Заработок на сайте Раскрутка сайта За работай На сайте  

Движки торрент-трекеров

Объявление

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » Движки торрент-трекеров » Обзор антивирусов » Как сравнивать антивирусы

Как сравнивать антивирусы

Страница: 1

Сообщений 1 страница 2 из 2

1

  • Автор: Malder
  • Модератор
  • Malder
  • Зарегистрирован: 2008-05-02
  • Приглашений: 0
  • Сообщений: 17
  • Уважение: [+1/-1]
  • Позитив: [+1/-0]
  • Провел на форуме:
    3 часа 10 минут
  • Последний визит:
    2010-04-06 18:46:38

Как сравнивать антивирусы

Уже не один год не утихают споры о том, какой антивирус лучше, однако проблема в том, что большинство спорящих не имеют понятия, по каким параметрам стоит сравнивать антивирусы. В связи с этим я хочу поделиться своим взглядом на критерии оценки антивирусов. Комментарии и дополнения приветствуются.

Пояснения:
1. Поскольку существует множество видов вредоносных программ, для того что бы каждый раз не писать длинные пояснения, там где не имеет значения конкретный тип вредоносных программ, я буду употреблять слово "зверь"
2. Сравнение антивирусов не является целью данной статьи, поэтому, несмотря на то, что я буду приводить в пример конкретные антивирусы, все примеры просьба рассматривать именно как абстрактные примеры.
3. Это не реклама антивируса Касперского или ДрВеб. Просто привожу в пример антивирусы которые знаю лучше других.

Итак, критерии оценки антивирусов:

1. Количество известных "зверей".
Часто можно встретить фразы типа "Касперский лучше чем ДрВеб, потому что Касперский знает 100000+ "зверей", а ДрВеб 60000+". На самом деле не всё так просто. Число, публикуемое антивирусными компаниями - это не количество известных "зверей", а количество записей в базах антивируса. При этом при помощи одной записи антивирус может определять несколько разновидностей "зверя", и даже несколько разных "зверей". Поэтому нет прямой связи между количеством записей в базах антивируса и числом "зверей" которые антивирус определяет.

Кроме того, даже сами разработчики не знают точно сколько "зверей" определяет их антивирус, поскольку запись, добавленная для определённой модификации "зверя", может определять и новые модификации, которые разработчики могли даже не видеть.
Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.

2. Тесты на коллекциях "зверей".
Казалось бы - всё просто. Берёшь коллекцию "зверей", и сравниваешь, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?
2.1 Вопрос - как собиралась коллекция. Допустим у меня стоит КАВ, и всех "зверей", которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КАВ найдёт всех "зверей", а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КАВ лучше всех остальных антивирусов.
Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КАВ, то можно получить некоторое представление об остальных антивирусах.
2.2 Дополнительная проблема в том, что считать "зверем", а что нет. К примеру, КАВ с расширенными базами считает "зверем" adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как ДрВеб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КАВ найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных "зверей" он тоже будет в 2 раза лучше.
Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше.
Так что тесты на коллекциях "зверей" не дают полной картины, и не являются надёжным критерием надёжности антивируса

3. Скорость реакции на новых "зверей", т.е. количество времени с момента появления "зверя", до того момента когда антивирус начинает его обнаруживать.
Рассмотрим такую ситуацию. На официальном сайте NAV заявлено, что обновления выходят раз в неделю. На оффсайте КАВ заявлено, что обновления выходят каждый час. Предположим что оба утверждения соответствуют истине. Теперь представьте себе, что кул хацкер Вася Пупкин написал вирус, который через 3 дня после заражения компьютера уничтожает всю информацию на диске, и выложил его на сайте кряков под именем Norton Antivirus 2005 crack.exe. Это даёт гарантию, что за пару дней сотни, если не тысячи, человек его скачают и запустят. Несложно понять, что в такой ситуации пользователи NAV практически гарантированно потеряют всю информацию на дисках, а у пользователей КАВ есть неплохие шансы обнаружить и удалить вирус до того, как он успеет что-либо сделать.
Отсюда ещё один недостаток сравнительных тестов, основанных на коллекциях "зверей". Понятно, что в коллекции большинство "зверей" довольно старые, и никакой разницы между антивирусами, у которых высокая скорость реакции и теми, у которых низкая, нет. На деле же антивирусы с высокой скоростью реакции намного более надёжны.
Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых "зверях"?
Какое-то количество "зверей" разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых "зверей" играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. По этому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.

