, где хранятся настройки какого-нибудь антивируса, то он наверняка знает, как снести этот антивирус :) Так что необходимость опции защиты настроек сомнительна.

Geser
20.12.2004, 23:36
Немножко дописал :)

Geser
25.12.2004, 16:49
Ок, я закончил ;D

Andrey
25.12.2004, 17:38
При тестировании AV программ можно использовать довольно интересный способ: скачиваем целиком все страницы (реально - сколько получиться) с http://www.viruslist.com (или с любого AV сайта. А лучше с нескольких AV сайтов сразу - солянка сэр) и запаковываем в архив. При тестировании данного архива многие антивирусы будут грязно ругаться - дескать, вирусов тьма. Данный способ очень хорошо срабатывает - проверено лично.
Это, своего рода, тест на ложное срабатывание. Многие антивирусы на этом обламываются.

Andrey
25.12.2004, 17:50
Тестирование антивирусов вещь очень и очень субъективная.
Лично я больше доверяю тестам AV-Test Org. и ICSA Labs (хотя последней в меньшей степени), т.к. данные организации, дополнительно при тестированиию, используют зоовирусы - лабораторные вирусы (в жизни, не встречающиеся и AV программам не известны).

29.12.2004, 11:02
У КАВ срывало раньше крышу с 1С, когда 1С отркывала оновременно болье 3-х сотен файлов.
Потом вылечили это беду. Но КАВом я пользоваться все равно не стал. NAV менее глючен, хотя есть проблемы пр проверки скриптов. Багует OLE в Access при включении проверки скриптов и не всех троянов ловит.
Но сокрость работы монитора на порядок выше чем у КАВ.

27.01.2005, 20:28
8.1. Начнём с того, что часть «зверей» скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких «зверей». Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах.

назовите plz руткит, способный установится под w2k/XP с запущенным антивирусным монитором, который имеет этот руткит в базе. ???

Geser
27.01.2005, 20:34
назовите plz руткит, способный установится под w2k/XP с запущенным антивирусным монитором, который имеет этот руткит в базе. ???

Имеется в виду что некоторые антивирусы не обнаруживают руткит если он уже установился. Т.е. появился новый руткит, антивирус его еще не знает. Руткит запускается. После этого он может быть добавлен в базу антивируса, но антивирус его всёравно не обнаружит.

08.03.2005, 01:28
Однозначного ответа на вопрос "Какой антивирус лучше" нет,
так как для каждого конкретного Пользователя существуют
свои критерии оценки качества.
Поэтому каждый Пользователь остается с этой проблемой один на один. Только он сам должен принять то или иное решение.
Большинство Пользователей не может, да и не должно, объективно оценить отдельные технические и аспекты функционирования антивирусов.
Но есть один универсальный критерий оценки качества, это усредненная оценка количества антивирусов, используемых
на компьютерах Пользователей.
Чем большее количество Пользователей использует то или иной антивирус, тем он объективно (интегрально) лучше менее используемых. Попытка ответа на представленный вопрос
предпринята здесь:
http://www.antivirus.ru/antivirus.html

SDA
08.03.2005, 02:02
Приведен обновленный рейтинг антивирусов основанных на результатах тестирования антивирусов на платформе Windows NT, которые опубликованы английским журналом "Virus Bulletin" в феврале 2005 года.
Согласно методике оценки антивирусов, высшую оценку "VB100%", получают антивирусы, которые смогли обнаружить все вирусы, входящие в так называемый список "диких вирусов" (WildList)

http://www.antivirus.ru/OknoA.html

SDA
08.03.2005, 02:07
Там же старая статья, но довольно злободневная
http://www.antivirus.ru/Virusny.html

Geser
08.03.2005, 09:34
Но есть один универсальный критерий оценки качества, это усредненная оценка количества антивирусов, используемых
на компьютерах Пользователей.

Совершенно неверно. На западе самым популярным является Нортон, тем не менее это не антивирус, а породия. 8 или 10 процессов в памяти, и полная неспособность ни обнаружить ни удалить большинство троянов и адваря, с обновлениями раз в неделю.

