mrbobson Skrevet 14. september 2004 Del Skrevet 14. september 2004 (endret) CBK Comm. ASNår det gjelder Heuristisk skanning vs. Normans Sandbox, så er det viktig å være klar over at det finnes mange utgaver av den heuristiske. Eset (NOD32) er de som har holdt på lengst med dette, og programmer slikt aller best. Men Sandbox'en gjør sikkert det den skal, selv om prosessen kanskje er litt omstendig foreløpig. Et eksempel på dette er at Norman og NOD32 var de eneste som tok en mutert utgave av MyDoom-viruset uten å ha signaturfilen klar. De andre produsentene måtte vente til programmerne ble ferdig. Er du helt sprø, eller har du ikke den fjerneste erfaring fra AV-bransjen? Dette er det mest vanvittige jeg har hørt. Vi har holdt på lengst, derfor er vi best? Dette er algoritmer og metoder... ikke "jippi, vi fant på dette først" NOD32 er kanskje best til å ta trojaner og backdoors også? Denne type dessinformasjon gjør at dere ikke kan tas seriøst i bransjen... CBK Comm. ASTil de som klager over at NOD32 popper opp med advarsler over crack-filene deres, så er det nok en grunn til det. Mange av disse inneholder ekle script som faktisk gjør stygge ting med PC'en din. Husk at NOD32 går inn i filene, og finner ødeleggende kode der. Tulling, det gjør alle AV-programmene. Tror du de sjekker filnavnet? Det er jo koden som er skadelig, ikke filnavnet.... Og hva er et ekkelt skript som gjør stygge ting? Jeez... Endret 14. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 15. september 2004 Del Skrevet 15. september 2004 CBK Comm. ASNår det gjelder Heuristisk skanning vs. Normans Sandbox, så er det viktig å være klar over at det finnes mange utgaver av den heuristiske. Eset (NOD32) er de som har holdt på lengst med dette, og programmer slikt aller best. Men Sandbox'en gjør sikkert det den skal, selv om prosessen kanskje er litt omstendig foreløpig. Et eksempel på dette er at Norman og NOD32 var de eneste som tok en mutert utgave av MyDoom-viruset uten å ha signaturfilen klar. De andre produsentene måtte vente til programmerne ble ferdig. Er du helt sprø, eller har du ikke den fjerneste erfaring fra AV-bransjen? Dette er det mest vanvittige jeg har hørt. Vi har holdt på lengst, derfor er vi best? Dette er algoritmer og metoder... ikke "jippi, vi fant på dette først" NOD32 er kanskje best til å ta trojaner og backdoors også? Denne type dessinformasjon gjør at dere ikke kan tas seriøst i bransjen... CBK Comm. ASTil de som klager over at NOD32 popper opp med advarsler over crack-filene deres, så er det nok en grunn til det. Mange av disse inneholder ekle script som faktisk gjør stygge ting med PC'en din. Husk at NOD32 går inn i filene, og finner ødeleggende kode der. Tulling, det gjør alle AV-programmene. Tror du de sjekker filnavnet? Det er jo koden som er skadelig, ikke filnavnet.... Og hva er et ekkelt skript som gjør stygge ting? Jeez... Hmm...ikke så veldig lett å ta deg seriøst heller, da. Vi er forsåvidt enig med det at man er ikke nødvendigvis best fordi man har holdt på lengst med noe. Men erfaring har litt å si. Eset var visst de første som implementerte dette, men det betyr sikkert ingenting. Så dette var sikkert et litt dårlig eksempel. Men testene i Virus Bulletin viser at de tar mest virus av alle, så ting funker visst. Norman og Kaspersky greier ikke ta alle virusene. Kaspersky er allikevel bra. dog. Ingen antivirusprogrammer er spesielt bra til å ta trojanere og backdoors, det blir stort sett halvveis uansett. Da er det bedre med et dedikert spyware/malware program, f.eks. PestPatrol. I PC Welt linken din er BitDefender raskest med å komme ut med signaturfiler. Da burde vel alle kjøpe det programmet vel? Ikke så farlig med de andre virusene som slipper igjennom? NOD32 var forresten ikke med på lista. Om alle AV-programmer sjekker skadelig kode i alle filer, så gjør ikke alle det like godt. På rimelig mange PC'er som hadde bl.a. Norton og F-Secure installert fra før, fant NOD32 tildels mange virus disse ikke fant. Vet ikke om alle er enig at skannetiden ikke er så viktig. Ja, NOD32 skanner ikke alle filer, men skanner de filtyper som kan inneholde virus. Hvis du vil, kan du sette NOD32 til å skanne alle filer. Vi har prøvd dette, og skannetiden går selvfølgelig opp, men er allikevel mye raskere enn f.eks. Symantec. Canon i Japan testet også dette, mot Trend og McAfee i tillegg, og fant samme resultat. Med en real-time skanner som skanner ALLE filer som blir åpnet og aksessert av deg eller operativsystemet, så er det vel ikke så farlig om det ligger et inaktivt virus godt innpakket i en .rar fil? Med én gang filen "rører" på seg, så blir den stoppet. Det er vel ganske viktig? Lenke til kommentar
mrbobson Skrevet 15. september 2004 Del Skrevet 15. september 2004 (endret) Enig, skal holde et mer saklig nivå... ble bare litt provosert Jepp, NOD32 er beryktet får å ha endel falske positiver - og det fremkommer vel ikke her? har sett noen tråder rundt om kring, men en vanlig bruker vet vel ikke hva som er virus eller ikke så lenge programmet rapporterer en mulig infeksjon? Dvs. den oppdager mer virus en det som eksisterer. Det er ingen sak å vinne VBN 100% award, faktisk. Og ja; NOD32 har flest awards der. ingen tvil om det. For din informasjon var Kaspersky først ute med heuristikkanalyse.... I PC Welt linken din er BitDefender raskest med å komme ut med signaturfiler. Da burde vel alle kjøpe det programmet vel? Ikke så farlig med de andre virusene som slipper igjennom? NOD32 var forresten ikke med på lista. Var vel ikke helt det jeg skrev? Jeg stemmer for de som tar flest virus, og totalt sett gir meg raskets beskyttelse. Det er summen av antall virus, hastighet og oppdateringsfrekvens som er avgjørende for meg.... Og testen av hastighet: Kaspersky var raskest på responstid målt over tid (gjennomsnitt) BitDefender på et av virusene... At NOD32 ikke er med på listen? ja, er kanskje det. hvilken oppdateringsfrekvens har de da? (ikke publiseringer, men gjennomsnittelig responstid fra utbrudd til databasen er tilgjengelig for alle kunder) Alle de store AV-produsentene utveksler jo AV-database en gang i måneden, så en produsent som oppdaterer sjeldent stoler ikke jeg på. Det betyr for meg at de ikke researcher utbrudd av nye virus.... som kanskje er den største trusselen for tiden. Ingen antivirusprogrammer er spesielt bra til å ta trojanere og backdoors, det blir stort sett halvveis uansett. Da er det bedre med et dedikert spyware/malware program, f.eks. PestPatrol. Vel, Kaspersky er kjent som den beste av AV-produsentene på dette (sjekk med scandsecure/eurosecure som distribuerer både NOD32 og Kaspersky), men ja - dedikert programvare er best. Kaspersky har 3 databaser, er ikke sikker på om de fleste vet dette. Ihvertfall: du kan laste ned nivåer av beskyttelse som faktisk funker veldig bra. http://www.kaspersky.com/extraavupdates Vet ikke om alle er enig at skannetiden ikke er så viktig. Ja, NOD32 skanner ikke alle filer, men skanner de filtyper som kan inneholde virus. Hvis du vil, kan du sette NOD32 til å skanne alle filer. Vi har prøvd dette, og skannetiden går selvfølgelig opp, men er allikevel mye raskere enn f.eks. Symantec. Canon i Japan testet også dette, mot Trend og McAfee i tillegg, og fant samme resultat. Skannetid (ikke monitor/real time) er "bløff" når ikke filer som kan infiseres tas med. NOD32 skanner jo ikke alle filer som kan infiseres om den ikke tar pakkeformater.... NOD32 har en rask motor, helt klart - men den skanner ikke dypt nok. Hva var resultatet målt mot Kaspersky? I følge din teori trenger man ikke behovskanning da? Kun sanntid? Og hva om skriptet som ligger skjult i pakken stopper AV-monitoren? Jepp, da er viruset fri til å gjøre hva det vil.... Jeg tror faktisk alle viruseksperter er enig om at det ikke er så himla lurt å kjøre viruset for å se om det er et virus.... Ser forresten ikke NOD32 her heller: http://www.scawards.com/winners/2004.asp selv om det var med i konkurransen http://www.nod32norway.com/news.asp?id=776489e80010725f Endret 15. