Показано с 1 по 12 из 12.

Как сравнивать антивирусы

  1. #1
    Geser
    Guest

    Как сравнивать антивирусы

    Просто для затравки перепечатываю свою старую статью
    Как сравнивать антивирусы

    Уже не один год не утихают споры о том, какой антивирус лучше, однако проблема в том, что большинство спорящих не имеют понятия, по каким параметрам стоит сравнивать антивирусы. В связи с этим я хочу поделиться своим взглядом на критерии оценки антивирусов. Комментарии и дополнения приветствуются.

    Пояснения:
    1. Поскольку существует множество видов вредоносных программ, для того что бы каждый раз не писать длинные пояснения, там где не имеет значения конкретный тип вредоносных программ, я буду употреблять слово "зверь"
    2. Сравнение антивирусов не является целью данной статьи, поэтому, несмотря на то, что я буду приводить в пример конкретные антивирусы, все примеры просьба рассматривать именно как абстрактные примеры.
    3. Это не реклама антивируса Касперского или ДрВеб. Просто привожу в пример антивирусы которые знаю лучше других.

    Итак, критерии оценки антивирусов:

    1. Количество известных "зверей".
    Часто можно встретить фразы типа "Касперский лучше чем ДрВеб, потому что Касперский знает 100000+ "зверей", а ДрВеб 60000+". На самом деле не всё так просто. Число, публикуемое антивирусными компаниями - это не количество известных "зверей", а количество записей в базах антивируса. При этом при помощи одной записи антивирус может определять несколько разновидностей "зверя", и даже несколько разных "зверей". Поэтому нет прямой связи между количеством записей в базах антивируса и числом "зверей" которые антивирус определяет.

    Кроме того, даже сами разработчики не знают точно сколько "зверей" определяет их антивирус, поскольку запись, добавленная для определённой модификации "зверя", может определять и новые модификации, которые разработчики могли даже не видеть.
    Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.

    2. Тесты на коллекциях "зверей".
    Казалось бы - всё просто. Берёшь коллекцию "зверей", и сравниваешь, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?
    2.1 Вопрос - как собиралась коллекция. Допустим у меня стоит КАВ, и всех "зверей", которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КАВ найдёт всех "зверей", а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КАВ лучше всех остальных антивирусов.
    Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КАВ, то можно получить некоторое представление об остальных антивирусах.
    2.2 Дополнительная проблема в том, что считать "зверем", а что нет. К примеру, КАВ с расширенными базами считает "зверем" adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как ДрВеб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КАВ найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных "зверей" он тоже будет в 2 раза лучше.
    Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше.
    Так что тесты на коллекциях "зверей" не дают полной картины, и не являются надёжным критерием надёжности антивируса

    3. Скорость реакции на новых "зверей", т.е. количество времени с момента появления "зверя", до того момента когда антивирус начинает его обнаруживать.
    Рассмотрим такую ситуацию. На официальном сайте NAV заявлено, что обновления выходят раз в неделю. На оффсайте КАВ заявлено, что обновления выходят каждый час. Предположим что оба утверждения соответствуют истине. Теперь представьте себе, что кул хацкер Вася Пупкин написал вирус, который через 3 дня после заражения компьютера уничтожает всю информацию на диске, и выложил его на сайте кряков под именем Norton Antivirus 2005 crack.exe. Это даёт гарантию, что за пару дней сотни, если не тысячи, человек его скачают и запустят. Несложно понять, что в такой ситуации пользователи NAV практически гарантированно потеряют всю информацию на дисках, а у пользователей КАВ есть неплохие шансы обнаружить и удалить вирус до того, как он успеет что-либо сделать.
    Отсюда ещё один недостаток сравнительных тестов, основанных на коллекциях "зверей". Понятно, что в коллекции большинство "зверей" довольно старые, и никакой разницы между антивирусами, у которых высокая скорость реакции и теми, у которых низкая, нет. На деле же антивирусы с высокой скоростью реакции намного более надёжны.
    Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых "зверях"?
    Какое-то количество "зверей" разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых "зверей" играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. По этому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.

    4. Поддержка всевозможных паковщиков и крипторов.
    Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду.
    Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального.
    Т.е. берём "зверя", который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность "зверя" сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, которым упакован "зверь", то для него файл теперь стал чистым.
    Хочу сказать, что паковка и шифрование "зверей" - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее, и тем сложнее вирусописателю спрятать от него "зверя".
    С другой стороны, чем больше пакеров и крипторов знает антивирус, тем медленнее он работает (к примеру, это одна из причин медленной работы КАВ, который на сегодня лидирует по количеству поддерживаемых пакеров/крипторов). Так что если Вы нашли антивирус, который быстро работает, скорее всего его надёжность оставляет желать лучшего. Конечно, выбор между скоростью и надёжностью - личное дело каждого.