Sanja
08.03.2005, 12:27
зато как не хвали а дрвеб непрошел 3 из 7 тестов

azza
08.03.2005, 14:14
Сравнивая два тестирования, это:
http://itua.info/1452.html
и это:
http://www.antivirus.ru/OknoA.html
- по NOD и UNA, не могу отделаться от убеждения, что тестированию на VB нельзя доверять. Или предварительная утечка тестовых пакетов, или фальсификация результатов. А кто в этих махинациях не участвует, того и валят в "воспитательных" целях.

SDA
09.03.2005, 00:24
Кстати Geser, твоя статья "Как сравнивать антивирусы" пользуется успехом на других форумах http://www.warezok.ru/index.php?s=44ed7e9340bbcefee7d7f97010393339&showtopic=45100
правда помечена,как копирайт. Видел еще на каком-то форуме,забыл, кажется на Кадете.

Geser
09.03.2005, 11:21
Кстати Geser, твоя статья "Как сравнивать антивирусы" пользуется успехом на других форумах http://www.warezok.ru/index.php?s=44ed7e9340bbcefee7d7f97010393339&showtopic=45100
правда помечена,как копирайт. Видел еще на каком-то форуме,забыл, кажется на Кадете.

На Кадете и Кпнемо я сам публиковал. Но с тех пор видел еще на нескольких порталах и форумах перепечатывали :)

ZDM
02.07.2005, 00:23
А как насчёт замутить такое себе тестирование антивирусов от Geser или что то подобное, с учётом описанных выше методик и т.п.? А то ведь ругать чужие тесты все горазды, а вот как насчёт сделать грамотный тест?
Только так что бы всё честно: коллекция не притянутая к какому бы то нибыло антивирю, цифры честные, всё согласно методике. Тогда можно будет не голословно спорить о преимуществах того или иного антивируса.

pig
02.07.2005, 00:54
См. Комплексное тестирование от Олега Зайцева. Вполне тянет на брэнд.

ZDM
02.07.2005, 01:14
Ссылочку в студию!
Или речь идёт о тестировании софта для тестирования Adware и прочего *ware?

Geser
02.07.2005, 11:36
А как насчёт замутить такое себе тестирование антивирусов от Geser или что то подобное, с учётом описанных выше методик и т.п.? А то ведь ругать чужие тесты все горазды, а вот как насчёт сделать грамотный тест?
Только так что бы всё честно: коллекция не притянутая к какому бы то нибыло антивирю, цифры честные, всё согласно методике. Тогда можно будет не голословно спорить о преимуществах того или иного антивируса.
Я никого не критиковал. Я высказал своё мнение о правильной методике сравнения.
Провести тестирование сам я не могу, потому что нет времени. Хотя внешне это может быть не заметно, но администрирование форума берёт не мало времени, а кроме этого есть работа и жизнь.
Я уже публиковал исследование антивирусов на знание паковщиков, и качество эмулятора. Кроме того публикую тут http://virusinfo.info/showthread.php?t=2582 результаты проверок новых зверей. Конечно это не претентует на объективность и полноту охвата, но может быть одним из критериев оценки. И это максимум из того что я могу сделать на данный момент.

RiC
02.07.2005, 12:33
Ссылочку в студию!
Тут-же на форуме тестирование Anti Adware (http://virusinfo.info/showthread.php?t=2528) в соседнем разделе.

ZDM
02.07.2005, 23:51
Я никого не критиковал. Я высказал своё мнение о правильной методике сравнения.
Не воспринимай это лично на своё счёт. Как правило это дело коллективное. Я ещё не видел ни одного теста, который всех удовлетворил бы :P Но при этом куча обоснованных методик, только бери и тестируй. А где же тесты по этим методикам ?


Тут-же на форуме тестирование Anti Adware в соседнем разделе.
Не считается, это не тестирование антивирусов. 8)

Geser
03.07.2005, 08:55
Не воспринимай это лично на своё счёт. Как правило это дело коллективное. Я ещё не видел ни одного теста, который всех удовлетворил бы :P Но при этом куча обоснованных методик, только бери и тестируй. А где же тесты по этим методикам ?

