VBA32 vs DrWeb

[serge (guest)]

Данный ключ не использовался.
/heuristics_test /M=3 /RW /FC- /FD- /FR- /BC- /HA=2 /MR- /BT- /AS- /OK /AR /VM /r=

Читаем экран подсказки, который выдает программа:

Код:

┌─────────────────────────────────────────────────────╖
│           VirusBlokAda (Console scanner)            ║
│ Vba32 Windows/CL 3.10.5 beta / 18.08.2005 (Vba32.W) ║
│         Copyright (c) 1993-2005 by VBA Ltd.         ║
╘═════════════════════════════════════════════════════╝
User: Official beta tester
License #000000119 Valid till 30.09.2005
...
/?[+|-]        - show help screen;
/M=1           - fast check mode;
/M=2           - optimal check mode (/AF+);
/M=3           - thorough check mode (/AF+ /PM+);
/AF[+|-]       - all files;
/PM[+|-]       - thorough check mode (VERY slow);
...

То есть ключ /PM на самом деле все же использовался (он включается автоматически при задании /M=3). Согласен, возможно нужно пересмотреть логику настройки параметров сканирования ключами командной строки, чтобы избежать подобных недоразумений. Но обычно консольным сканером пользуются "продвинутые" пользователи. Больше ни у кого подобных проблем пока до сих пор не возникало, будем принимать к сведению и посмотрим, что можно сделать.

Еще на быстродействие проверки влияет уровень настройки эвристики: /HA=0 (отключена) и /HA=1 (оптимален) - самые быстрые режимы с примерно одинаковым быстродействием, /HA=2 (максимален) - работает медленнее, ловит больше, /HA=3 (избыточен) - работает еще чуть медленнее, плюс заметно выше вероятность ложных тревог. Далее, судя по логу сканирования, у Вас в 'Program Files' довольно много архивов, возможно это сказалось на скорости сканирования (но это, конечно, не причина работать заметно медленнее, чем DrWeb, будем разбираться). В любом случае спасибо за предоставленную информацию.

Обнаруженные подозрительные файлы пришлите нам на [email protected] в архиве с паролем (heuristics-test.bat из пакета консольного сканера автоматически запаковывает найденные подозрения в архив susp.zip с паролем virus). В течение дня-двух (учитывая, что сейчас выходные), все ложные тревоги эвристика будут исправлены.

Кстати, может быть огласите список ложных тревог? Насколько я понимаю, это всего 5 строк отчета по результатам последнего тестирования.

Спасибо за интерес к нашему антивирусу, надеемся на дальнейшее сотрудничество.

[Iceman]

Не понятно как у вас со Спайдером получились такие результаты. У меня все не так. Распаковал трояна из архива:
Спайдер выдал предупреждение, я нажал "Лечить":
20-08-2005 19:55:18 E:\Новая папка\kenguuru\kenguuru.jpg .exe инфицирован BackDoor.Pyand - удален

Пришлось отключить Спайдера, распаковать архив и запустить троян.
Стали выскакивать сообщения, о том что троян записывается то в System32, то в ...Автозагрузка\
Я нажимал Лечить пока не надоело, затем снял задачу трояна.
В реестре троян напакостил, а машину не заразил.

Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.

[Alexey P.]

Чего вы расшумелись, непонятно.
Да, VBA вполне уже неплох, хороший антивирус. Главное их преимущество - лучший, имхо, в мире на настоящий момент эвристик плюс эмулятор, позволяющий распаковывать многие новые крипторы и паковщики, неизвестные программе. Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.

Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием, малый размер баз и их дополнений. Плюс в последние полгода - здорово улучшена работа вирус-лаба, их тикеты и ответы я приводил вот тут:
http://virusinfo.info/showpost.php?p...&postcount=304 Если кому интересно, могу показать вчерашние, картина примерно та же.
Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе. И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.

Дрвеб у меня прекрасно работает (с монитором) и на старом 486 компьютере с 16 мб RAM - железка специальная, коммутатор транкинговой базовой станции, замена в ближайшие несколько лет на более мощный вряд ли будет, т.к. его вполне хватает. Другой антивирус оно вряд ли вообще потянет, а антивирусную защиту по документации производителя я должен обеспечить сам, раз уж подключил в корпоративную сетку - мне так удобнее, для постоянного контроля за его работой с другого компьютера.

Плюсы дрвеба легко видны на примере DrwebCureIT - а это полный виндовый сканер с графическим интерфейсом, не консоль. Аналогов, имхо, нет.

У команды дрвеба явно есть проблемы, но, надеюсь, все это не приведет к печальным результатам. Во всяком случае, они прилагают к этому все силы, и я, как старый их пользователь, постараюсь им помочь. А не пинать, как некоторые. Другого такого же антивируса нет и, похоже, не будет.

[Alexey P.]

Уточняю: сначала производилось заражение (при отключенных/выгруженных мониторах). Далее, комп перезагружался и начиналось веселье ;-)).
Я даже намекну - оптимальный режим спайдера, будь он неладен..... Не проверяются файлы, которые уже записаны на диск....
Т.е. мысль такая - поведение монитора на уже заражённой машине после обнаружения заразы.

Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)

[Iceman]

Дрвеб очень здорово настраивается, Вы сами ставите тот режим, какой нужен. Раз уж зараза работает - велкам ту безопасный режим, проверка сканером. Смотря что словили.
Имхо, не мне Вас учить - защита должна быть комплексной, нельзя полагаться на один только антивирус. Это "последний рубеж обороны", и плохо, если он единственный. Нужен и файерволл, и прокси, и почтовый сервер с антивирусом, это все не для баловства сделано (и неплохо работает, кстати говоря. Сквид+дрвеб у меня работает уже больше года - хорошая штука.)

Алексей, я согласен с Вашими доводами. Но своим примером я показал, что может ждать пользователя, когда он не владеет хотя бы базовыми навыками. Да и гости подстегнули своими заявлениями ;-). Мысль, заложенная в полемику (с моей стороны во всяком случае) - нет смысла кричать о крутости и превосходстве, когда многие моменты не реализованы втечение долгого уже времени. При наличии у конкурентов ничуть не худших решений. Это мне напоминает одно знаменитое выражение прошлых лет (Москвичи наверняка поймут меня ;-)))) - "Нашим абонентам этого не нужно" (с)

[serge (guest)]

Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.

Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)

[saicat]

Но потребление ресурсов и размер баз почти на уровне KAV, тут плюс один - VBA дешевле.

Позволю себе возразить Потребление ресурсов сканером, имхо, не так уж и критично. Обычно сканер запускают на ночь ну или, по крайней мере, на обеденный перерыв. Оно и не может быть низким - это будет означать лажовую эвристику и отсутствие какого бы то ни было эмулятора.

Все это вместе дает одну очень сильную вещь - дрвеб до сих пор способен нормально работать на старом парке машин, коих в нашей России еще тьма тьмущая, особенно в корпоративном секторе.

VBA32 отлично работает и на iP100. Только не нужно на таких машинах увлекаться высоким уровнем эвристика. Кроме того, если пользователь мало-мальски грамотен и время от времени пользуется сканером, то в мониторе VBA можно включить опцию "Проверять только новые файлы". Тогда вообще проблем с "тормозами" не должно быть.

И обновления легко переносятся дискеткой. Вчерашний daily.udb у беты VBA - 5*010*008 байт, это уже круто. Такое качать 24 раза в сутки - неслабо получится даже для сетки, не говоря уж о диалапе. Правда, столько обновлений пока еще и не бывает, а жаль.

Кто в наше время носит обновления дискеткой? Несколько раз в день?

Ну, а размер daily.udb пусть вас не смущает. VBA пользуется Delta (бинарным) Patching'ом, так что размеры обновлений вполне устраивают даже диалапщиков. Качается лишь малая часть этого файла. Это я говорю, как человек, который отвечает за немецкое зеркало обновлений VBA32. Мы знаем, сколько у нас здесь пользователей и сколько траффика потребляется серверами при ежечасных проверках обновлений со стороны клиентов. Жить вполне можно

[Geser]

Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием

Хоть это тривиально и не раз писалось, но это реальность. Переведи спайдер из оптимального режима в режим проверки файлов при открытии (а именно такой режим по умолчанию у ВБА) и посмотри что будрт. У меня он подвешивал АМД 2600+ с RAID 0. А если у ВБА включить режим проверки только при записи и изменении то будет он так же незаметен как и ДрВеб. Так что тут они равноценны.

[Гость]

Где у веба хоть какие-то настройки эвристика? Может вместе поищем?

Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.

[Гость]

Преимуществами дрвеба были и будут - движок на ассемблере, обладающий максимально возможным быстродействием

Это не преимущество, это позор и бельмо, от которого они никак не могут избавиться. Т.к. кроме как на x86 больше ни на чем работать не могут. Они уже чертисколько пытаются переписать этот движок на C, но всё никак... Мдя...

[Geser]

Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.

Это демонстрирует глубокие познания в принципах работы антивирусов

[Iceman]

Что значит - настройки эвристика? У эвристика может быть только одна настройка: вкл/выкл. Нельзя быть немного беременной. Это ненастраиваемо.

Тогда смысл вообще сравнивать эти продукты и слова говорить? У одного нет, у другого есть. Воля, так сказать, разработчиков.
Ещё раз повторюсь, долгое время принцип Вебовцев был - "Нашим абонентам этого не нужно". Жаль :-(((.
Тем более, пример реакции АВ на заражённой машине я достаточно чётко показал. Эвристик участия там не принимал :-))). Сплошные чётко прописанные сигнатуры.