4. Поддержка всевозможных паковщиков и крипторов.
Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду.
Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального.
Т.е. берём "зверя", который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность "зверя" сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, которым упакован "зверь", то для него файл теперь стал чистым.
Хочу сказать, что паковка и шифрование "зверей" - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее, и тем сложнее вирусописателю спрятать от него "зверя".
С другой стороны, чем больше пакеров и крипторов знает антивирус, тем медленнее он работает (к примеру, это одна из причин медленной работы КАВ, который на сегодня лидирует по количеству поддерживаемых пакеров/крипторов). Так что если Вы нашли антивирус, который быстро работает, скорее всего его надёжность оставляет желать лучшего. Конечно, выбор между скоростью и надёжностью - личное дело каждого.

5. Эмулятор
О наличии эмулятора у антивирусов скорее всего мало кто слыхал. Что же это такое?
Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями, чтобы спрятать "зверей" от антивирусов. Понятно что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.
Понятно так же и то, что наличие эмулятора не увеличивает скорость работы антивируса. Опять же - или скорость, или безопасность. Насколько я могу судить, хорошими эмуляторами обладают ДрВеб, NAV и КАВ.

6. Эвристический анализ
Многие о нём слыхали, но не уверен, что все понимают, что это такое.
Для начала стоит понять, как вообще антивирус находит "зверей". А делает он это просто. Для каждого "зверя" находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий "зверь". Понятно что для того, чтобы сигнатура появилась в базе антивируса, сначала этот "зверь" должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления "зверя". Эвристический анализ работает по другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для "зверей". Таким образом можно обнаружить "зверей", которые никогда не попадали вирусным аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующх антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных "зверей". К тому же, чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания. Примером может служить ДрВеб, у которого с одной стороны хороший эвристик, а с другой - куча ложных срабатываний. Хотя в последней версии ложных срабатываний стало поменьше. Скорее всего за счёт худшения чувствительности эвристика. Довольно неплохой эвристик был разработан специалистами антивирусной компании "ВирусБлокАда". Возможно лучший из существующих на данный момент.

7. Корректное лечение вирусов.
Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.

8. Работа на зараженной системе.
Если с обнаружением неактивных "зверей" всё более-менее просто, то с обнаружением и удалением активных (работающих) "зверей" всё намного сложнее.
8.1. Начнём с того, что часть "зверей" скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких "зверей". Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах.
Для обнаружения таких зверей используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб).
8.2. Другая часть "зверей" при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таком попыткам. Например завершить процесс КАВ дело весьма не простое, и по зубам далеко не любому "зверю". ДрВеб работает на уровне драйвера, и завершение его процесса не приводит к прекращению антивирусного мониторинга.
8.3. Удалить с диска файл активного "зверя" - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить "зверя", но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.
Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики КАВ и ДрВеб обычно отвечают в течении суток - и в случае, если файл является "зверем", и в случае, если он чист. Вирусные аналитики многих других фирм вообще никогда не отвечают на письма с подозрительными файлами. Так что Вам останется только мучаться подозрениями бессонными ночами

10. Отсутствие ложных срабатываний
Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление "зверей". Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы. К сожалению относительно высоким количеством ложных срабатываний страдает ДрВеб, хотя в последних версиях есть некоторые улучшения в этом плане.

11. Стабильность работы и отсутствие конфликтов с другими программами.
Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться со "зверями", перехватывают многие системные функции. Это может привести к всякого рода конфликтам с другими программами.
К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся со "зверями" благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов.
Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными "зверями" (в случае, если по какой-то причине они будут запущены).