Теста который всех удовлетворит не существует в природе. А почему все крупные тесты проводятся на древних коллекциях? Ну наверное потому что так проще.

Гость
14.10.2005, 16:04
NAV менее глючен, хотя есть проблемы пр проверки скриптов. Багует OLE в Access при включении проверки скриптов и не всех троянов ловит.
.

как наладить OLE в Access??? у нас Symantec Corp 10.

IlyaOS
20.10.2005, 22:34
С критериями оценка антивирусов, приведенными здесь согласен, но я бы обязательно обращал внимание на детекшн spyware и все к этому относится adware, dialers и т.д. + rootkits.
Сейчас этой дряни столько развилось, что без этого просто уже нельзя, часто лучше уж червя пропустить, чем кто-то у тебя важную инфу скомуниздит.

Все приличные антивирусные вендоры: Symantec, McAfee, Trend Micro, Panda, Лаборатория Касперского и даже Доктор Веб имеют у себя базы spyware и в той или мной степени умеют их детектить.

К сожалению, пока нет результатов тестов на spyware и в ближайшее время не будет, так что тут придется ориентироваться на собственный опыт и пробовать разные продукты. У меня нарпимер на компе, стабильно после проверки одним ативирусом другой находит еще какую-нить spyware.

Кстати простейший способ сравнить продукты и убедиться в их эффективности попробовать различные on-line сканеры, вот тут есть список и их сравнение:

http://www.anti-malware.ru/index.phtml?part=survey&surid=online_scanners

+ незабывайте про предотвращение вторжений (Intrusion Detection, часто это просто поведенческий блокиратор), это тоже уже есть во всех уважающий себе продутах, и является неотъемлемой составляющей современной проактивной защиты.

Илья, Anti-malware.ru

Iceman
20.10.2005, 23:16
.................
Все приличные антивирусные вендоры: Symantec, McAfee, Trend Micro, Panda, Лаборатория Касперского и даже Доктор Веб имеют у себя базы spyware и в той или мной степени умеют их детектить.

К сожалению, пока нет результатов тестов на spyware и в ближайшее время не будет, так что тут придется ориентироваться на собственный опыт и пробовать разные продукты. У меня нарпимер на компе, стабильно после проверки одним ативирусом другой находит еще какую-нить spyware.

Кстати простейший способ сравнить продукты и убедиться в их эффективности попробовать различные on-line сканеры, вот тут есть список и их сравнение:
.....................................


Если несложно, перечитайте, пожалуйста, раздел:
http://virusinfo.info/showthread.php?t=2528 (Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик). А также можно по списку все темы. Поверьте, много интересного.......
Удачи.

Зайцев Олег
21.10.2005, 07:59
Если несложно, перечитайте, пожалуйста, раздел:
http://virusinfo.info/showthread.php?t=2528 (Комплексный сравнительный анализ антиSpyWare - подбор "кандидатов" и выбор методик). А также можно по списку все темы. Поверьте, много интересного.......
Удачи.
И (или) можно еще почитать КомпьютерПресс №10 - там моя статья по тестированию антиспайверов "Тестирование AntiSpyware-программ" по мотивам этих тестов - только с кучей графиков и диаграмм.

Гость
21.10.2005, 10:51
Спасибо за ссылку, на самом деле очень ценная инфа, работа была продела большая
Почему не публикуете это в отдельной статье?
Было бы удобнее читать и ссылаться на нее.


И (или) можно еще почитать КомпьютерПресс №10 - там моя статья по тестированию антиспайверов "Тестирование AntiSpyware-программ" по мотивам этих тестов - только с кучей графиков и диаграмм.

Можно ли кстати, использовать результаты вашего теста со ссылкой?
На самом деле этомногим будет интересно я думаю.

Geser
22.10.2005, 11:28
Можно ли кстати, использовать результаты вашего теста со ссылкой?
На самом деле этомногим будет интересно я думаю.
С активний ссылкой можно использовать всё

NightKnight
09.03.2007, 22:10
Выскажу пару соображений по данной теме (сравнению антивирусов).

