Uus viirusetõrjete test :: Hinnavaatluse Foorumid

Ezh · HV kasutaja liitunud: 26.02.2002

http://www.virus.gr/portal/en/content/2008-06%2C-1-21-june

Lord Ami · HV veteran liitunud: 13.01.2006

http://www.wilderssecurity.com/showthread.php?t=213320&highlight=virus.gr
Mina vaatan jätkuvalt vaid av-comparatives.org teste

rycyve · HV veteran liitunud: 25.06.2006

Mis sellest teemast välja peaks arenema

maxorator · HV kasutaja liitunud: 30.08.2006

HacaX · HV Guru liitunud: 22.01.2004

Miks ebareaalsed? Skännereid tulebki testida nende maksimaalsete võimete kohaselt, mitte dumbuseri ärahirmutamise vältimiseks valitud vaikesätete kohaselt. Heuristika ja kõigi failide skännimine on tänapäevaste levimiskiiruste juures niikuinii elementaarsed asjad, minu jaoks jääb mõistetamatuks kuidas üldse on võimalik et mõnel AVl need vaikimisi kinni võiksid keeratud olla.

sukelduja · HV Guru liitunud: 14.06.2007

nexus · HV veteran liitunud: 18.04.2007

Lord Ami · HV veteran liitunud: 13.01.2006

sukelduja · HV Guru liitunud: 14.06.2007

HacaX · HV Guru liitunud: 22.01.2004

Omalt poolt heuristika ebavajalikkusega ei nõustu. Neid juhtumeid meenub endale ikka päris hulgaliselt kus skännerid on faili kohta "suspicious" või "probably infected" arvanud, mis on just heuristika (või siis liialt umbmäärase wildcardi, aga see annab kasutaja seisukohalt sama välja) teene. Tõsi küll, paljudel juhtudel on tegu olnud false positive´iga, aga vähemalt mina eelistaks küll pigem hoiatamist seal kus seda tegelikult vaja pole kui hoiatamata jätmist seal kus on mille eest hoiatada.
Maksimaalsete sätetega testimisel on üks igati postitiivne omadus - sellega näidatakse konreetselt ära milleks AV suuteline on. Mitte ei tekitata võimalust, et programm suudaks rohkem kui testis avaldus. Konfiguratsioonimuudatustest mida tootjad aeg-ajalt teevad (midagi mis eelmises versioonis oli vaikimisi deaktiveeritud on uues sisse lülitatud, olgugi et mootor/signatuuriandmebaas pole grammigi muutunud) rääkimata

maxorator · HV kasutaja liitunud: 30.08.2006

Aga viirusetõrje, mis iga faili viiruseks märgib, saab ju 100% sellises testis.

HacaX · HV Guru liitunud: 22.01.2004

Jep, aga arvestades et mittenakatunud faile oli minimaalselt siis ongi just see ju eesmärgiks. Eriti kui AV suudab iga nakatumise puhul ka sellega täppi panna millise viirusega fail nakatunud on

mikk36 · HV Guru liitunud: 21.02.2004

palju false alarme = kerge leitud viiruste skoori tõstmine = cheatimine
sophose puhul mai 2008 av-comparatives testis:
proactive detection of all new samples in the test:
Sophos 74% (with suspicious and extensive detection)
Sophos 39% (without suspicious and extensive detection)
sophos ja trustpost said just sellel põhjusel DSQ

Lisaks on raporti lõpus tekst:

HacaX · HV Guru liitunud: 22.01.2004

Noh, ma puise inimesena jään siiski selle juurde, et parem valeidentifikatsioonid kui identifitseerimata jäämine

See AV-C´s näidatud Sophose 11 ja poolest tuhandest näidisest 400 valesti tuvastamine on küll üleliia palju, eriti kui arvestada et teised (kui Trustport välja arvata) max. paarikümnega piirdusid, aga antud juhul näitab see peaasjalikult seda, et nendepoolne EXEpakkijate tugi on nigel, mitte et AV ise kuhugi ei kõlbaks. Puht tehnilisest küljest ei erine EXEt lahtipakkiv/dekrüptiv stub ju väga suvalisest algelisemast viirusest .
Ja mis kõige olulisem: kui sellisele asjale testijate poolt tähelepanu pööratakse siis ongi võimalik kasutajat antud puudujäägi osas informeerida, mitte ei pea kasutaja alles peale ostmist avastama, et temapoolsed paranoilised max sätted kuulutavad näiteks iga teise faili nakatunuks.

mikk36 · HV Guru liitunud: 21.02.2004

HacaX, aga kuidas sa vahet teed failidel et kas asi on reaalselt nakatunud või mitte, kui AV iga teise faili peale seda karjub ?