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 15. september 2004 Del Skrevet 15. september 2004 (endret) Enig, skal holde et mer saklig nivå... ble bare litt provosert Det er fint. :-) Jepp, NOD32 er beryktet får å ha endel falske positiver - og det fremkommer vel ikke her? har sett noen tråder rundt om kring, men en vanlig bruker vet vel ikke hva som er virus eller ikke så lenge programmet rapporterer en mulig infeksjon? Dvs. den oppdager mer virus en det som eksisterer. Det må du nesten backe opp med litt harde fakta. PCWorlds (i USA) test sa også dette, men de gjorde det meste feil der. Åssen kan folk være så sikker på at det ikke er et virus? Vanlige filer som man kjenner fra før kan fort være infiserte. Det er ingen sak å vinne VBN 100% award, faktisk. Og ja; NOD32 har flest awards der. ingen tvil om det. Jasså, så det er superlett å vinne denne? Hvorfor har ikke alle AV-programmene denne award'en da? Tror de fleste i markedet ser på VB som rimelig korrekte og seriøse. For din informasjon var Kaspersky først ute med heuristikkanalyse.... Det kan godt hende, vi har ikke fått bekreftet dette enda. I PC Welt linken din er BitDefender raskest med å komme ut med signaturfiler. Da burde vel alle kjøpe det programmet vel? Ikke så farlig med de andre virusene som slipper igjennom? NOD32 var forresten ikke med på lista. Var vel ikke helt det jeg skrev? Vel, du sier det er det viktigste punktet, og da blir vel BitDefender det beste og det man må velge? Man må jo tolke litt. :-) Jeg stemmer for de som tar flest virus, og totalt sett gir meg raskets beskyttelse. Det er summen av antall virus, hastighet og oppdateringsfrekvens som er avgjørende for meg.... Og testen av hastighet: Kaspersky var raskest på responstid målt over tid (gjennomsnitt) BitDefender på et av virusene... At NOD32 ikke er med på listen? ja, er kanskje det. hvilken oppdateringsfrekvens har de da? (ikke publiseringer, men gjennomsnittelig responstid fra utbrudd til databasen er tilgjengelig for alle kunder) Har ikke tallene for responstiden, men det vi har hørt foreløpig er at Eset's lab er blant de raskeste. Skal prøve å få fram noe fakta på dette. De har en ok side her: http://www.virus-radar.com/index_enu.html Den gir vel ikke svar på hvor raske de er, men det virker ikke som de sitter og sløver. Her er også en liste over database oppdateringene deres: http://www.nod32.com/support/info.htm Alle de store AV-produsentene utveksler jo AV-database en gang i måneden, så en produsent som oppdaterer sjeldent stoler ikke jeg på. Det betyr for meg at de ikke researcher utbrudd av nye virus.... som kanskje er den største trusselen for tiden. Produsentene må definitivt være på hugget, ja. Tror ikke noen av dem har råd til å henge etter med oppdateringene. Virusene spres utrolig fort for tida. Ingen antivirusprogrammer er spesielt bra til å ta trojanere og backdoors, det blir stort sett halvveis uansett. Da er det bedre med et dedikert spyware/malware program, f.eks. PestPatrol. Vel, Kaspersky er kjent som den beste av AV-produsentene på dette (sjekk med scandsecure/eurosecure som distribuerer både NOD32 og Kaspersky), men ja - dedikert programvare er best. Joda, Kaspersky er nok bedre til å ta trojanere, det skal de ha, men uansett blir det halvgjort, og da er det vel like greit å ha en dedikert produkt for dette? Og slippe at AV-programmet bruker ressurser på det også? Vi har nok snakket litt med Eurosecure allerede. Som forresten ikke gidder konsentrere seg spesielt om Kaspersky. For dem er det NOD32 som gjelder. ;-) Kaspersky har 3 databaser, er ikke sikker på om de fleste vet dette. Ihvertfall: du kan laste ned nivåer av beskyttelse som faktisk funker veldig bra. http://www.kaspersky.com/extraavupdates Alltid kjekt med litt ekstra beskyttelse, men må dette lastes ned "ved siden av", eller er dette en del av den ordinære updaten? Det virker som det kan bli litt mye å passe på. Skannetid (ikke monitor/real time) er "bløff" når ikke filer som kan infiseres tas med. NOD32 skanner jo ikke alle filer som kan infiseres om den ikke tar pakkeformater.... NOD32 har en rask motor, helt klart - men den skanner ikke dypt nok. Hva var resultatet målt mot Kaspersky? Det er litt drøyt å kalle det "bløff". Vet du at NOD32 ikke skanner infisérbare filer? Hvis man føler for det, kan man jo sette på valget for å skanne absolutt alle filer. I følge din teori trenger man ikke behovskanning da? Kun sanntid? Og hva om skriptet som ligger skjult i pakken stopper AV-monitoren? Jepp, da er viruset fri til å gjøre hva det vil.... Sanntidsskanneren er den viktigste delen av programmet. Uten den er det verdiløst. Hvis alle filer som blir aksessert skannes heuristisk, tror du ikke et skript som stopper monitoren vil bli klassifisert som farlig, og dermed stoppet? Jeg tror faktisk alle viruseksperter er enig om at det ikke er så himla lurt å kjøre viruset for å se om det er et virus.... DET kan vi nok være enig i, ja. :-) Ser forresten ikke NOD32 her heller: http://www.scawards.com/winners/2004.asp selv om det var med i konkurransen http://www.nod32norway.com/news.asp?id=776489e80010725f Det kan nok være, men hvor seriøst skal man ta en leseravstemming? Hvem stemmer, hvilken erfaring har de etc. Jeg hadde ikke basert min beslutning på slikt hvis jeg var en IT-sjef i et firma. Eset er da med her ihvertfall: http://www.westcoastlabs.org/ http://www.icsalabs.com/ I nyeste utgave av svenske Internetworld, har de testet disse nye AV-programmene fra de gamle øst-blokklandene, bl.a. NOD32 og Kaspersky. NOD32 ble ansett som det beste av disse, og de mente det var det beste de hadde testet noensinne. Det var 1-brukerversjonene de testet. Beklager at det ble litt langt, men det ble litt å svare på. :-) Endret 15. september 2004 av CBK Comm. AS Lenke til kommentar
