+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Testy (https://safegroup.pl/forum-22.html)
+--- Wątek: Testy AV-Comparatives (/thread-707.html)
AV-C Whole Product Dynamic (badane we wrześniu) - PascalHP - 11.10.2012
Dzisiaj pojawił się nowy test AV-Comparatives: Whole Product Dynamic.
TrendMicro zmiótł wszystkich konkurentów!
Odnośnik do testu:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Testy AV-Comparatives - KaMiL - 11.10.2012
no można powiedzieć Trend i F-Secure
Re: Testy AV-Comparatives - McAlex - 11.10.2012
Ten Trend Micro jakiś taki powszechnie niedoceniany jest
Re: Testy AV-Comparatives - preter - 11.10.2012
McAlex napisał(a):Ten Trend Micro jakiś taki powszechnie niedoceniany jest
Fakt. A szkoda, bo ma bardzo dobrą ochronę przed phishingiem.
Re: Testy AV-Comparatives - ELWIS1 - 11.10.2012
Trend Micro zawsze byl bardzo dobry jesli chodzi o blokowanie stron. Wystarczy nawet zobaczyć testy z poprzednich lat na yt, jak blokuje strony malware.
Jest nawet darmowy dodatek od Trend Micro, blokujący strony. Kiedyś z niego korzystałem.
Re: Testy AV-Comparatives - McAlex - 11.10.2012
Ale ten darmowy dodatek nie jest tak dobry jak pełen pakiet. Podobnie jak ich skaner na żądanie nie ma tak dobrego wykrycia heurystycznego jak ich silnik na Virustotal. To jest płatny program no i niestety
.
Re: Testy AV-Comparatives - ELWIS1 - 11.10.2012
Ten darmowy program tak samo blokuje jak ich płatna wersja;D Oczywiście to tylko część pakietu..
Z tym 2 się zgadzam.
Re: Testy AV-Comparatives - McAlex - 11.10.2012
Nie blokuje tak samo, bo testowałem go na scamie i na wszystko wpuścił, a pakiet Trendu blokuje
Re: Testy AV-Comparatives - ELWIS1 - 11.10.2012
A jaki program testowałeś? Ja go testowałem rok temu i tak samo blokował. Może jakiś inny testowales.
Re: Testy AV-Comparatives - McAlex - 11.10.2012
Trend Micro programik do kontroli www zich forum . Nie pamiętam nazwy.
Re: Testy AV-Comparatives - ELWIS1 - 11.10.2012
Jest kilka np.
Browser Guard
RuBotted
Najlepszy to: Web Protection Add-On (ten blokuje wszystko) darmowy, na 90 dni.
Re: Testy AV-Comparatives - preter - 18.10.2012
Z ciekawości zerknąłem jeszcze raz do tego testu i przyszła mi do głowy myśl - w jaki sposób ten test został wykonany?
Żeby sprawdzić jak dobrą heurystykę posiada dany program musieliby zgromadzić próbki malware, których z definicji nie wykryje żaden z programów testujących (to byłby wyczyn; chyba, że sami napisali na potrzeby testu, bo nie wierzę, że znaleźli takie próbki). Dopiero skanując i uruchamiając takie próbki można określić skuteczność mechanizmów heurystycznych i kontroli zachowań poszczególnych programów.
A oni zgromadzili folder z malware i przeskanowali go. W takim przypadku musieliby sprawdzać każde wykrycie - definicja czy heurystyka. Chyba, że jakimś cudem wyłączyli wykrywanie szkodników za pomocą definicji (czy chociaż jeden z programów pozwala na coś takiego?).
Na chłopski rozum:
- wykrywanie definicjami to nie heurystyka
- testowanie heurystyki jest niewykonalne
- test monitora behawioralnego winien być przeprowadzony przy wyłączonym module antimalware
Moje wnioski:
Cały ten test, to pic na wodę. AV-C karmi producentów AV użytkownikami zapatrzonymi w ich testy, a producenci AV karmią AV-C mamoną. A tą całą heurystykę można o kant d*** rozbić.
Chyba, że to ja jestem głupi i testy AV-C mnie przerastają.
Re: Testy AV-Comparatives - zord - 18.10.2012
Definicje programu zostają zamrożone i testują nowe próbki na starych bazach. Tak da sie jako tako ocenić heurystyke programu
AV-Comparatives - Październik 2012 - Test wydajności AV - PascalHP - 18.10.2012
Test wydajności aplikacji antywirusowych w wykonaniu AV-C.
Zwyciężył oczywiście Webroot.
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Testy AV-Comparatives - tommyklab - 19.10.2012
@preter, może obrazkowo na przykładzie kaspra: to tak, jakby wyłączyć wykrywanie definicjami i przeskanować tylko heurystycznie - czy wyłapie podejrzenie czy nie
(to zaznaczenie jest na szaro, nie da się tego normalnie wyłączyć, pewnie by trzebabyło w rejestrze grzebnąć)
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Testy AV-Comparatives - McAlex - 19.10.2012
A jak zrobić skan heurystyczny McAfee, który często bazy Artemisa zrzuca do tych normalnych...
Re: Testy AV-Comparatives - preter - 19.10.2012
Odnosząc się do wypowiedzi zorda i tommyego, to w sumie można najpierw przeskanować z wyłączoną heurystyką, a następnie z włączoną i porównać wyniki. To było by chyba rozwiązanie lepsze niż zamrażanie definicji i skanowanie nowych zagrożeń.
Mimo tego, twierdzę, że heurystyka nie jest zbyt dobrym rozwiązaniem. W ogóle te wszystkie pakiety IS są beznadziejnie zrobione.
Re: Testy AV-Comparatives - McAlex - 19.10.2012
Dlaczego beznadziejnie?
Re: Testy AV-Comparatives - Konto usunięte - 19.10.2012
Heurystyka to z definicji rozwiązanie ułomne- w żaden sposób nie gwarantuje ono poprawnego wskazania wyniku, jest obarczona sporą szansą na FP, a na dodatek mimo wszystko wymagająca pod względem obciążenia. Najlepsze są te reklamy na produktach - "teraz wyposażone w heurystykę" co można by tłumaczyć jako: "nie umiemy wykryć wszystkiego, więc dajemy wam niepewny mechanizm pozwalający na wyłapanie niektórych z śmieci, a przy okazji i dobrych plików". No ale to chyba jedyne co można zrobić gdy używa się tradycyjnych metod (tj. detekcja zamiast analiza czy decydowanie po stronie użytkownika).
Re: Testy AV-Comparatives - ichito - 19.10.2012
Heurystyka jest tylko narzędziem pomocniczym i w przypadku programów AV bazujących na sygnaturach czyli konkretnych opisach/definicjach, nie można się raczej na niej opierać. Pewnie, że jedni mają mechanizmy lepsze, a inni gorsze, ale zawsze obarczona będzie błędem...im mechanizm jest na niższym poziomie, tym będzie ich mniej, bo wtedy zakres "podobieństwa" jest mniejszy...wysoki poziom oznacza, że zakres poszukiwania podobieństw jest dużo większy, a tym samym fałszywych wskazań może być znacznie więcej.
Inna sytuacja...choć zasada podobna...dotyczy monitorów zachowań, które bazują na heurystyce np. w ThreatFire, co skutkuje z kolei czasem brakiem zrozumienia, dlaczego TF wskazuje na akcje znanych i popularnych aplikacji.