12. Загрузка системы
Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

0

2

  • Автор: Admin
  • Администратор
  • Admin
  • Зарегистрирован: 2008-05-02
  • Приглашений: 0
  • Сообщений: 513
  • Уважение: [+3/-0]
  • Позитив: [+2/-1]
  • Провел на форуме:
    6 дней 3 часа
  • Последний визит:
    2017-02-27 18:22:46

Антивирусное программное обеспечение: сравнительный анализ

Чтобы доказать превосходство своих антивирусных продуктов над конкурентами разработчики антивирусов часто аппелируют к результатам «независимых» тестов. Рядовым пользователям не всегда чётко видно что именно и каким образом тестируется. Данная статья ставит своей целью рассказать о «независимых» тестах различных антивирусных лабораторий, а так же сравнить показать, как выглядят антивирусы в такого роде тестах и попытаться выработать некоторую общую оценку антивирусных продуктов.

Автор статьи - Иван Стогов. Работает экспертом в Anti-Malware.ru. В статье речь пойдёт не о всех, а только о наиболее распространённых в России продуктах:

    * антивирус Касперского,
    * антивирусы компании Symantec: Symantec Antivirus и Norton Antivirus,
    * российский антивирус Dr.Web / Доктор Веб,
    * активно продвигаемый на нашем рынка антивирус Eset Nod32,
    * антивирус от Trend Micro,
    * антивирус McAfee,
    * антивирус компании Panda,
    * антивирус Sophos,
    * антивирус BitDefender,
    * антивирус F-Secure,
    * антивирусное решение от Avira,
    * антивирус от Avast!,
    * антивирус AVG,
    * антивирусный продукт от компании Microsoft.

Различные экзотические продукты типа G-DATA AVK, F-Prot Anti-Virus или антивирус AEC TrustPort не будут рассматриваться.

Патриархи антивирусного тестирования.

Один из родоначальников тестирования антивирусов – журнал Virus Bulletin из Великобритании, начал проводить тестирование продуктов и публикацию результатов в 1998 году.

Тестирование проводится на основе вирусной коллекции WildList, для успешного прохождения которого антивирус должен обнаружить весь вредоносный код и обеспечить отсутствие ложных срабатываний на сборке неинфицированных файлов из «чистой» коллекции журнала.

Тест проводится ежегодно, несколько раз на разных операционных системах. Антивирусные продукты, успешно выдержавшие экзамен, награждаются призом VB100%.

Ниже вы можете увидеть кто из антивирусов и сколько наград получил в 2006-2007:

http://help-antivirus.ru/statji/antivirtest/1.gif

Статус патриарха антивирусного тестирования не избавляет журнал Virus Bulletin от периодически накатывающихся волн критики со стороны антивирусного сообщества.

Недавно, в сентябре 2007, на конференции в Вене эксперт Андреас Маркс (работает в исследовательской лаборатории AV-Test, функционирующей при университете Магдебурга) представил критический доклад «The WildList is Dead, Long Live the WildList!», в котором было подчёркнуты недостатки коллекции вирусов WildList, используемой в антивирусном тестировании специалистами Virus Bulletin:

    * коллекция вирусов WildList состоит преимущественно из вирусов и червей для операционных систем семейства Windows и не включает вредоносный код другого типа (трояны, бэкдоры),
    * коллекцию нельзя назвать обширной и активно обновляемой – ежемесячное наполнение вирусной коллекции составляет всего до сотни новых вирусов, в то время как вирусные сигнатуры ведущих производителей антивирусного программного обеспечения ежемесячно пополняются десятками/сотнями тысяч образцов новых вирусов.

В докладе было сказано, что коллекция вирусов WildList в её нынешнем виде устарела и более не отражает реального положения в сети интернет. В итоге, по мнению Андреаса Маркса, производство тестов антивирусов на данной коллекции не имеет реального смысла и хорошо только для рекламы антивирусных продуктов, а не для отображения реального качества работы антивирусов.

Антивирусные тесты на больших коллекциях вирусов.

Эксперты независимых лабораторий, к примеру AV-Comparatives и AV-Tests, направляют свои критические стрелы на только на методы тестирования. Два раза в год они проводят тесты антивирусов самостоятельно. При этом тестировании в качестве вирусной базы применяются миллионные коллекции вредоносного кода, регулярно пополняющиеся новыми образцами. Публикацию результатов можно увидеть в известных компьютерных изданиях и на сайтах компаний.

Итоги тестирования антивирусов в августе:

http://help-antivirus.ru/statji/antivirtest/2.gif

Касательно российских производителей и наиболее распространённых на нашем рынке продуктов, видны хорошие результаты только антивируса Касперского и Symantec. Особое внимание следует уделить антивирусу Avira, к которому вернёмся в рассуждениях о частоте ложных срабатываний.