mrbobson Skrevet 15. september 2004 Del Skrevet 15. september 2004 (endret) Falske positiver: Det må du nesten backe opp med litt harde fakta. PCWorlds (i USA) test sa også dette, men de gjorde det meste feil der. Åssen kan folk være så sikker på at det ikke er et virus? Vanlige filer som man kjenner fra før kan fort være infiserte. Det er det som er å være beryktet for det.... AT man får utslag for virus på helt ren/fri kode... og det gjør programmet av og til. Det finnes tester som måler dette i %, men somregel er dette en %-andel som produsenten selv publiserer (eller bør publisere) VBN: Jasså, så det er superlett å vinne denne? Hvorfor har ikke alle AV-programmene denne award'en da? Tror de fleste i markedet ser på VB som rimelig korrekte og seriøse. 'Hehe... dersom du ser sammenhengen på VB, vil du kjapt se at de nedprioriterer falske positiver for å oppnå 100% - men; de har med kommentarer i papirutgaven - som ikke fremkommer av gratissidene... Ergo: dersom et program tagger alle filer med "suspicious" oppnår du 100% i denne testen, men vil selvsagt knuses i andre tester. I følge din teori trenger man ikke behovskanning da? Kun sanntid? Og hva om skriptet som ligger skjult i pakken stopper AV-monitoren? Jepp, da er viruset fri til å gjøre hva det vil.... Sanntidsskanneren er den viktigste delen av programmet. Uten den er det verdiløst. Hvis alle filer som blir aksessert skannes heuristisk, tror du ikke et skript som stopper monitoren vil bli klassifisert som farlig, og dermed stoppet? Tror kanskje du missforstår skanning og heuristikk. Skanning etter kjent/identifisert kode er ikke heuristikk...Det er vel heuristikk i monitoren også? Og et skript som stopper/blokker monitoren er elementert i virusverden, ja - dette stoppes ikke dersom heuristikken ikke er 110% habil. (Noe den ikke er, hadde den vært så bra som man vil ha det til hadde man ikke trenget antivirusdatabaser) BitDefender raskest Vel, du sier det er det viktigste punktet, og da blir vel BitDefender det beste og det man må velge? Man må jo tolke litt. Fritt frem for tolking, men du må ta hensyn til størrelsen på databasen også. 1 av 1 er 100%, men lite imponerende når det finnes 100.000 kjente virus. Har ikke tallene for responstiden, men det vi har hørt foreløpig er at Eset's lab er blant de raskeste. Skal prøve å få fram noe fakta på dette. Dette er jeg 100% sikker på at de har. Alle produsentene har egne tall i tillegg til at de mottar alle testresultater (ihvertfall fra de seriøse som av-test.org) Jeg har ikke hørt at NOD32 er blandt de raskeste, men det gjenstår jo å se selvsagt siden det ikke er publisert noe informasjon om dette fra Eset. Her er også en liste over database oppdateringene deres: http://www.nod32.com/support/info.htm Jeg sjekket denne, og kom frem til følgende konklusjon. Siste oppdatering var 20040909 - altså 6 dager siden, og inneholdt kun 13 nye virus. De siste 6 dager har Kaspersky oppdatert ca 140 ganger...Siste døgn kom det oppdatering på ca 82 nye virus identifisert fra Kaspersky. Sorry mac, her taper dere så det griner etter. For å si det sånn, her er siste døgns nye virus fra kaspersky: (last ned siste daily update, og sjekk txt-filen) BAT.Froggy.252, BAT.Metra.c, Backdoor.Linux.Adore.b, Backdoor.Linux.Boost.a, Backdoor.Win32.Agent.ar, Backdoor.Win32.Agent.cx, Backdoor.Win32.Agobot.vl, Backdoor.Win32.BlueEye.c, Backdoor.Win32.Cmjspy.ao, Backdoor.Win32.Delf.li, Backdoor.Win32.Delf.rb, Backdoor.Win32.Delf.rc, Backdoor.Win32.Delf.rd, Backdoor.Win32.Delf.re, Backdoor.Win32.Delf.rf, Backdoor.Win32.Delf.rg, Backdoor.Win32.Easydor.i, Backdoor.Win32.FTP.Small.a, Backdoor.Win32.FTP.ioFtpd.b, Backdoor.Win32.Hackdoor.b, Backdoor.Win32.Haxdoor.aj, Backdoor.Win32.Hoster.a, Backdoor.Win32.Hoster.b, Backdoor.Win32.Pahador.h, Backdoor.Win32.Pazus.201, Backdoor.Win32.Prorat.19, Backdoor.Win32.RBot.br, Backdoor.Win32.RBot.bt, Backdoor.Win32.Rbot.bu, Backdoor.Win32.Rbot.gen, Backdoor.Win32.Small.bm, Backdoor.Win32.Spyboter.de, Backdoor.Win32.Surila.i, Backdoor.Win32.Surila.k, Backdoor.Win32.VB.vn, Backdoor.Win32.VB.vo, Backdoor.Win32.VB.vp, Backdoor.Win32.VB.vq, Backdoor.Win32.VB.vr, Backdoor.Win32.Wootbot.h, Backdoor.Win32.XRat.a, Backdoor.Win32.XRat.b, Backdoor.Win32.XRat.c, Constructor.Win32.ETVM.09, Constructor.Win32.ETVM.16, DDoS.Win32.Boxed.n, DoS.Win32.Chalcol.a, DoS.Win32.Sukill, Exploit.CodeBaseExec, Exploit.HTML.Mht, Exploit.Win32.Serv-U.e, Exploit.Win32.Umex.c, Flooder.Win32.Agent.a, HackTool.Win32.AntiAV.a, HackTool.Win32.Delf.s, HackTool.Win32.Subserv, HackTool.Win32.VB.bd, HackTool.Win32.WwwHack.a, I-Worm.Azag.a, I-Worm.Bagle.ar, I-Worm.Delf.d, I-Worm.Delf.e, I-Worm.Gilp.a, I-Worm.Guatro.a, I-Worm.MyDoom.gen, I-Worm.Mydoom.w, I-Worm.Mydoom.x, I-Worm.Mydoom.y, I-Worm.VB.n, Trojan.Linux.Rootkit.40, Trojan.Linux.Rootkit.t, Trojan.PSW.Almat.aa, Trojan.PSW.Gametea.d, Trojan.PSW.Gametea.e, Trojan.PSW.LdPinch.ez, Trojan.PSW.LdPinch.gg, Trojan.PSW.LdPinch.gi, Trojan.PSW.LdPinch.u, Trojan.PSW.Lmir.wg, Trojan.PSW.Lmir.wh, Trojan.PSW.PdPinch.a, Trojan.PSW.PdPinch.b, Trojan.Win32.Agent.a, Trojan.Win32.Delf.dw, Trojan.Win32.Delf.eo, Trojan.Win32.Delf.ep, Trojan.Win32.Delf.eq, Trojan.Win32.Delf.er, Trojan.Win32.FormatC.m, Trojan.Win32.Hpt.i, Trojan.Win32.KillFiles.gb, Trojan.Win32.Krepdel.a, Trojan.Win32.Krepper.ac, Trojan.Win32.Milt.a, Trojan.Win32.Pakes, Trojan.Win32.Qrap, Trojan.Win32.Rbot.bs, Trojan.Win32.Small.bf, Trojan.Win32.Small.bj, Trojan.Win32.StartPage.jg, Trojan.Win32.StartPage.mn, Trojan.Win32.StartPage.nk, Trojan.Win32.StartPage.od, Trojan.Win32.StartPage.oe, Trojan.Win32.VB.gs, Trojan.Win32.VB.nh, Trojan.Win32.VB.ni, Trojan.Win32.VB.nj, Trojan.Win32.VB.nk, Trojan.Win32.Zapchast, TrojanClicker.Win32.Agent.s, TrojanClicker.Win32.VB.br, TrojanDownloader.JS.Simulator.c, TrojanDownloader.Java.OpenConnection.o, TrojanDownloader.VBS.Psyme.am, TrojanDownloader.WIn32.Small.vj, TrojanDownloader.WIn32.Small.vk, TrojanDownloader.WIn32.Small.vn, TrojanDownloader.Win32.Agend.db, TrojanDownloader.Win32.Agent.dc, TrojanDownloader.Win32.Agent.dd, TrojanDownloader.Win32.Delf.ed, TrojanDownloader.Win32.Delf.ee, TrojanDownloader.Win32.Delf.ef, TrojanDownloader.Win32.Harnig.ad, TrojanDownloader.Win32.Keenval.g, TrojanDownloader.Win32.PurityScan.l, TrojanDownloader.Win32.Small.ht, TrojanDownloader.Win32.Small.ve, TrojanDownloader.Win32.Small.vf, TrojanDownloader.Win32.Small.vg, TrojanDownloader.Win32.Small.vh, TrojanDownloader.Win32.Small.vi, TrojanDownloader.Win32.Small.vl, TrojanDownloader.Win32.Small.vm, TrojanDownloader.Win32.Small.vo, TrojanDownloader.Win32.Small.vp, TrojanDownloader.Win32.Small.vq, TrojanDownloader.Win32.Small.vr, TrojanDownloader.Win32.VB.es, TrojanDownloader.Win32.VB.et, TrojanDownloader.Win32.WinTool, TrojanDropper.JS.Small.d, TrojanDropper.Java.Beyond.d, TrojanDropper.Win32.Agent.v, TrojanDropper.Win32.Delf.em, TrojanDropper.Win32.Mudrop.j, TrojanDropper.Win32.PurityScan.f, TrojanDropper.Win32.Small.ll, TrojanDropper.Win32.Small.lm, TrojanProxy.Win32.Agent.bh, TrojanProxy.Win32.Mitglieder.bn, TrojanProxy.Win32.Mitglieder.cc, TrojanProxy.Win32.Ranky.au, TrojanProxy.Win32.RedBind.b, TrojanSpy.HTML.Citifraud.ac, TrojanSpy.Win32.Agent.au, TrojanSpy.Win32.Agent.av, TrojanSpy.Win32.Bancos.n, TrojanSpy.Win32.Banker.dk, TrojanSpy.Win32.Banker.dl, TrojanSpy.Win32.Banker.dm, TrojanSpy.Win32.Delf.dk, TrojanSpy.Win32.Delf.dl, TrojanSpy.Win32.Small.be, TrojanSpy.Win32.VB.cx, TrojanSpy.Win32.VB.cy, VirTool.Win32.VB.n, Win32.Killis.a, Worm.IRC.Bluber.c, Worm.P2P.Compux.a, Worm.P2P.Delf.x, Worm.P2P.Multex.b, Worm.P2P.Small.i, Worm.P2P.Small.n, Worm.Win32.Delf.c, Worm.Win32.Delf.d, Worm.Win32.Delf.e, Worm.Win32.Myfip.b, Worm.Win32.Randon, Worm.Win32.VB.f, not-virus:Joke.Win32.Krepper.a, not-virus:Joke.Win32.Krepper.b, not-virus:Joke.Win32.Krepper.c, not-virus:Joke.Win32.Krepper.d