На мой взгляд (взгляд рядового пользователя), необходимо добавить еще два важных с практической точки зрения критерия оценки антивирусов в дополнение к тем, которые назвал Gaser

+скорость обновлений и их объем. Ведь у пользователя может быть мощный компьютер, но очень медленный интернет (из-за технических особенностей местности, отсутствия ADSL, старых телефонных линий и т.д.).
Для нескольких моих друзей и знакомых эта проблема является весьма актуальной.

+ совместимость антивирусов между собой. Необходимость совместного использования антивирусов выходит за рамки обсуждения данной темы, можно обсудить это в отдельной ветке, если кого-нибудь заинтересует. Скажу лишь, что, по моему мнению (находил немало схожих точек зрения на различных форумах) на компьютере должны стоять несколько антивирусов для периодических проверок.

Поэтому совместимость их друг с другом становится значимым критерием: некоторые антивирусы при установке отказываются инстоллироваться, требуя удаления с компьютера других антивирусов, что делает невозможным их включение в систему защиты компьютера. Поэтому, чем более неприхотлив антивирус с этой точки зрения, тем выше его ценность для пользователя.

Исходя из вышесказанного, мне представляется, что если кто-либо задастся целью разработки технологии оценки антивирусов, то он должен не просто проранжировать программы по убыванию их эффекта, а разделить их на несколько групп по системным требованиям и скорости интернета. Уже в рамках каждой категории ранжировать по техническим характеристикам.

Кроме того, очень интересно было бы рассмотрение систем (комбинаций) антивирусов (т.е. нескольких одновременно установленных программ на одном компьютере), с точки зрения интегральных характеристик их защиты, хотя я понимаю, что на практике сделать это крайне трудно, так как для этого понадобится, например, оценить совокупную базу сигнатур, скажем, KAV, NOD и BitDefender с учетом различных классификаций (у каждой лаборатории своя, насколько мне известно) и повторяющихся вирусов.

В любом случае, даже анализ совместимости антивирусов, уверен, представлял бы большой интерес для многих пользователей. Тем более, что в интернете информации об этом крайне мало.

Edit: как вы думаете, насколько благосклонно относятся разработчики антивирусов к совместному их использованию пользователями? Ведь если они в этом НЕ заинтересованы, то обсуждение данного вопроса на публичных форумах может быть нецелесообразным, чтобы авторы не исправили свои антивирусы таким образом, чтобы восприпятствовать их совместному использованию.

drongo
09.03.2007, 22:37
Уважаемый NightKnight, не нужно делать себе и другим лишних проблем . Уже много писали про это и микрософт и Гесер тоже :) нельзя устанавливать несколько активных мониторов на одном компьютере . Сканеров, хоть несколько десятков (Даже если вы не заметите конфликта , он всё равно когда нибудь , извините за выражение"накроет медным тазом " ваш компьютер. Если уж очень хочется экспериментов, пользуйтесь много-движковыми антивирусами, там по крайней мере теоретически не должно быть конфликтов.

NightKnight
09.03.2007, 22:45
Уважаемый Drongo, я не говорю о нескольких активных мониторах. Мой опыт показывает, что вирусы, которых не видят одни антивирусы, видят другие. Выбрать какой-то один означает положиться на авось (что он не пропустит вирусов). Что касается того, что несколько установленных сканеров когда-нибудь "накроют медным тазом " компьютер - так ведь и несколько пропущенных вирусов могут накрыть компьютер, или, что еще неприятнее, сидеть на нем годы и шпионить за пользователем. Я понимаю, что даже 10 антивирусов не дают 100% гарантии. Но почему бы и нет, если ресурсы компьютера позволяют.

drongo
09.03.2007, 22:57
Ок, но простые пользователи этого не поймут :) Давайте подведём итог :вы хотите чтобы в тестах был столбик "возможна ли установка отдельных компонентов" (например только сканера )или нет.Так я тоже за :)

NightKnight
09.03.2007, 23:09
Ок, но простые пользователи этого не поймут :) Давайте подведём итог :вы хотите чтобы в тестах был столбик "возможна ли установка отдельных компонентов" (например только сканера )или нет.Так я тоже за :)
Не только столбик, но и более подробная информация о совместимости.
По поводу простых пользователей - я сам простой пользователь. Но в принципе вы, наверное, правы. Я слышал что лишь процентов 15 пользователей (за точность цифры не поручусь, но значительно меньше половины) выбирают антивирус по техническим характеристикам, а по известности, рекламе и т.п.

nfs911
26.04.2008, 19:21
Очень полезная инфа!