HacaX · HV Guru liitunud: 22.01.2004

Annan 2. ja 4. ja 6. faili suvalisele kolmanda poole (online)skännerile närida. Kui need kah nakatumisest teatavad siis kirun iseend et miks ma niikaua venitasin enne kui AV hankisin, kui mitte siis saadan antud AV kus seda ja teist

Kokkuvõtlikult ei ürita ma väita, et false positive´id head on, vaid ma lihtsalt leian et kuni nendega üle ei pakuta on nad, vähemalt minu jaoks, vastuvõetav kompromiss. Ikka selle lootuse põhjal, et äkki too valetuvastusi genereeriv koodijupp suudab ka mõne reaalse pahalase kätte saada, mida ülejäänud mootor poleks tabanud.
Igasugused AV testide esitatavad andmed on ilma taustata niikuinii mõttetud, seega ei näe ma ka erilist probleemi selles, et vigane tuvastamine protsendinumbrit tõsta võiks.

mikk36 · HV Guru liitunud: 21.02.2004

HacaX, defineeri taustata

HacaX · HV Guru liitunud: 22.01.2004

"Viiruseskänner Foo leidis X% viirustest, skänner Bar kulutas Y minutit skännimiseks, skänner Baz hõivas ZMB jagu RAMi".
Kui koos taustaga kõlaks asi stiilis "viiruseskänner Foo leidis X% testfailidest (mis hõlmas faili- ja buutsektori/MBRi viirusi, aga mitte troojaid) mis on XX isendi jagu rohkem kui teisele kohale tulnud skänner, aga tervelt YY isendit rohkem kui testis kasutatud ZZ skänneri keskmine leitud isendite arv; skänner Bar kulutas Y minutit skännimaks whole file ja treat as mailbox/viruscollection resiimis XXXXX faili , millest YYY olid pakitud programmiga Fred/Barney/Vilma, kusjuures Vilma arhiiviformaati programm Y vähemalt dokumentatsiooni kohaselt otseselt ei toeta, samal ajal oli taustal ka Google Desktop jooksmas; skänner Baz hõivas peale 30 minutit töötamist ZMB jagu RAMi kui aktiveeritud oli standardne ning suspicious failide skanneerimine, aga internetiühenduse jälgimine oli välja lülitatud".

tahanteada · Lõuapoolik liitunud: 04.04.2003

HacaX: Vaata - on üks oluline asi, miks kõikvõimalikud - viiruse või Spy-ga seotud aktiivseda ja mitteaktiivsed failid ja failijupid üles otsitakse. Nimelt annab 2-3-4 - näiliselt süütut failijuppi - kokku liita üheks ohtlikuks, ründevõimeliseks viiruseks või Spy-ks. Ja see n-ö "liitmisfail" võib olla samuti mõni väike süütuke, mis näitesk internetis alla laetakse. See süütuke skännib arvuti läbi - leiab omale vajalikud failijupid ja siis liidab need omavahel kokku.
Ja siis omanik imestab, et kuskohast see viirus / spy küll taas arvutisse ilmus - sai ju alles viirus või Spy arvutist välja tõrjutud.

HacaX · HV Guru liitunud: 22.01.2004

Kindlasti annab, aga oskad sa ka mõnd konkreetset pahalast nimetada mis niiviisi käitub? Sellist strateegijat on vähemalt ühes sajandivahetusel ilmunud VX-zine´is täiesti välja pakutud, aga kas ka reaalselt sellised loomi valmis on tehtud? (kõikvõimalikke droppereid ja endale Võrgust pluginaid tirivad kurjameid ei saa IMO selliseks lugeda, nende puhul leitakse niikuinii keskne programmiosa üles ja pluginad ise on ebaolulised). Sinupoolse mõttega sobiks vast pigem sellised isendid mis süsteemis juba olemasolevaid programme ära kasutavad (a´la kui advanced kasutaja on oma Winni masinasse NMAPi installinud siis haagiks kurjam ent tollega kaasatuleva WinPCapi külge ja saaks nii tulemüürile märkamatult võrgus tolgendada), ehkki endale esimese hooga ühtegi sellise tegutsemismalliga levijat meelde ei tule.

Muidu kui ehk märkasid, siis mina pooldangi just seda "kõik ja täie võimsusega" lähenemist, rahumeeli ignoreerides tõsiasja, et praktikas võib see kasutaja hulluks ajada (kas siis AV pideva virisemise või raali teoksmuutumise pärast)

maxorator · HV kasutaja liitunud: 30.08.2006

Teeks puhta arvuti peal testi:
I Viirusetõrje leiaks 10 viirust.
II Viirusetõrje leiaks 25 viirust.
III Viirusetõrje leiaks 100 viirust.
IV Viirusetõrje leiaks 5000 viirust.
V Viirusetõrje leiaks 0 viirust.

Milline on parim viirusetõrje? IV või?

Lord Ami · HV veteran liitunud: 13.01.2006

HacaX · HV Guru liitunud: 22.01.2004

sukelduja · HV Guru liitunud: 14.06.2007

maxorator · HV kasutaja liitunud: 30.08.2006