Decompression support added for: AlexPack, PE_Patch New archive types: Embedded CAB Og: når du snakker om at det ikke er lurt at et AV-program tar trojaner? jo, trojaner er virus... og du ser kanskje av listen over hvor mange som kommer per dag? Ekstra databaser: Alltid kjekt med litt ekstra beskyttelse, men må dette lastes ned "ved siden av", eller er dette en del av den ordinære updaten? Det virker som det kan bli litt mye å passe på. Det går selvsagt auto-magisk... instilling i valg av database (drop-down) fra versjon 5.0 og nyere Det er litt drøyt å kalle det "bløff". Vet du at NOD32 ikke skanner infisérbare filer? Hvis man føler for det, kan man jo sette på valget for å skanne absolutt alle filer. Syness ikke det er drøyt jeg: arkiv og komprimerte filer kan infiseres, og så lenge NOD32 ikke pakker ut innholdet og skanner filen, skanner den ikke alt som kan infiseres. Vi (eller alle andre) snakker om å måle programmers ytelse, og da må sammenligningsgrunnlaget være identisk. Kaspersky har jeg målt raskere en NOD32 dersom man fjerner skanning av arkiver og komprimerte filformater (ja, har testet alle AV-programmer) I nyeste utgave av svenske Internetworld, har de testet disse nye AV-programmene fra de gamle øst-blokklandene, bl.a. NOD32 og Kaspersky. NOD32 ble ansett som det beste av disse, og de mente det var det beste de hadde testet noensinne. Det var 1-brukerversjonene de testet. Det er jo kjempebra å vinne tester!! Skulle gjerne sett hva de satte som kriterier, men jeg finner ingenting på websidene? stemmer det? kjekt om du har en lenke jeg kan klikke på.... IDG i Norge også tester AV, blandt annet er det en AV-test i neste utgave. Jeg tipper Symantec eller Trend stikker av med seieren der..... råtips Eset er selvsagt med blandt de 20 store AV-produsentene, og er en seriøs aktør - er ikke det jeg snakker om. Brukeravstemninger kan da være like så viktige som andre avstemninger? Sånn som det ser ut på forumet her har jo NOD32 mange tilhengere, men det er vel ikke slikt internasjonalt? Er dette et sær-norskt fenomen? Ja, ble litt lang tråd - tro jeg svarte på alt? Endret 15. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 15. september 2004 Del Skrevet 15. september 2004 Falske positiver: Det må du nesten backe opp med litt harde fakta. PCWorlds (i USA) test sa også dette, men de gjorde det meste feil der. Åssen kan folk være så sikker på at det ikke er et virus? Vanlige filer som man kjenner fra før kan fort være infiserte. Det er det som er å være beryktet for det.... AT man får utslag for virus på helt ren/fri kode... og det gjør programmet av og til.Det finnes tester som måler dette i %, men somregel er dette en %-andel som produsenten selv publiserer (eller bør publisere) Alle AV-programmer kommer med falske advarsler i ny og ne, også Kaspersky og NOD32. Jeg tok noen kjappe søk på diverse nyhetsgrupper, og fant mange som nevner dette i forbindelse med Kaspersky også. Hehe... dersom du ser sammenhengen på VB, vil du kjapt se at de nedprioriterer falske positiver for å oppnå 100% - men; de har med kommentarer i papirutgaven - som ikke fremkommer av gratissidene... Ergo: dersom et program tagger alle filer med "suspicious" oppnår du 100% i denne testen, men vil selvsagt knuses i andre tester. Nuvel. Jeg sakset dette fra VB's test på NT i februar 2004: "This month sees another addition to Eset’s growing collection of VB 100% awards. With 100 per cent detection in all categories and no false positives, NOD32 pulls no surprises out of the bag." Her er en til, som jeg mener er fra nyeste VB test: ""NOD32 once again had 100% detection, with no false positives, thus earning its record setting 28th 100% Award. In addition to this outstanding level of detection, NOD32's scanning rate of executable files was almost six times faster than some of the other products tested." Jeg vet ikke om du sitter med noen andre tester? NOD32 er forsåvidt også det eneste AV-programmet som ikke har bommet på et eneste av In the Wild virusene de siste 5 år. Tror kanskje du missforstår skanning og heuristikk. Skanning etter kjent/identifisert kode er ikke heuristikk...Det er vel heuristikk i monitoren også? Og et skript som stopper/blokker monitoren er elementert i virusverden, ja - dette stoppes ikke dersom heuristikken ikke er 110% habil. (Noe den ikke er, hadde den vært så bra som man vil ha det til hadde man ikke trenget antivirusdatabaser) Hmm...ExtremeTech sier dette: "The term heuristic (hyu-RIS-tik) comes from the Greek word heuriskein, meaning "to discover", and describes the technique of approaching a problem through past experience, or knowledge. Technically, all forms of scanning are essentially heuristic, since AV researchers apply the knowledge of code sequences and infection locations to the signatures. " Tror neppe signaturfilene kommer til å bli borte med det første, teknologien er såpass enkel at alle kan lage dette. Signaturene vil også ta bort litt "workload" fra den heuristiske skanningen. Teknologiene fyller ut hverandre på en fin måte, enn så lenge. Fritt frem for tolking, men du må ta hensyn til størrelsen på databasen også. 1 av 1 er 100%, men lite imponerende når det finnes 100.000 kjente virus. Ok, da kan vi tolke det dithen at PC Welts test ikke var så veldig informativ? Her er også en liste over database oppdateringene deres: http://www.nod32.com/support/info.htm Jeg sjekket denne, og kom frem til følgende konklusjon. Siste oppdatering var 20040909 - altså 6 dager siden, og inneholdt kun 13 nye virus. De siste 6 dager har Kaspersky oppdatert ca 140 ganger...Siste døgn kom det oppdatering på ca 82 nye virus identifisert fra Kaspersky. Ok, litt uheldig linking av meg. Jeg sjekket statusen på min egen NOD32-installasjon, og de har visst oppdatert basen 3 ganger etter hva som står på web'en deres. Sist oppdatering var nå nettop faktisk. Så de har nok fått med seg det meste. Og: når du snakker om at det ikke er lurt at et AV-program tar trojaner? jo, trojaner er virus... og du ser kanskje av listen over hvor mange som kommer per dag? Joda, selvfølgelig skal et AV-program skal prøve å ta Trojanere også, det var mer Spyware og slikt jeg tenkte på. Beklager litt dårlig ordlegging. Det er litt drøyt å kalle det "bløff". Vet du at NOD32 ikke skanner infisérbare filer? Hvis man føler for det, kan man jo sette på valget for å skanne absolutt alle filer. Syness ikke det er drøyt jeg: arkiv og komprimerte filer kan infiseres, og så lenge NOD32 ikke pakker ut innholdet og skanner filen, skanner den ikke alt som kan infiseres. Vi (eller alle andre) snakker om å måle programmers ytelse, og da må sammenligningsgrunnlaget være identisk. Kaspersky har jeg målt raskere en NOD32 dersom man fjerner skanning av arkiver og komprimerte filformater (ja, har testet alle AV-programmer) NOD32 skanner selvfølgelig arkiver også, det er en egen option for dette, i tilfelle man ikke vil skanne disse. Fint at du har