Shredinger
24.05.2008, 17:55
Я вот только одного не пойму, почему монитор DrWeb когда находит вирус и спрашивает какую команду выполнить, то когда даешь команда удалить или переместить, выирус все равно заражает комп! Приходится звать на помощь Хелперов.
Хочу спросить: можно ли установить два антивира на один комп, например чтоб только сканером был DrWeb, а монитором Kaspersky?

senyak
24.05.2008, 18:21
Хочу ответить: Лучше скачать Dr.Web CureIt! и обновлять с помощью NOD32 Update Viewer. В этой программе может его и скачать кстати. Еще можно установить BitDefender AntiVirus 10 Free - тоже сканер и безплатный

zerocorporated
24.05.2008, 20:04
Я вот только одного не пойму, почему монитор DrWeb когда находит вирус и спрашивает какую команду выполнить, то когда даешь команда удалить или переместить, выирус все равно заражает комп! Приходится звать на помощь Хелперов.


Антивирус и хэлпер разные методы применяют. Хэлпер применяет мозг и метод "Ковровой бомбардировки", а антивирус сигнатуры и эвристический анализ.


Хочу спросить: можно ли установить два антивира на один комп, например чтоб только сканером был DrWeb, а монитором Kaspersky?

Обычно антивирус устанавливает в систему компоненты для контроля за системой, эти компоненты очень часто продолжают работу даже после завершения работы процесса антивируса.

Работают по принципу: Программа -> компонент антивируса -> система.
Установка нескольких антивирусов приводит к установки нескольких компонентов разных антивирусов - это во первых ведет к уменьшению скорость, а во вторых - некто не может гарантировать что эти компоненты хорошо ладят между собой.

SDA
24.05.2008, 21:08
На старых версиях лично у меня все прекрасно работало - 5-ка Касперского мониторил, а DrWeb 32 был сканером, кроме того DrWeb работал в связке с Адинфом и сканировал натравленный Адинфом на изменившиеся файлы. Но в новых версиях конфликт драйверов антивирусов обеспечен.

Shredinger
26.05.2008, 17:38
У меня кстати раньше так и было, правда антивирус был один Касперски 5про, а в качестве сканера использовал Кюреит, но ща скачивать каждый раз обновленную версию не возможно, инет слишком дорогой.

Mr_Kiss
29.12.2008, 19:58
4. Поддержка всевозможных паковщиков и крипторов.

В нашей компании данный параметр имел решающее значение при отказе от Symantec Antivirus
При всем удобстве работы в большой сети, этот антивирус просто пропускал безумное кол-во вирусов, спрятанных паккерами.
А когда на компе запускали CureIT, который заспаковывал какой-нить зараженный файл, Симантек радостно сообщал, что он обнаружил вирус и его прибил...

К совместимости антивирусов: желательно, чтоб производители Антивирусов бесплатно распространяли утилиты а ля CureIt. Скачал, запустил, вылечил, забыл на время...
А выбор основного Антивируса трудное дело каждого...

asd090
25.05.2009, 19:59
Хочется иметь возможность сравнить антивирусы самостоятельно. Но я так понимаю, что собстенную колекцию живых зловредов никто не даст. Может есть колекцмя файлов с разными сигнатурами?

sHo0t3rOk
02.06.2009, 19:55
подскажите плизз! какой антивирус лучше поставить только чтоб он был бесплатен !!!

OSSP2008
02.06.2009, 21:02
подскажите плизз! какой антивирус лучше поставить только чтоб он был бесплатен !!!
ЛУЧШЕГО антивируса не существует :(
http://virusinfo.info/showthread.php?t=2672