Где можно найти информацию о сравнение эвристиков?Правда что у NOD32 самый лучший эвристик?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чистого сравнения я никогда не видел, да оно и вряд-ли возможно. Косвенные тут пробегали. Эвристик у НОД хороший, правда не знаю сколько ложных срабатываний он даёт.
Эвристик у BitDefender хороший, это я по своему опыту знаю. Трудно создать полиморф который он не смог бы свернуть.
У каспера эвристиком даже и не пахнет, drweb очень любит детектить по строкам в файле и по импорту, а nod32 ругается на все нестандартное (врядли это можно назвать эвристикой).
Ну, самая сильная сторона AVZ это антируткит, но обойти его (универсальными методами которые будут работать на SDTRestore и других подобных прогах) не сильно сложно.
зачем так сложно? Ж) Поверь - все намного элементарней Ж)
prefetchnta [esp]
Куда уж элементарней.
А независимые тестирования антивирусов провести могут разве что энтузиасты. А все официальные конторы занимающиеся этим обычно спонсируются производителями антивирусов и проводят тесты со стороны выгодной им.
prefetchnta [esp]
Куда уж элементарней.
А независимые тестирования антивирусов провести могут разве что энтузиасты. А все официальные конторы занимающиеся этим обычно спонсируются производителями антивирусов и проводят тесты со стороны выгодной им.
Согласен, имхо любое крупное тестирование так или иначе кем-то спонсируется. Я вот как раз на днях хочу ITW тест провести, результаты как всегда буду публиковаться в тут. Но ITW тест тоже не показатель ...
И еще момент по поводу эвристики - есть тенденция развития зловредов в сторону троянов/Hoax, а трояны детектить эвристикой трудно. Например, как отличить Trojan-Downloader и утилиту обновления версий некоей программы, или где разница между некоторой сетевой утилитой и трояном. Эмулятор и сандбокс - это плюс, но они обходятся сверхпросто и не всегда могут помочь. Пример - мне не так давно прислали для анализа Hoax программку (она даже на троян не тянет), которая предлагает взломать чужой почтовый ящик. Пользователь должен ввести свой email, пароль для него и ломаемый email. При нажатии кнопки "ломать" введенные данные передаются создателю этого "чуда". Т.е. пользоваель сам вводит свои персональные данные в диалоговом режиме и сам-же жмет кнопку Поймать такую штуку Sandbox-ом нереально, кодоанализатор бесполезен - программа построена на Delphi и 99.9% ее кода - это VCL и прочая дребедень.
...Пользователь должен ввести свой email, пароль для него и ломаемый email. При нажатии кнопки "ломать" введенные данные передаются создателю этого "чуда".
а голову совсем в других заведениях лечат
Могу в качестве материала для тестирования дать свой старый лоадер
Недавно из ПДФа приватного вырезал.. по поводу Касп 2к6 Повеченческого аналайзера
из 20-ки 10 Mytob, 3 NetSky, по 2 Zafi и LovGate.
все вошедшие в список вирусы имеют по нескольку десятков разновидностей и уже набили аналитикам аскомину, так что настроить на них эвристику это не большая проблема. показали бы они замыкующую 20-ку, которая детектируется так же хорошо - это было бы более убедительно.