Модель пользовательского поведения.

Любые тесты имеют свои достоинства и недостатки. Это напрямую относится и к AV-Comparatives и AV-Test. Положительным моментом является использование большой вирусной базы, характеризующейся большим разнообразием типов вредоносного кода.

Отрицательным моментом является содержание в этих базах относительно старых вирусов, возрастом более полугода. К тому же при выведении оценки используется результат сканирования жесткого диска, что не совсем верно. Ведь пользователь гораздо чаще получает заражённый файл посредством электронной почты или из Интернета в коде страницы, поэтому очень важным моментом в оценке эффективности антивируса является перехват нежелательного кода именно в момент его проникновения на компьютер, а не при сканировании жесткого диска.

Журналом PC Pro (одно из старейших авторитетных изданий Великобритании) была предпринята попытка выработки более совершенной методики тестирования антивирусов. Для этого собирается вирусная коллекция 2-недельной давности (из трафика через серверы MessageLabs). Компания MessageLabs предоставляет своим клиентам услуги по фильтрации трафика, поэтому собираемая коллекция вирусов отражает реальную ситуацию в интернете.

Экспертами издания PC Pro при тестировании были смоделированы действия пользователя:

    * инфицированные файлы пересылались в виде почтовых вложений,
    * инфицированный код скриптами встраивался в web-страницу, просматриваемую пользователем.

Моделирование реальных ситуаций сразу отразилось на результатах: большая часть антивирусов показала гораздо более низкий результат, нежели при тестировании по методике AV-Comparatives и AV-Test.

Важным компонентом антивирусной защиты, дающим большой вклад в успешное прохождение теста при такой методике, является частота обновления антивирусных баз и наличие развитого механизма проактивной защиты при анализе подозрительных файлов.

Спецгруппа быстрого реагирования.

Скорость и частота выхода обновлений антивируса с наборами сигнатур новых вирусных программ весьма важная составляющая антивирусной защиты. Чем скорее выпущено обновление антивирусных баз, тем меньше период, в течении которого пользователь беззащитен перед вирусом (потому что антивирусная защита идёт след в след за обнаружением новых вирусов). В апреле 2007 лаборатория AV-Test проводила изучение скорости реакции на появление новых угроз для американского издания PC World. Результаты ниже:

http://help-antivirus.ru/statji/antivirtest/5.gif

Неизвестная известность.

Скорость выявления новых вредоносных кодов в последнее время возросла настолько, что специалисты антивирусных лабораторий не всегда поспевают реагировать и выпускать новые сигнатуры в короткий срок. В этой ситуации поможет технология «проактивной» защиты, с помощью которой антивирусная программа может выявлять по некоторым характерным признакам ещё неизвестные образцы вредоносного кода.

Эвристические технологии разделяются на 2 направления: эвристические анализаторы (отвечают за обнаружение новых неизвестных вирусов по программному коду) и поведенческие блокираторы (отвечают за блокировку вирусов на основе характерного поведения в операционной системе).

Эффективность различных эвристических анализаторов давно изучается лабораторией AV-Comparatives. Эксперты лаборатории применяют свою методику проверки: антивирусные программы тестируются на

актуальной коллекции вредоносного кода с устаревшими сигнатурами. Это обеспечивает проверку антивируса на способность обнаружения и локализации ещё неизвестных вирусов. Используемая методика тестирования, заключающаяся в файловом сканировании, анализирует эвристические способности антивирусного продукта, не используя поведенческий блокиратор.

По графику видно, что даже самые продвинутые эвристические анализаторы способны выявить не более 70% образцов вредоносного кода, причём при их использовании резко возрастает число ложных срабатываний на лояльных файлах. Вывод – использование проактивных технологий защиты будет эффективным только в качестве второго после сигнатурного метода.

Тестирования второй ветви проактивных технологий, «поведенческого блокиратора», на серьёзном профессиональном уровне пока не проводилось. Во многих антивирусах поведенческий блокиратор отсутствует вообще.

