楼主: mofunzone
收起左侧

[讨论] 看见总是有人喜欢把antivir和nod32比较,我可以负责的告诉你,任何方面都是antivir胜

 关闭 [复制链接]
mofunzone
 楼主| 发表于 2007-1-21 07:16:28 | 显示全部楼层
原帖由 EQ2 于 2007-1-20 15:15 发表

偶是中立者。。。只站到中立的角度说话。。自己用的就是小红伞。。。给别人装的也是小红伞。。。没必要为NOD32说话

那就等待下一次的av-comparative启发测试看结果了
mofunzone
 楼主| 发表于 2007-1-21 07:17:21 | 显示全部楼层
原帖由 EQ2 于 2007-1-20 15:16 发表
没听说过不代表没有。。。说不定在内测

那也不代表有,说不定就是没有
The EQs
发表于 2007-1-21 07:19:40 | 显示全部楼层

转一篇比较有技术含量的帖子。。。Kaspersky官网的。。。

主动防御vs.病毒码方法
    尽管有其缺陷,主动防御式方法的确能在相关病毒码发行前检测到部分威胁。以反病毒解决方案针对称为Email-Worm.Win32.Nyxem.e (Nyxem)的蠕虫,所采取的回应之道为例。
    Nyxem蠕虫 (亦称 Blackmal、BlackWorm、MyWife、Kama Sutra、Grew 及 CME-24)可在使用者开启内含色情图片、色情网站或者档案连接(存于公开网络资源上)的电子邮件附件时渗透电脑。病毒只需极短时间便能删除硬盘中的资讯。影响所及的档案格式多达11种(包括Microsoft Word、Excel、PowerPoint、Access、Adobe Acrobat)。病毒会以无意义的字元组复写一切有用的资讯。Nyxem另外一项特征是只在每个月三号发作。
    Magdeburg大学的研究团队(AV-Test.org)所进行的一项独立研究,评估不同的开发者在Nyxem出现时的反应时间。结果有数种反病毒产品能在病毒码发行前,使用主动防御技术检测到蠕虫:

预先检测到Nyxem的行为拦截工具
Kaspersky Internet Security 2006 (Beta 2)检测成功
Internet Security Systems:Proventia-VPS检测成功
Panda Software:TruPrevent Personal检测成功

预先检测到Nyxem的启发式分析器
eSafe木马程序/蠕虫[101] (可疑)
Fortinet可疑
McAfeeW32/Generic.worm!p2p
Nod32NewHeur_PE (可能是未知病毒)
Panda可疑档案

可检测 Nyxem 的病毒码发行时间
BitDefender2006-01-1611:13Win32.Worm.P2P.ABM
卡巴斯基实验室2006-01-1611:44Email-Worm.Win32.VB.bi
AntiVir2006-01-1613:52TR/KillAV.GR
Dr Web2006-01-1614:56Win32.HLLM.Generic.391
F-Secure2006-01-1615:03Email-Worm.Win32.VB.bi
VirusBuster2006-01-1615:25Worm.P2P.VB.CIL
F-Prot2006-01-1615:31W32/Kapser.A@mm (正确)
Command2006-01-1616:04W32/Kapser.A@mm (正确)
AVG2006-01-1616:05Worm/Generic.FX
Sophos2006-01-1616:25W32/Nyxem-D
Trend Micro2006-01-1703:16WORM_GREW.A
eTrust-VET2006-01-1706:39Win32/Blackmal.F
Norman2006-01-1707:49W32/Small.KI
ClamAV2006-01-1708:47Worm.VB-8
Avast!2006-01-1715:31Win32:VB-CD [Wrm]
eTrust-INO2006-01-1716:52Win32/Cabinet!Worm
Symantec2006-01-1717:03W32.Blackmal.E@mm
资料来源: Security Watch: Blackworm Blows Up On Friday (安全性监控:Blackworm 于星期五发作) (PC Mazagine,AV-Test.org)     整体而言,有八种反病毒产品使用主动防御式方法检测到Nyxem。然而这代表主动防御技术可以取代“传统”的病毒码方法吗?当然不能。为了证明其有效性,主动防护有效性之分析应根据大量病毒的检测结果,而非个别病毒,无论其恶名昭彰之程度为何。
    Andreas Clementi (www.av-comparatives.org)根据大量病毒资料分析反病毒产品所使用的主动防御方法,而他也是这方面少数受到公认的独立研究人员之一。为找出哪种反病毒程序能够检测到尚未存在的威胁,可利用最近出现的病毒测试解决方案,例如三个月内的病毒。当然,反病毒程序必须执行三个月以前发行的病毒码资料库,这样一来,它们所面对的便是“未知”的威胁,Andreas Clementi关注的是此类测试的结果。
    根据2005年所进行的测试结果,Eset、Kaspersky Anti-Virus 与Bitdefender解决方案所使用的启发式分析器最为有效。
主动式(探索)检测率
(资料来源:AV-comparatives.org)
    此项测试使用8259种病毒。我们可以从上述的结果发现,测试中最高的检测率为70%左右。这代表各种受测的解决方案都至少遗漏2475种病毒,这可不是小数字。
    在《PC World》杂志中,另有一项Magdeburg大学专家(AV-Test.org)于2006年三月所进行的启发式分析器有效性测试,该项测试的领先者所达成的检测率甚至不超过60%。该测试使用一个月与两个月之前的病毒码。
主动式(探索)检测率
(资料来源:PC WorldAV-Test.org)
    在此应注明,启发式分析器所展现出的高检测率亦有其负面影响,误判率同样很高。为使作业正常,反病毒程序应在检测率与误判率间取得平衡。对于行为拦截工具而言,亦是如此。
    由 AV-comparatives.org 与 AV-Test.org所进行的分析结果,确实说明了单独使用主动防御式方法无法提供必要的检测率。反病毒厂商非常清楚这一点,因此无论他们将主动技术说的如何天花乱坠,仍持续在他们的解决方案中使用传统的病毒码检测方法。纯主动防御式解决方案的开发厂商(Finjan、StarForce Safe'n'Sec)必须由协力厂商处购买“传统”病毒码技术的授权,以使用于他们的产品中,就再说明了这点。
    以病毒码为基准的方法当然也有其缺点,但截至目前为止,反病毒业界仍无法提出任何可取代此传统方法的手段。因此,衡量反病毒解决方案有效性的主要标准,仍将包括主动式防护的品质,以及面对新病毒威胁的反应时间(将相关的病毒码加入资料库中,并将更新传送给使用者)。
    下列资讯是领先的反病毒厂商所展示,于2005年间针对主要反病毒威胁的平衡反应时间。Magdeburg 大学研究团队 (AV-Test.org) 分析开发者发行相关病毒码更新的时间。分析涵盖2005年最常见的16种蠕虫的不同变形,包括Bagle、Bobax、Bropia、Fatso、Kelvir、Mydoom、Mytob、Sober与Wurmark。