[Iceman]

Сейчас daily.udb уже давно не daily, а фактически кумулятив. Обновляется он с помощью механизма патчей, который пришел на смену выпуску множества мелких апдейтов в виде отдельных файлов (в версии 3.11 файлов .udb с цифровыми именами уже вообще не будет). Размер патча обычно 10K-100K (в зависимости от количества добавленных записей о вирусах, 100K - довольно большой апдейт). Проблема со вчерашним обновлением и попыткой выкачать daily.udb целиком, связана с тем, что произошел сбой при закачивании апдейта на сервер и туда не попали файлы патчей. Сейчас уже все исправлено. К слову, обновление вирусных баз у нас как раз imho реализовано довольно оптимально в плане объема скачиваемых данных и это как раз плюс для пользователей диалапа. Не удивлюсь, если механизм использования бинарных патчей в скором времени начнет использоваться и остальными антивирусами :-)

Однако....
_http://www.wilderssecurity.com/showthread.php?t=91636
"What is the incremental VDF update?

Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."

[serge]

Однако....
_http://www.wilderssecurity.com/showthread.php?t=91636
"What is the incremental VDF update?

Up to now all VDF updates have been made available in one large VDF file. In the future this large VDF file will be split up into one larger base VDF and several smaller VDF files. The large VDF file is usually downloaded only once and then gets updated regularly (daily, weekly, monthly) with smaller VDF files that are only a few hundred KB in size. Thus the size of the VDF as well as the time needed to download the file will be drastically reduced."

Судя по описанию, AntiVir только начинает переходить на технологию, от которой мы уже отказываемся

Если проследить историю обновления антивирусов, то вырисовывается следующая картина (по поводу того, что касается других антивирусов могу и ошибиться, если что - поправьте ):
1. записи о вирусах "зашиты" в код антивируса (пример - aidstest), для поиска новых вирусов нужно заменить exe-шник антивируса
2. записи о вирусах вынесены в отдельный файл, для поиска новых вирусов нужно его скачать целиком (пример - теперешний AntiVir)
3. записи о вирусах разбиты на один большой файл - кумулятив и много мелких - дополнения (пример - KAV, DrWeb, пока еще частично VBA32), для обновления нужно скачать файлы дополнений
4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей (пример - VBA32, но полный переход на эту систему будет завершен в следующей версии).

То есть AntiVir переходит с 2. на 3., мы переходим с 3. на 4.

[polza]

Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик.
А вопрос что лучше что хуже, вопрос сугубо личных предпочтений, как в большинстве своем и работа самого продукта у пользователя зависит сугубо от пользователя. Если у кого то что то падало и в логах продукта этого нет, то сущест. системные логи , журналы в которых все видно. Уж если в них нет, то можно сделать дамп. Если ни чего подобного нам не высылать по конкретной проблеме то врят ли мы вам сможем помочь. Нужно более тесно взаимодействовать и без эмоций. Как уже говорилось примерно все продукты идентичны, каждый нужно настраивать под конкретную задачу, а не установить по умолчанию и кричать продукт дрянь.

[Geser]

Fresh, с данным источником я не знаком и не могу по поводу приведенной в нем информ. ни чего конкретного сказать. Было сказано одна из лучших эвристик.

Значит нужно познакомиться. Конечно легче повторять "у нас самый лучший эвристик" вместо того что бы его совершенствовать. Однако результат этого будет для фирмы плачевным.

[Geser]

Как уже говорилось примерно все продукты идентичны

На такое утверждение сразу напрашивается вопрос, зачем платить больше если эффект тот-же? Если все продукты одинаковые логичнее купить тот что подешевле. Не так ли?

[azza]

4. записи о вирусах опять находятся в одном большом файле, но этот файл обновляется с помощью бинарных патчей

Иными словами с помощью кряков.

[Гость]

Я вот подумал, похоже в последнее время VBA32 делает DrWeb по всем позициям. Эвристик лучше, универсальный распаковщик лучше чем добавление подержки новых пакеров раз в пол года. Какие приемущества остались у ДрВеб?

Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.

[Iceman]

Я пользуюсь Dr.Web уже много лет, и он меня никогда не подводил. Я сравнивал его с другими антивирусами в том числе и сVBA. Ненашел не одного стоящиго, это либо тормоза типа Каспера и Нортона либо те которые не видят ничего. А Dr.Web.- быстрый неприхотливый к ОС и вирусы ищит отлично. Я ставил другие антивири в том числе и VBA и они ничего за пауком не находили, а он за ними частенько.
Я часто посещаю антивирусные форумы и пстоянно вижу как обливают помоями Dr.Web. Народ может хватит обливать паука помоями, причем абсолютно незаслуженно.

Во-первых, никто никого не обливает.... А критика ещё никому не мешала. Выбор АВ - религия, доказано наукой ;-)).
Во-вторых, сравните что сделано на движке Веба: _http://viruschaser.com/enwi/2_01.jsp - описание;
_http://www.viruschaser.com.hk/download/demo/VirusChaserDemo.exe - ссылка на закачку и сравните с тем, что продаётся у нас.... Небо и земля...
В-третьих, каждый выбирает сам для себя по совокупности каких-либо свойств продукта и решает, во что выгоднее вложить деньги.
В-четвёртых, это изначально было всё-таки голосование (с комментариями). Оно (голосование) показало, что явного лидера (или явного аутсайдера) нет.