Вторым нюансом при таких тестах является их трудоёмкость: необходимо вручную активировать вирусы и проводить наблюдение за эффективностью работы антивирусной программы. Длительность и трудоёмкость этой методики отпугивает многих исследователей, поэтому результатов подобных испытаний очень мало. Пока только исследовательская лаборатория AV-Comparatives представила на суд общественности свои исследования. В настоящий момент только антивирусы F-Secure (технология DeepGuard) и антивирус Касперского (модуль Проактивная защита) получили заслуженную награду Proactive Protection Award.

К технологии поведенческого блокиратора проявляется все больший интерес как со стороны производителей антивирусных продуктов, так и со стороны исследователей, поэтому есть надежда на её качественно-скачкообразное развитие в ближайшем будущем. Подтверждением тому служит широкое обсуждение этого вопроса на конференции Virus Bulletin 2007, в ходе которого появились некоторые наработки методик тестирования поведенческого блокиратора антивирусных продуктов для пока неизвестных угроз.

Ложные срабатывания.

Очень важной характеристикой эффективности антивируса является отсутствие ложных срабатываний. Потому что вреда от ложных срабатываний не меньше – тут и блокировка лояльных программ и файлов, отсутствие доступа к «чистым» сайтам в интернете.

Примеры ложных срабатываний:

    * обновление сентября 2007 заставило антивирус AVG считать программу Adobe Acrobat Reader 7.0.9 трояном SHueur-JXW,
    * в июле 2007 Eset NOD32 посчитал рекламные баннеры Yahoo, MySpace и др. троянами Tivso.14a.gen и заблокировал доступ к многим интернет-ресурсам.

При проведении тестимрования специалисты AV-Comparatives тестировали продукты на ложные срабатывания на сборке «чистых» файлов. Результат тестов стал огорчением для продуктов Dr.Web и Avira.

Лечим не пойманное

Как это ни печально, но гарантированной защиты от вирусов нет. Периодически пользователи сталкиваются с проникновением вируса на свой компьютер и заражением операционной системы. Чаще всего это происходит, когда антивирус не установлен вообще, или не обновлён. Но иногда случается что активные обновлённые антивирусные продукты «пропускаю мимо ушей» новый вирусный код и не помогает ни сигнатурный анализ, ни проактивные анализаторы.

В этом случае важно, чтобы после локализации активной фазы заражения (например, после обновления антивирусных баз) антивирус смог успешно удалить все последствия действия вирусного кода.

Надо чётко понимать, что в ходе постоянного противостояния вирус/антивирус изготовители вредоносного кода так же активно совершенствуют свои творения, улучшая и способы маскировки и совершенствуя механизмы противодействия антивирусам.

К тому же не достаточно просто нейтрализовать вирусный код, необходимо обеспечить удаление всех изменений в операционной системе (в системном реестре в частности) и обеспечить её работоспособность.

Сегодня нем известна только одна группа, проводящая тестирование на противодействие активному заражению и нейтрализацию последствия вирусной атаки. Такого рода тестирование антивирусов проводится специалистами Anti-Malware.ru. Данные последнего сентябрьского теста перед вашими глазами:

http://help-antivirus.ru/statji/antivirtest/8.gif

Итоговые оценки.

Мы рассмотрели различные методики тестирования антивирусных продуктов, представив различные параметры работы антивирусов и способы их тестирования. Итог: идеального антивируса не существует – каждый силён в том или ином аспекте. Вполне естественно, что разработчики при рекламе своей продукции особо подчёркивают сильные стороны работы антивирусов, приводя в подтверждение результаты тестов, в которых их продукты заняли высокие позиции:

    * аборатория Касперского подчёркивает высокую скорость реакции на новые угрозы,
    * лаборатория Еset – на продвинутость проактивных технологий, эвристического анализатора в частности,
    * лаборатория Доктор Веб подчёркивает хорошие способности своего антивируса Dr.Web противостоять активному заражению.

Опираясь на представленные в этой статье результаты, пользователю предстоит самостоятельно сделать выбор антивирусного продукта, которому он доверит сохранность своей операционной системы.

Итоговая сводная таблица результатов:

http://help-antivirus.ru/statji/antivirtest/9.gif

0

Страница: 1

Вы здесь » Движки торрент-трекеров » Обзор антивирусов » Как сравнивать антивирусы

Создать форум © iboard.ws Видеочат kdovolalmi.cz