平均反应时间2005
0 至 2 小时卡巴斯基实验室
2 至 4 小时BitDefender、Dr. Web、F-Secure、Norman、Sophos
4 至 6 小时AntiVir、Command、Ikarus、Trend Micro
6 至 8 小时F-Prot、Panda Software
8 至 10 小时AVG、Avast、CA eTrust-InocuLAN、McAfee、VirusBuster
10 至 12 小时Symantec
12 至 14 小时
14 至 16 小时
16 至 18 小时
18 至 20 小时CA eTrust-VET
资料来源:Ranking Response Times for Anti-Virus Programs(反病毒程序反应时间排名) (Andreas Marx,隶属于 AV-Test.org)。 总结
    上述讨论可归纳出几点重要的结论。首先,对抗恶意程序的主导防御方法是反病毒业界针对在数量以及扩散速度上不断成长的新型恶意软件所做出的反应,现存的主动防御方法的确有助于对抗许多新威胁,但是主动防御技术可取代定期更新作为反病毒保护的概念是错误的。事实上,主动式防御方法与病毒码方法同样需要更新。
    现存的主动防御技术本身不足以确保高恶意程序的检测率,此外,在这类案例中,较高的检测率也伴随着较高的误判率。在此情况下,面对新威胁的反应时间仍是衡量反病毒程序有效性的明确标准。
    为了达成最佳的反病毒保护,主动防御与病毒码方法应该一并使用,因为最高的检测率只能借由结合此两种方法而达成,下图显示由Andreas Clementi (www.av-comparatives.org)所进行的测试结果,该测试判定整体(病毒码+启发式分析器)恶意程序检测等级。在测试中表现良好的程序,其间差距看来也许很小。但是请记得,这项测试运用140,000种病毒进行,因而1%的差异就代表2400种未检测出的病毒。
整体检测率
(资料来源:AV-comparatives.org)
    反病毒解决方案的使用者不应太过相信厂商行销资料中的资讯。比较整体产品性能的独立测试较适用于评估市面上解决方案的有效性。
The EQs
发表于 2007-1-21 07:20:52 | 显示全部楼层
这个里面的评测数据就是你口口声声说的权威AV-comparatives.org提供的。。。哈哈。。。
mofunzone
 楼主| 发表于 2007-1-21 07:21:28 | 显示全部楼层
2005年的文章也拿来说事??
没和你说过antivir从2005年初才开始做启发的吗?
nod32做了多少年而antivir又坐了多少年呢?
The EQs
发表于 2007-1-21 07:22:50 | 显示全部楼层
继续狂笑ing
The EQs
发表于 2007-1-21 07:25:07 | 显示全部楼层
2005年NOD32都能这么高。。。。更何况现在了。。。
The EQs
发表于 2007-1-21 07:26:02 | 显示全部楼层
要论启发式。。。NOD32绝对是强者。。。。小红伞的启发式没有NOD32好(在国内恰好相反)
mofunzone
 楼主| 发表于 2007-1-21 07:26:22 | 显示全部楼层
原帖由 EQ2 于 2007-1-20 15:22 发表
     继续狂笑ing

恩恩,用antivir的第一代启发技术对抗nod32已经n年的技术
antivir的第二代启发技术是在2006年6月8日发布的
这个才是现在antivir成熟的启发技术
http://www.avira.com/en/security ... ive_protection.html
The EQs
发表于 2007-1-21 07:28:20 | 显示全部楼层
终于知道为什么总是拿AV的评测来看了。。。原来是因为。。。不说了。。睡觉去。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 06:10 , Processed in 0.102818 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表