målt Kaspersky til å være raskere, men jeg stoler litt mer på Virusbulletins resultater. I nyeste utgave av svenske Internetworld, har de testet disse nye AV-programmene fra de gamle øst-blokklandene, bl.a. NOD32 og Kaspersky. NOD32 ble ansett som det beste av disse, og de mente det var det beste de hadde testet noensinne. Det var 1-brukerversjonene de testet. Det er jo kjempebra å vinne tester!! Skulle gjerne sett hva de satte som kriterier, men jeg finner ingenting på websidene? stemmer det? kjekt om du har en lenke jeg kan klikke på.... Testen er kun i papirformat foreløpig, men den kommer vel på web etterhvert. De vil vel selge unna litt blader først. :-) IDG i Norge også tester AV, blandt annet er det en AV-test i neste utgave. Jeg tipper Symantec eller Trend stikker av med seieren der..... råtips Hehe...skjønner hva du mener. S og T gjør det ofte skarpt der, gitt. Men jeg synes å ha merket at de har kritisert Symantec ganske hardt i det siste. Enig? Eset er selvsagt med blandt de 20 store AV-produsentene, og er en seriøs aktør - er ikke det jeg snakker om. Brukeravstemninger kan da være like så viktige som andre avstemninger? Sånn som det ser ut på forumet her har jo NOD32 mange tilhengere, men det er vel ikke slikt internasjonalt? Er dette et sær-norskt fenomen? Tror nok ikke det særnorsk, nei. NOD32 har knapt vært på markedet i Norge i det hele tatt. Vi har lest en god del forum rundt omkring, og det virker som både Kaspersky og NOD32 har mange tilhengere. Norton blir stort sett bannlyst nå. :-) Vi har funnet en del klager på at Kaspersky's real-time gjør maskiner ganske så treige. Dog ikke så ille som Symantec, McAfee og mange av de andre. Artig at øst-europeerne gjør det såpass bra. Heh...begynner å bli litt lengde nå. Nesten litt vanskelig å få til quote'ene. Lenke til kommentar
mrbobson Skrevet 16. september 2004 Del Skrevet 16. september 2004 (endret) Tror jeg snipper den litt ned ja, ble alt for langt dette her. Håper jeg tar med det vesentlige da... Falske positiver: Nei, har ingen tester liggende på det. Skal selvsagt se om jeg finner noe Definisjon Heuristics "The term heuristic (hyu-RIS-tik) comes from the Greek word heuriskein, meaning "to discover", and describes the technique of approaching a problem through past experience, or knowledge. Technically, all forms of scanning are essentially heuristic, since AV researchers apply the knowledge of code sequences and infection locations to the signatures. " Tror neppe signaturfilene kommer til å bli borte med det første, teknologien er såpass enkel at alle kan lage dette. Signaturene vil også ta bort litt "workload" fra den heuristiske skanningen. Teknologiene fyller ut hverandre på en fin måte, enn så lenge. Her har vi en liten misforståelse. Nesten alle AV-produsenter har "Heuristic Analysis" i sine produkter i forskjelige former, men i basis betyr heuristikk at man oppdager virus på "oppførsel" eller "Behavior-based". Jeg tror nok din konklusjon/uttrekk fra definisjonen over var litt feil - det står også der at det er koden i seg selv som viser hva koden gjør - ergo "oppførsel" ikke "oppdage" Jeg tror man ikke skal blande generisk deteksjon, og heuristikk.... Fritt frem for tolking, men du må ta hensyn til størrelsen på databasen også. 1 av 1 er 100%, men lite imponerende når det finnes 100.000 kjente virus. Ok, da kan vi tolke det dithen at PC Welts test ikke var så veldig informativ? Hehe, nei det synes jeg ikke. De publiserte resultatene fra testen (ikke PC Welt, men AV-test.org som utførte testen) er informative og meget godt beskrevet alle elementer. Her er noe av resultatene som ligger i presentasjonen av Andreas Marx, AV-Test GmbH (desverre på tysk) Response Times: Wie wir testen Automatischer Update-Check bei 22 AV-Herstellern (alle 5 Minuten) Download neuer Beta- und Release-Signaturen und alle sonstigen Updates Datenbank-Eintragung, sonst erst einmal nichts! Im Falle von Outbreaks Momentan noch manueller Test der verfügbaren Updates, erst teilweise automatisiert Welcher Hersteller war mit Release-Updates am schnellsten (28 Outbreaks in 2004)? Kaspersky (02:35 h), Bitdefender (02:45 h) F-Secure (04:00 h), RAV (04:15 h) Dr. Web (04:30 h), Panda (05:20 h) AntiVir (05:55 h), Quickheal (07:00 h) Sophos (07:15 h), F-Prot (08:15 h) AVG (08:20 h), Trend Micro (08:40 h) Norman (09:30 h), Virusbuster (09:30 h) Command (10:00 h), eTrust/CA-Engine (10:35 h) Avast (11:35 h), Esafe (12:20 h) McAfee (12:55 h), Symantec (14:00 h) eTrust/VET-Engine (15:10 h), Ikarus (32:05 h) ClamAV (60:05) NOD32 skanner selvfølgelig arkiver også, det er en egen option for dette, i tilfelle man ikke vil skanne disse.Fint at du har målt Kaspersky til å være raskere, men jeg stoler litt mer på Virusbulletins resultater. Jepp - kaspersky skanner i ca 900 arkiv/komprimerte filformater, og NOD32? Godt mulig at vurisbulleting er mer nøyaktig i sine tester ja Har du målt motsatt vei? Dvs med skanning i arkvier for NOD32 og målt mot Kaspersky da? Tror nok ikke det særnorsk, nei. NOD32 har knapt vært på markedet i Norge i det hele tatt. Vi har lest en god del forum rundt omkring, og det virker som både Kaspersky og NOD32 har mange tilhengere. Norton blir stort sett bannlyst nå. Vi har funnet en del klager på at Kaspersky's real-time gjør maskiner ganske så treige. Dog ikke så ille som Symantec, McAfee og mange av de andre. Artig at øst-europeerne gjør det såpass bra. Jeg tror alternative programmer, som er raskere og mer effektive vil komme stort fremover ja, og ser at NOD32 og Kaspersky er nok blandt de største utfordrerne til de andre mer kjente "merkenavnene". Jeg må si at jeg er overrasket over at folk faktisk bruker Norman.... det programmet oppdager faktisk ikke virus - i min mening. Treghet: Ja, de brukere som har versjon 4.0 av kaspersky opplever treghet i sanntidskanning, det var en feil i den versjonen som ble korrigert i versjon 4.5. Men i versjon 5.0 er det en enorm ytelsesforskjell fra versjon 4... Nå er ikke 5.0 testet særlig mye ennå si vidt jeg har sett, men det kommer sikkert. Hehe...skjønner hva du mener. S og T gjør det ofte skarpt der, gitt. Men jeg synes å ha merket at de har kritisert Symantec ganske hardt i det siste. Enig? Ja, har lagt merke til det. Også at de følger med på Sandbox2. Tipper de slakter den, siden den har en slow-down på 70+% på maskinen. Da er det jo ingen som faktisk kan bruke teknologien..... Endret 16. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 16. september 2004 Del Skrevet 16. september 2004 Tror jeg snipper den litt ned ja, ble alt for langt dette her. Håper jeg tar med det vesentlige da... Hehe...kan være lurt å snippe litt, ja. :-) Falske positiver: Nei, har ingen tester liggende på det. Skal selvsagt se om jeg finner noe Vi kan jo ta med litt om VB's testprosedyre: "A VB 100% award denotes that the product in question showed, in its default mode, 100 per cent detection of In the Wild test samples and no false positives in a selection of clean files. " Altså godtar ikke VB en eneste falsk alarm, da blir det "Fail". Da ville vel ikke NOD32 hatt best score av alle? Problemet med andre AV-tester (også AV-test.org) er at de har brukt simulerte virus som de har lagd selv. De er lagd for å trigge AV-programmet, men er helt ufarlig. NOD32 tester "viruset" og finner at det ikke er skadelig, og trigger ikke på det. Da tolker testerne det dithen at programmet ikke detekterer disse virusene, og gir NOD32 dårlig score. Det var bl.a. dette PCWorld USA gjorde feil, det var vel faktisk tyskeren bak AV-test.org som gjorde denne testen. Som sagt, det er UTROLIG vanskelig å gjøre en skikkelig AV-test. VirusBulletin blir ansett som de eneste som greier å gjøre dette rettferdig. Definisjon Heuristics Her har vi en liten misforståelse. Nesten alle AV-produsenter har "Heuristic Analysis" i sine produkter i forskjelige former, men i basis betyr heuristikk at man oppdager virus på "oppførsel" eller "Behavior-based". Jeg tror nok din konklusjon/uttrekk fra definisjonen over var litt feil - det står også der at det er koden i seg selv som viser hva koden gjør - ergo "oppførsel" ikke "oppdage" Jeg tror man ikke skal blande generisk deteksjon, og heuristikk.... Javisst, så godt som alle har slik analyse, men det er STORE kvalitetsforskjeller her. Noen har det bare implementert det fordi alle andre har det, funksjonaliteten blir nesten verdiløs. NOD32 har en heuristisk analyse svært få, om noen, kan matche. Så man skal ikke blande generisk deteksjon og heuristikk? Her er et sitat hentet fra denne essay'en om heuristisk scanning: "Of the many generic detection methods, heuristic scanning is currently becoming the most important." Mye interessant lesning der, forresten. Prøv å få tid til å tråle gjennom den. Her er en forenklet beskrivelse av heuristisk skanning: "A heuristic scanner is a type of automatic debugger or disassembler. The instructions are disassembled and their purposes are determined. If a program starts with the sequence MOV AH,5 INT 13h which is a disk format instruction for the BIOS, this is highly suspected, especially if the program does not process any command line options or interact with the user. " Ok, da kan vi tolke det dithen at PC Welts test ikke var så veldig informativ? Hehe, nei det synes jeg ikke. De publiserte resultatene fra testen (ikke PC Welt, men AV-test.org som utførte testen) er informative og meget godt beskrevet alle elementer. Heh...greit nok, testen var vel litt mer gjennomført enn hva det gikk fram av den linken du først brukte. :-) Men...Andreas Marx...er ikke det karen bak AV-test.org? Mildt sagt ganske kontroversiell, og ikke spesielt anerkjent pga. sine testprosedyrer? Vi har en rapport fra bl.a. Eset der de totalslakter testen han gjorde for PCWorld USA. PC-Welt artikkelen er vel litt annerledes, men troverdigheten hans er vel ikke helt på topp. Jepp - kaspersky skanner i ca 900 arkiv/komprimerte filformater, og NOD32? Ikke sikker, dessverre. Skal prøve å få tak i noen tall. Godt mulig at vurisbulleting er mer nøyaktig i sine tester ja Har du målt motsatt vei? Dvs med skanning i arkvier for NOD32 og målt mot Kaspersky da? Nei, fordi en slik test ikke ville representativ for hverken NOD32 eller Kaspersky. Vi overlater det til de som kan det. Personlig har jeg sett litt på NOD32 vs. Symantec, der NOD32 også skanner alle filer. Symantec var LANGT etter, men de er vel blant de verste også. Dette var bare på en vanlig PC, så det betyr ikke stort. Jeg tror alternative programmer, som er raskere og mer effektive vil komme stort fremover ja, og ser at NOD32 og Kaspersky er nok blandt de største utfordrerne til de andre mer kjente "merkenavnene". Jeg må si at jeg er overrasket over at folk faktisk bruker Norman.... det programmet oppdager faktisk ikke virus - i min mening. DER er vi enige... :-) Norman har nok litt jobb igjen å gjøre. Mange som er misfornøyde med dem, og vil prøve noe annet. Treghet: Ja, de brukere som har versjon 4.0 av kaspersky opplever treghet i sanntidskanning, det var en feil i den versjonen som ble korrigert i versjon 4.5. Men i versjon 5.0 er det en enorm ytelsesforskjell fra versjon 4... Nå er ikke 5.0 testet særlig mye ennå si vidt jeg har sett, men det kommer sikkert. Hmm....jeg mener å ha lest av også versjon 5.0 sliter litt med ytelsen, men de greier sikkert å optimalisere koden litt mer. Hehe...skjønner hva du mener. S og T gjør det ofte skarpt der, gitt. Men jeg synes å ha merket at de har kritisert Symantec ganske hardt i det siste. Enig? Ja, har lagt merke til det. Også at de følger med på Sandbox2. Tipper de slakter den, siden den har en slow-down på 70+% på maskinen. Da er det jo ingen som faktisk kan bruke teknologien..... Sandbox'en er såpass ille enda, altså? De tidligere versjonene var nok så ille, men har de ikke fått litt mer fart på sakene i de nyeste versjonene? Man må vel ha en Pentium 4.5 Ghz for å bruke dette. :-) Det var forresten KUN Norman og NOD32 som stoppet en mutert utgave av MyDoom for en stund tilbake. Norman med Sandkassa si, og NOD32 med heurismen sin. Teknologiene er ikke så forskjellige, hvis man ser litt stort på det. Lenke til kommentar
mrbobson Skrevet 16. september 2004 Del Skrevet 16. september 2004 (endret) Det var forresten KUN Norman og NOD32 som stoppet en mutert utgave av MyDoom for en stund tilbake. Norman med Sandkassa si, og NOD32 med heurismen sin. Teknologiene er ikke så forskjellige, hvis man ser litt stort på det. Prinsippene er jo det samme. Har du hvilken versjon av MyDoom? Men...Andreas Marx...er ikke det karen bak AV-test.org? Mildt sagt ganske kontroversiell, og ikke spesielt anerkjent pga. sine testprosedyrer? Vi har en rapport fra bl.a. Eset der de totalslakter testen han gjorde for PCWorld USA. PC-Welt artikkelen er vel litt annerledes, men troverdigheten hans er vel ikke helt på topp. Både og, den testen du refererer til er vel et bestillingsverk fra en kunde? De testene som er utført på responstid for publisering av nye virusdefinisjoner/deteksjon har ikke de samme kravene, akkurat. Har ikke hørt noe annet negativt om av-test.org, derimot at universitetet er ganske annerkjent. I tillegg skriver Andrea Marx også på oppdrag fra VBN , hm... sikker på at han ikke er så veldig annekjent? Så man skal ikke blande generisk deteksjon og heuristikk? Her er et sitat hentet fra denne essay'en om heuristisk scanning: "Of the many generic detection methods, heuristic scanning is currently becoming the most important." Nettopp derfor skal man ikke blande begreper - du beskrev først generisk deteksjon (generelt) og kalte det "heuristikk". Det jeg mente er at "Heuristisk" er et eget selvstendig begrep (som inngår i generisk deteksjon). Får se om jeg får en ledig stund til å lese litt fra lenken, takk for den. Hmm....jeg mener å ha lest av også versjon 5.0 sliter litt med ytelsen, men de greier sikkert å optimalisere koden litt mer. Vel, jeg har ikke sett noen test hvor ytelsen er kommentert negativt, derimot det motsatte. Selvsagt kan hjemmebrukere fritt kommentere programmet, men som regel er det instillinger, virus lokalt på maskinen før installasjon etc som gjør at ytelsen oppleves som dårlig. Ut fra det jeg har sett er versjon 5 en "killer" - og har hørt rykter om en proutgave i løpet av sept/oktober. Endret 16. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 16. september 2004 Del Skrevet 16. september 2004 Sukk....forumet måtte jo knele akkurat når jeg hadde skrevet et lengre innlegg. :-/ Vi får prøve på nytt. Prinsippene er jo det samme. Har du hvilken versjon av MyDoom? Nja, selv om prinsippene er de samme, vil et mutert virus kunne slippe gjennom en skanning basert på signaturfiler. Jeg vet ikke versjonen av MyDoom det var snakk om, dessverre. Opplysningen var hentet fra en artikkel i Finansavisen for noen uker siden. Artikkelen var forresten om hvordan Norman bløffer seg til VB100% awards. :-) De snakket om Sandbox, og her er det de sa: "...da Norman (sammen med tsjekkiske Eset) var de eneste produktene som oppdaget helt nye varianter av henholdsvis MyDoom-viruset og Bagle-ormen." Jeg fant forresten denne hos Eset, som omhandler at de stoppet MyDoom.T uten å være avhengig av signaturfil. Både og, den testen du refererer til er vel et bestillingsverk fra en kunde? De testene som er utført på responstid for publisering av nye virusdefinisjoner/deteksjon har ikke de samme kravene, akkurat. Har ikke hørt noe annet negativt om av-test.org, derimot at universitetet er ganske annerkjent. I tillegg skriver Andrea Marx også på oppdrag fra VBN , hm... sikker på at han ikke er så veldig annekjent? Disse testene er nok bestillingsverk, ja. PC-Welt testen er sikkert grei nok, jeg har ikke lest den så nøye. Tysken min er litt rusten. :-) AV-Test har vel ingen oppdaterte tester siden 2002? Jeg kunne ikke finne noen på siden deres ihvertfall. Sikkert mange bestillingsverk ellers. En ting folk har reagert på, er at det ikke er mulig å verifisere datene fra AV-Test, men det er flere ting også. Testen i PCWorld USA ble forfattet av deres egen Sean Captain (som ikke jobber der lenger) og Mary Landesman fra AV-Test. Artikkelen er basert på tester utført av AV-Test (gjort av A.Marx). "Slakt-dokumentet" var ment for å vise følgende: • AV-Test GmbH’s testing methodology is fatally flawed. • PC World was misled by the data provided by AV-Test GmbH. • The article misleads PC World readers because: o It contains false statements o The test is based on a flawed methodology o It’s main conclusion is completely wrong • The article damages both PC World’s and NOD32’s reputations. • The damage to NOD32’s reputation was intentional. Heretter kommer det 6-7 sider med ganske grei dokumentasjon om hvorfor testen er verdiløs. Det er litt for mye å gjengi her. Jeg skal prøve å finne linken til dokumentet, det er mye interessant lesning der. Nettopp derfor skal man ikke blande begreper - du beskrev først generisk deteksjon (generelt) og kalte det "heuristikk". Det jeg mente er at "Heuristisk" er et eget selvstendig begrep (som inngår i generisk deteksjon). Det kan hende det ble litt uklart rundt begrepene. La oss si det sånn: Det finnes to typer deteksjon: Spesifikk (signaturfiler) og generisk (bl.a. Heuristisk). Enig? Hmm....jeg mener å ha lest av også versjon 5.0 sliter litt med ytelsen, men de greier sikkert å optimalisere koden litt mer. Vel, jeg har ikke sett noen test hvor ytelsen er kommentert negativt, derimot det motsatte. Selvsagt kan hjemmebrukere fritt kommentere programmet, men som regel er det instillinger, virus lokalt på maskinen før installasjon etc som gjør at ytelsen oppleves som dårlig. Ut fra det jeg har sett er versjon 5 en "killer" - og har hørt rykter om en proutgave i løpet av sept/oktober. Vel, fant dette nevnt på diverse newsgroups og forum, så mange kan nok ha huka av litt for mange opsjoner, ja. Får håpe Kaspersky får litt fart på sakene, det hadde vært moro om de og Eset kunne tatt litt business fra "de store". :-) Lenke til kommentar
mrbobson Skrevet 16. september 2004 Del Skrevet 16. september 2004 (endret) Det kan hende det ble litt uklart rundt begrepene. La oss si det sånn: Det finnes to typer deteksjon: Spesifikk (signaturfiler) og generisk (bl.a. Heuristisk). Enig? 100% Når det gjelder den testen du har referert til 6 ganger, skrev jeg at det var ok - tok poenget der, og kranglet ikke på at det var en dårlig test. Det jeg kommentere er integriteten du stiller i tvil. Både i oktober 2003 og april 2004 bestilte VBN analyser fra Andreas Marx.... Det var forresten KUN Norman og NOD32 som stoppet en mutert utgave av MyDoom for en stund tilbake. Norman med Sandkassa si, og NOD32 med heurismen sin. Teknologiene er ikke så forskjellige, hvis man ser litt stort på det. Prinsippene er jo det samme. Har du hvilken versjon av MyDoom? Nja, selv om prinsippene er de samme, vil et mutert virus kunne slippe gjennom en skanning basert på signaturfiler. Selvsagt. Er ikke det jeg snakker om, det ser du vel av heuristikkdefinisjonen? Jeg sa at sandbox og heuristikk er ganske likt, men sandbox tar den helt ut - og velger å slipper løs viruset i et "såkalt sikkert" miljø for å se hva som skjer Jeg vet ikke versjonen av MyDoom det var snakk om, dessverre. Opplysningen var hentet fra en artikkel i Finansavisen for noen uker siden. Artikkelen var forresten om hvordan Norman bløffer seg til VB100% awards. De snakket om Sandbox, og her er det de sa: "...da Norman (sammen med tsjekkiske Eset) var de eneste produktene som oppdaget helt nye varianter av henholdsvis MyDoom-viruset og Bagle-ormen." OK, var litt i tvil i påstandene om at Kaspersky _ikke_ tok den (slik jeg tolket det) - men det var finansavisen? vel vel.... Bagle tok også Kaspersky - men MyDoom er det så mange varianter av at der er det greit å ha .* også Det kan hende det ble litt uklart rundt begrepene. La oss si det sånn: Det finnes to typer deteksjon: Spesifikk (signaturfiler) og generisk (bl.a. Heuristisk). Enig? 100%, så ingen blir forvirret. Jeg håper inderlig folk snart se hva de betaler for i løsningen fra de store gutta. Her er det mye penger rett ut av vinduet i falsk trygghet Endret 16. september 2004 av mrbobson Lenke til kommentar
JensL Skrevet 16. september 2004 Del Skrevet 16. september 2004 (endret) Feil forum Endret 16. september 2004 av JensL Lenke til kommentar
CBK Comm. AS Skrevet 16. september 2004 Del Skrevet 16. september 2004 Det jeg kommentere er integriteten du stiller i tvil. Både i oktober 2003 og april 2004 bestilte VBN analyser fra Andreas Marx.... A.Marx kan sikkert brukes til noe, AV-Test har tross alt holdt på med dette i noen år. Eksakt hva VB bruker fra dem, vet jeg ikke. Ifølge "Slakt-dokumentet", har visst Marx noe personlig i mot Eset. Hvis det stemmer, er det jo litt kjipt. Jeg sa at sandbox og heuristikk er ganske likt, men sandbox tar den helt ut - og velger å slipper løs viruset i et "såkalt sikkert" miljø for å se hva som skjer Stemmer det, de emulerer et reelt miljø. Det er vel det som trekker ned ytelsen såpass mye. OK, var litt i tvil i påstandene om at Kaspersky _ikke_ tok den (slik jeg tolket det) - men det var finansavisen? vel vel.... Hehe....Finansavisen, ja. De har nok fått opplysningene et annet sted. ;-) Jeg håper inderlig folk snart se hva de betaler for i løsningen fra de store gutta. Her er det mye penger rett ut av vinduet i falsk trygghet Absolutt! Både NOD32 og KAV er jo "litt" gunstigere priset enn mesteparten av konkurrentene, og allikevel bedre. Kanskje den norske mentaliteten henger litt igjen; Dyrest er best. Veldig feil i denne sammenheng ihvertfall. Lenke til kommentar