    5. Эмулятор
    О наличии эмулятора у антивирусов скорее всего мало кто слыхал. Что же это такое?
    Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями, чтобы спрятать "зверей" от антивирусов. Понятно что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.
    Понятно так же и то, что наличие эмулятора не увеличивает скорость работы антивируса. Опять же - или скорость, или безопасность. Насколько я могу судить, хорошими эмуляторами обладают ДрВеб, NAV и КАВ.

    6. Эвристический анализ
    Многие о нём слыхали, но не уверен, что все понимают, что это такое.
    Для начала стоит понять, как вообще антивирус находит "зверей". А делает он это просто. Для каждого "зверя" находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий "зверь". Понятно что для того, чтобы сигнатура появилась в базе антивируса, сначала этот "зверь" должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления "зверя". Эвристический анализ работает по другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для "зверей". Таким образом можно обнаружить "зверей", которые никогда не попадали вирусным аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующх антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных "зверей". К тому же, чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания. Примером может служить ДрВеб, у которого с одной стороны хороший эвристик, а с другой - куча ложных срабатываний. Хотя в последней версии ложных срабатываний стало поменьше. Скорее всего за счёт худшения чувствительности эвристика. Довольно неплохой эвристик был разработан специалистами антивирусной компании "ВирусБлокАда". Возможно лучший из существующих на данный момент.

    7. Корректное лечение вирусов.
    Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.

    8. Работа на зараженной системе.
    Если с обнаружением неактивных "зверей" всё более-менее просто, то с обнаружением и удалением активных (работающих) "зверей" всё намного сложнее.
    8.1. Начнём с того, что часть "зверей" скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких "зверей". Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах.
    Для обнаружения таких зверей используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб).
    8.2. Другая часть "зверей" при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таком попыткам. Например завершить процесс КАВ дело весьма не простое, и по зубам далеко не любому "зверю". ДрВеб работает на уровне драйвера, и завершение его процесса не приводит к прекращению антивирусного мониторинга.
    8.3. Удалить с диска файл активного "зверя" - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить "зверя", но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.

    9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.
    Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики КАВ и ДрВеб обычно отвечают в течении суток - и в случае, если файл является "зверем", и в случае, если он чист. Вирусные аналитики многих других фирм вообще никогда не отвечают на письма с подозрительными файлами. Так что Вам останется только мучаться подозрениями бессонными ночами

    10. Отсутствие ложных срабатываний
    Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление "зверей". Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы. К сожалению относительно высоким количеством ложных срабатываний страдает ДрВеб, хотя в последних версиях есть некоторые улучшения в этом плане.

    11. Стабильность работы и отсутствие конфликтов с другими программами.
    Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться со "зверями", перехватывают многие системные функции. Это может привести к всякого рода конфликтам с другими программами.
    К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся со "зверями" благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов.
    Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными "зверями" (в случае, если по какой-то причине они будут запущены).

    12. Загрузка системы
    Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Гость
    Guest
    в принцепе с доводами согласен, но это все чисто теоретически...
    самый надежный способ по-моему: известный "зверек"+hex-редактор+набор сравнивеамых антивиросув+небольшие знания ассемблера. эта звязка даст самые надежные так сказать "боевые" результаты к котроым уже можно пристегнуть изложенные вами методы оценки.
    потому как опыт показывает, что виртуальные машины у большинства антивирей либо отсутсвуют либо находятся впротивозачаточном состоянии, а эвристический анализ в большинстве случаев обходится применением элементарных антиотладочных приемов....
    и после таких сравнительных тестов становится очень грустно и тоскливо...
    это гораздо надежний любых рекламных заявлений производителей, по крайней мере точно узнаешь возможности антивиря

  4. #3
    Geser
    Guest
    Цитата Сообщение от Гость
    потому как опыт показывает, что виртуальные машины у большинства антивирей либо отсутсвуют либо находятся впротивозачаточном состоянии, а эвристический анализ в большинстве случаев обходится применением элементарных антиотладочных приемов....
    Тем не менее, в последнее время в некоторых антивирусах эвристики показывают неплохие результаты на зверьках из дикой природы. Это можно заметить тут

  5. #4
    Гость
    Guest
    Цитата Сообщение от Гость
    известный "зверек"+hex-редактор+набор сравнивеамых антивиросув+небольшие знания ассемблера. эта звязка даст самые надежные так сказать "боевые" результаты к котроым уже можно пристегнуть изложенные вами методы оценки.
    Да и.. поэтому я выбираю.. McAfee Antivirus из MIS 8.0 ))
    ибо.. к oep он не привязывается.. как к сигне.. Тока проверяет на пакованность.

  6. #5
    Geser
    Guest
    Цитата Сообщение от Гость
    Да и.. поэтому я выбираю.. McAfee Antivirus из MIS 8.0 ))
    ибо.. к oep он не привязывается.. как к сигне.. Тока проверяет на пакованность.
    А можно попонятнее?

  7. #6
    Гость
    Guest
    Ну в смысле. что например KAV определяет вирус тока по последовательности байт, начинающихся от Entry Point
    достаточно сделать редирект ep и всё.. KAV дохнет, т.е. ниче не видит.
    У McAfee сигна где то в ресурсах .rsrc, её сложнее найти..
    поэтому макфа лучше детектит.. вири.., и эвристик тож.. неплох.

  8. #7
    Geser
    Guest
    Цитата Сообщение от Гость
    Ну в смысле. что например KAV определяет вирус тока по последовательности байт, начинающихся от Entry Point
    достаточно сделать редирект ep и всё.. KAV дохнет, т.е. ниче не видит.
    У McAfee сигна где то в ресурсах .rsrc, её сложнее найти..
    поэтому макфа лучше детектит.. вири.., и эвристик тож.. неплох.
    Я когда-то игрался с AVSpoofer, он вроде точку входа меняет. КАВ отлично после него всё видел.
    А эвристик у Макафи действительно получше. Хотя неизвестно сколько ложных срабатываний он даёт.

  9. #8
    Гость
    Guest
    Цитата Сообщение от Geser
    Я когда-то игрался с AVSpoofer, он вроде точку входа меняет. КАВ отлично после него всё видел.
    А эвристик у Макафи действительно получше. Хотя неизвестно сколько ложных срабатываний он даёт.
    AVSpoofer уже давно спалился, поэтому кав его видит..
    если сделать редир.. ep
    потом что то например:
    mov eax, OEP
    add eax, 1
    dec eax
    jmp eax
    KAV на этом дохнет сразу..
    Макфа.. рулит ..

  10. #9
    Гость
    Guest
    Кстате.. че за извращенский эмулер у VBA32?.. кто нить смотрел..?

  11. #10
    vegas
    Guest
    СОВЕРШЕННО ВЕРНО!! по поводу как тесить и по поводу мкафея в частности

  12. #11
    AndrewASB
    Guest

    Про VBA32 и не только

    Собрался потестить корп. антивирусы (теперь это будет регулярно и теперь пока собираю и см. сабж). Пока думаю смотреть: Nod32 EE, Panda EnterpriSecure Antivirus с технологиями TruPrevent, McAfee (пока не сказали, что они дадут мне конкретно), Dr.Web корпоративный, Norton Antivirus Corp 7.6, Symantec Antivirus Corp 9 и 10. И отдельно возьму VBA32 корпоративный. У них уж скоро будет коробочная версия, но продавать будут за бугром.
    По выбору АВ комментирую:
    В целом я согласен с автором. Пожалуй стоит добавить, что антивирус нужно выбирать, также, с учетом реальных угроз. Если человек никогда ничего не устанавливает и софта, пользуется лицензионным софтом и только в инет лазит и и прог-игрушек не качает – тут NOD32 – само то. Важно учитывать «местные» угрозы. Например, вирус W32.Neshuta, он же Neshta (бич неграмотных админов АВ защиты). Очень важный момент – это оплата за использование антивируса. Не очень то хочется каждый год отстёгивать КАВу или НОДу за возможность обновляться. Помочь тут может использование корпоративного клиентского антивирусного ПО. Например, Symantec Antivirus Client (не путать с Norton Antivirus – они все же отличаются) пить – есть не просит, обновляется как через интернет, так и через общедоступный exe – файл с базами. Имеет неуправляемый режим работы – т.е. можно и дома установить. Насчет реакции на новые вирусы – добавлю, что большинство компаний все же работает с легальными клиентами. Например, тот же Symantec. Отсылал вирусы и получал обновления. У Panda это технология Tru Prevent? (корпоративная). У Mc Afee? тоже можно отослать зараженный файл – http://www.mcafee.ru/products/.

    У корпоративного АВ к набору свойств добавляются еще и другие параметры – управление, контроль, удаленная установка, способы обновления баз и их простота, альтернативность (Symantec, например, кидаешь в папку, где он установлен, скачанный с фтп *.xdb файл и все – больше делать ничего не нужно) и т.д. и т.п. Например, мне важно, что я вижу, что творится на АВ сервере за 400 км от меня, могу оказать помощь тамошним админам или взять управление на себя. И обновления им шлет (методом микрообновлений) мой сервер непосредственно

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от AndrewASB
    Собрался потестить корп. антивирусы
    Хотелось бы пообщаться по данному вопросу, оставьте координаты или зарегистрируйтесь на форуме

Похожие темы

  1. exe и антивирусы.
    От bo-buin в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.08.2010, 20:33
  2. Антивирусы
    От coderzs в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 11.11.2009, 20:24
  3. Как сравнивать антивирусы
    От Geser в разделе Антивирусы
    Ответов: 51
    Последнее сообщение: 02.06.2009, 21:02
  4. Ответов: 7
    Последнее сообщение: 15.04.2009, 13:55
  5. Антивирусы для PDA
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 6
    Последнее сообщение: 16.07.2008, 23:25

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00565 seconds with 16 queries