Здравствуйте, Евгений!

По результатам тестирования эффективности проактивной защиты на платформе Windows XP, проведенным австралийской тестовой лабораторией AV-Comparatives, антивирус Касперского выявил всего 24% от общего числа новых вирусов!!! При этом, три продукта - AVIRA, Dr.Web и WBA32 - продемонстрировали эффективную проактивную защиту (более 45%) правда при высоком уровне ложных срабатываний и антивирус Eset NOD32 показал лучшие результаты проактивной защиты, выявив 58% при малом числе ложных срабатываний!!! Как Вы понимаете, одних вирусных баз и частых их обновлений не хватает для эффективной работы антивируса... Ведутся ли сейчас работы по инновационным и наиболее эффективным технологиям защиты от вирусов, включая зазработку качественного эвристического анализа и увеличение скорости работы антивируса и хотя бы приблизиться по этим параметрам к NOD32? Если да, то какие...

Смотри сюда
http://www.av-comparatives.org/seiten/erge...se/report10.pdf
Как понимаете, нужен Acrobat Reader...
В тестировании принимали участие 13 популярных антивирусов!!!

а почему на этом сайте http://www.av-comparatives.org на главной странице видна 5-я верия KAV? Они что тестят 5-ю версию? Пора бы уже на 60-ю перейти

Кажется, об этом можно уже писать в FAQ =) Слишком много людей спрашивают. Итак...

1. В том тесте тестировались только эвристики. Именно в тесте эвристиков КАВ набрал столь невысокий результат.

2. В КАВ\КИС 6.0 есть модуль "Проактивная защита". Это не эвристик. Это набор поведенческих технологий. Эвристик ловит по коду, а проактивная защита КАВ\КИС 6.0 - по поведению (т.е. при попытке запуска зловреда). Тестирование проактивной защиты - процесс трудоёмкий, так как всю коллекцию нужно попытаться запустить. Тем не менее, один крупный тест уже проводился, причём тем же AV-comparatives. Вот тут пресс-релиз о его результатах: http://www.av-comparatives.org/seiten/erge...V6_PDM_test.PDF. Как видите, результат (99%) оставляет позади даже самые сильные эвристики. Не будем спорить о том, насколько реален такой результат в повседневной жизни, но факт остаётся фактом: поведенческие технологии обеспечивают лучший процент детекта по сравнению с эвристиками.

3. И всё же, эвристик - тоже штука важная. В ЛК ведётся работа над новым эвристиком. По слухам (не подтверждённым разработчиками!) новый эвристик будет "уметь" эмулировать запуск кода (т.н. динамичесий эвристик), и выйдет где-то осенью. Эвристик в ЛК является частью ядра, поэтому не зависит от версии продукта. После его выхода он будет доступен всем пользователям КАВ вместе с обновлениями. Кажется, ничего не наврал...

Dmitry, этот форум называется "Спроси меня", а не кого-то еще Шутка. Спасибо за помощь - Ваши ответы практически в точку.

По поводу проактивной защиты и эвристик добавлю, что это - палка о двух концах. Как только появятся более продвинутые эвристики - тут же трояно-писателям потребуется эти эвристики обходить - что поднимет технологическую планку зловредства. И всё равно детектиться не будет (они научатся обходить эти эвристики), а на разбор зловреда, на который мы сейчас тратим 2 минуты - будет уходить 20 минут... И чтобы этих новых продвинутых зловредов ловить эвристиками - надо будет эти эвристики _постоянно_ докручивать, полировать, наворачивать...

Примеров - уже полно. Есть у нас эвристики, есть так называемые "generic detection" - когда детектируется целое семейство троянов. И что - их постоянно надо докручивать, поскольку авторы троянов постоянно работают над пробиванием этих "generic detection". Увы - война, и "решения проблемы в целом" не существует и не предвидится.

От себя хочу добавить о таком немаловажном факте, как продажа антивирусных продуктов. Дело в том, что все наши разработки у зловредо писателей есть (грубо говоря, они просто качают триалку КИС и разбирают ее по винтикам), а вот у нас их разработки появляются только после заражения внимательного пользователя.
Женя, я прав?

Не совсем. От пользователей, конечно, достаточно много поступает, но мы и сами не спим - есть система "липучек" для сбора "нужных" файлов в сети, нам активно помогают "агенты" (эксперты по безопасности), которые параллельно с нами мониторят сеть, ну и т.д. - часто мы добавляем детект для зловреда достаточно оперативно для того, чтобы свести риск заражения пользователей к нулю (если апдейты регулярно качают). Нередко бывает, конечно, что тормозим - и выпускаем апдейт по факту заражения. Но стараемся быть быстрее - чтобы апдейт проскочил до того как пользователь откроет аттач или кликнет по ссылке.

А я знаю =) Просто мне после работы поболтать нравицца очень. Ладно, так и быть, буду стараться болтать в других ветках =)

Не-не! Давай здесь тоже. Мне меньше работы...

Заходите на огонёк Евгений.

Спасибо за убедительные ответы!

А я и не знал, что DVi разговаривает с Евгением Касперским на "ты"...

А что в этом удивительного ?

Да, DVi человек могущественный. Самого Е.К. Женей зовет.

Как сейчас стало модно говорить - ржунимагупацтулом :-) :-)

+1

Насколько я знаю ни в одном антивирусе ещё Проактивной защиты нет. Я прав, DVi (сейчас я только что скопировал манеру общения DVi с Евгением Касперским)?

Не совсем (а это я только что скопировал манеру ответа Евгения Касперского на вопрос DVi =)). Есть проактивка у Панды (TruPrevent). Есть у BitDefender. Есть совместный антивирус BitDefender + Safe'n'sec - там ещё больше проактивки. НОД клянётся, что у него тоже есть, но я ни разу не видел её в действии, и о ней нет ни намёка в гуи. Плюс есть продукты, которые просто чистые проактивки - Safe'n'sec, DefenseWall. В следующей версии McAffee тоже будет проактивка... Наверняка, я ещё кого-то забыл. Но вот вопрос лишь в том, у кого проактивка лучше и сложнее в обходе =))

Не знаю как остальные, а я пользуюсь вдабавок к КИС Adinf (Ревизор жёсткого диска). Мне нравится

А что умеет этот ревизор?

Открою секрет.
Мы в вирлабе сами пользуемся AVP Inspector
помните такое ?
http://www.kaspersky.ru/news?id=46

И что, он лучше нынешнего КИСовского?
Если да, где скачать?

В чем отличие от КИСовского?

ИМХО в КИСе (как и в КАВе как минимум с версии 5) инспектора нет.


Он вроде отдельно не идет. В составе КАВ 4 точно был.
Одно время использовал только его (Адинф снес нафиг).
Но с приходом КАВ 5 пришлось возвращаться к адинфу.


Хм, а где Вы в КИСе видели инспектор (ревизор?)

Прошу прощения!
Только на мой взгляд быстро - не всегда качественно!
Практика показывает, что наличие NOD32 не всегда залог того, что вируса не будет!

В КИС есть защита системных файлов-бтблиотек (Часть проактивки).
+ Анализ поведения должен (точно не знаю делает или нет) блокировать массовое пропатчивание файлов.

Инспектор <> проактивка.
Разные вещи. Хотя бы потому, что проактивка ругается сразу, а инспектор только при проверке. Плюс диагноз инспектора реже кажет фолсы.

Зато Инспектор чётко покажет какие файлы были изменены той, или иной программой и когда. Для эксперта это не маловажно (я думаю).

А от чего тогда сообщение:
"Модуль wuauclt.exe попытка загрузки нового или измененного модуля заблокирована."

Разве «Контроль целостности приложений» не тоже самое, что Inspector?

Нет конечно

хотелось бы узнать с приходом осени, как там с эвристиком продвигаются дела...