mrbobson Skrevet 17. september 2004 Del Skrevet 17. september 2004 (endret) La oss ende tråden så alle andre ikke blir sliten av våre diskusjoner. Jeg har en god lenke som bestemt mener at NOD32 og Kaspersky er de 2 beste på markedet i dag - det kan være en ettertanke til alle som mener F-Secure, McAfee, CA, NA, F-Prot, Norman, Norton eller andre litt merkelige løsninger....er så himla bra.. http://www.mcse.ms/message1004205.html JonesThe best antivirus? Hello, can you tell me the name of two, three best antivirus? What are the best now? Thank you 08-29-04 11:14 AM Edit/Delete IP: Logged Gary Re: The best antivirus? Kaspersky and NOD32. If you are looking for virus and Trojan detection in one package then Kaspersky leads the pack for Trojan detection in a Antivirus product. 08-29-04 11:14 AM Edit/Delete IP: Logged Re: The best antivirus? Gary wrote: > Kaspersky and NOD32. If you are looking for virus and Trojan detection in > one package then Kaspersky leads the pack for Trojan detection in a > Antivirus product. Kaspersky appears to outdo trojan detectors when it comes to modified trojans. Also the author of Hacker Defender (rootkit) tests with KAV, since they have been keeping up with his code changes. michael Ha en fin helg alle sammen Endret 17. september 2004 av mrbobson Lenke til kommentar
CBK Comm. AS Skrevet 17. september 2004 Del Skrevet 17. september 2004 La oss ende tråden så alle andre ikke blir sliten av våre diskusjoner. Helt greit. Begynner å bli litt uoversiktlig her, gitt. Jeg har en god lenke som bestemt mener at NOD32 og Kaspersky er de 2 beste på markedet i dag - det kan være en ettertanke til alle som mener F-Secure, McAfee, CA, NA, F-Prot, Norman, Norton eller andre litt merkelige løsninger.... http://www.mcse.ms/message1004205.html Enig, NOD32 og KAV er nok de to tøffeste på markedet, og folk burde få øynene opp for dem. Vi synes selvfølgelig NOD32 er best, da. Microsoft har forresten nettopp fornyet sine NOD32 lisenser (for 4.år på rad) som de bruker internt til å skanne all kode før den shippes ut til markedet. Men hva vet vel MS? Jeg lette litt igjennom litt tekster hos VB, og tittet på Win2003 Server testen, der selvfølgelig NOD og KAV kommer seg veldig godt igjennom. Men det var litt artig å lese om Symantec som bruke 4 TIMER på en On-Demand scan som de fleste andre brukte 4 MINUTTER på. Lenke til kommentar
erikindre Skrevet 18. september 2004 Del Skrevet 18. september 2004 (endret) Ærli talt! Hvorfor får CBK COM lov til å holde på sånn! Nå må dere moderatorer snart gjøre noe her! Dette er ikke lenger snakk om "oppklaringer", det er lange utgreiinger om hvorfor "vårt produkt er best". Det er REKLAME, og forumet er IKKE en reklamekanal! Jeg er lei av at NOD32 skal få så sinnsykt mye gratis publisitet! Produktet ble testet av hw.no, det er kjempeflott. Men det blir litt vel subjektivt når dette er det eneste produktet som er testet, og produktet blir skrytt opp i skyene! Og når det i tillegg virker som at CBK COM blir invitert til forumet for å drive reklame, så bør klokkene begynne å ringe hos folk! Jeg stemmer for at denne tråden blir stengt og lagt død, og at noen andre produkter også bør testes inngående slik at folk får gjøre opp sin egen mening! Mange på forumet stoler faktisk blindt på det som blir sagt av moderatorer/testere fra hw.no. EDIT: Forresten... Noen som husker hva tråden egentlig handlet om? NORMAN ELLER NORTON! I alle fall ikke NOD32 og Kaspersky! Endret 18. september 2004 av erikindre Lenke til kommentar
CBK Comm. AS Skrevet 18. september 2004 Del Skrevet 18. september 2004 Det var ikke meningen at dette skulle bli oppfattet slik. Det skle nok litt ut også. Beklager dette. Vi skal ikke blande oss inn lenger. Lenke til kommentar
dmx Skrevet 18. september 2004 Forfatter Del Skrevet 18. september 2004 men folkens.. jeg lasta ned nod32. og det ligger ikke oppe som noroton og norman den søker likksom ikke hele tida. skal det være sånn eller har jeg gjort no feil? Lenke til kommentar
Domino Skrevet 29. september 2004 Del Skrevet 29. september 2004 Jeg må si at jeg er overrasket over at folk faktisk bruker Norman.... det programmet oppdager faktisk ikke virus - i min mening. Hvordan i all verden kan du påstå det? Hvor lenge tror du Norman hadde klart seg på markedet om det faktisk ikke tok virus? Nei, om du har opplevd dette må det skyldes en en feil, og det er vel strengt tatt ikke nok til å påstå at et program generellt sett ikke funker? Også at de følger med på Sandbox2. Tipper de slakter den, siden den har en slow-down på 70+% på maskinen. Da er det jo ingen som faktisk kan bruke teknologien..... Hvor har du fått 70% fra? Lenke til kommentar
mrbobson Skrevet 3. oktober 2004 Del Skrevet 3. oktober 2004 1. Norman oopdager ikke virus Ja, Norman tar ikke virus. Det er ikke nok å oppdage virus leeeenge etter de er oppdaget. Norman er et veldig dårlig produkt om du får mange nye virus - dersom du har eldre virus er den helt ok. Ikke veldig overraskende det, siden alle de større antivirusleverandørene utveksler virusdatabaser en gang i måneden. Notis: Norman oppdaget i en test i fjor 0% av viktige virus - og det kaller jeg en flopp. Grunner til at de har overlevd har ingenting med teknologi å gjøre, den er ikke spesiekt avansert. Dette handler kun om merkenavn. Det er viktig å poengtere at en bruker ikke nødvendigvis ser at han er infisert av virus om ikke antivirusprogrammet melder fra. 2: Hvor jeg har 70+% slowdown fra? Jeg har sett flere testresultater som slakter ytelsen fra sandbox, for ikke å snakke om sikkerhetsaspektet... Har en liten fin en her fra en diskusjon jeg hadde med en "expert" 1. To use such Sandbox tool the user should be high educated. ..So, the strong limit for this technology is corporate customers only which have experienced system administrators, or even a person that is dedicated for IT security. 2. What about false alarms? If an installation package will modify registry keys, write some to start-up folder, e.t.c. - it will definitely behave like a virus... And it will be catched by Sandbox. 3. "Brieflt told, the "Sandbox" is a virtual computer that analysis files to see how they behave" Does that mean that they will RUN infected file under safe virtual environment??? Next day a undergound group will release a virus that will JUMP OFF that environment (all programs have bugs, and are you sure Sandbox virtual machine has no breaches?...) 4. "Every computer virus has some common denominators and the idea is that "Sandbox" will decide if the file is a virus, even though a cure has not yet been developed" There are HUNDREDs of "common denominators", if not thousands.... This protection will be bypassed by a new virus behaviour, the same as usual anti-virus scanners is bypassed by a new signature in new virus. So, this protection will be too complex, it will have too many false positives, and it will detect too few modern kinds of malware. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå