» Лучший антивирус

Цитата:

SAV 10.1 не дает запустить патч на лечение WPA на винде - говорит Hacktool и удаляет без спросу.
так же при сканировании папки с дистрами всякими и кряками тоже юлит и елозит - только дай все поудаляет
так что осторожнее - чтобы одним сканом не потерять все что нажито непосильным трудом

обнаружение hacktools можно отключить в свойствах


Лучший антивирус Касперский, может быть еще BitDefender — понял это, когда поймал редкий вирус, не обнаруженный всеми другими и потеряв из-за него часть данных, однако Касперский очень прожорлив до ресурсов, особенно его web-фильтр (скорость загрузки падает из-за 100% использования CPU).
До касперского использовал SAV + NOD32 — оба пропустили тот вирус.

Quark Fusion

А что за вирус был? И Каспер и БитДеф его поймали?

Каспера тогда не было у меня, а вирус Backdoor.MSIL.Agent.b

Quark Fusion
Какая версия Каспера? 4 или 5, наверно? Ибо "прожорливость до ресурсов" характерна для этих версий, не для 6...

Цитата:

До касперского использовал SAV + NOD32 — оба пропустили тот вирус.

У кого только сканер, интересно? Почему такая связка?

оба в автоматическом режиме, думал, что так больше вирусов отловят

Цитата:

Какая версия Каспера? 4 или 5, наверно? Ибо "прожорливость до ресурсов" характерна для этих версий, не для 6

6я версия — прожорливость не такая большая, как у 5й, но всё равно еще не оптимальная, особенно файрволл и все операции с сетью очень медленные, более чем 400кб/с по HTTP нереально передать на 2ггц атлоне (2600+) — загрузка процессора 100% и это при том, что его файрволл выключен, если включить, то еще в два раза падает

Quark Fusion

Цитата:

До касперского использовал SAV + NOD32 — оба пропустили тот вирус.

Цитата:

оба в автоматическом режиме, думал, что так больше вирусов отловят

А тебе не приходила мысль, что они просто понадеялись один на другого?
А если серьёзно, то ихние мониторы просто мешали друг другу в работе. Да и прожорливость процессора, о которой ты пишешь, скорее результат одновременной работой двух антивирусных мониторов. Лучше всего оставить один монитор. А от другого антивиря использовать только сканер. А вот от какого чего оставить выбери сам.

Цитата:

то ихние мониторы просто мешали друг другу в работе. Да и прожорливость процессора, о которой ты пишешь, скорее результат одновременной работой двух антивирусных мониторов.

во-первых, не мешали, а во-вторых, прожорливость я указываю для каспера, у тех двоих вместе взятых прожорливость на порядок меньше была

Очень интересные исследования поддержки антивирусами архиваторов и упаковщиков сделал господин fp_post на форуме Касперского. Публичные исследования, к-рые можно пощупать, прошу заметить.
http://forum.kaspersky.com/index.php?showtopic=22203
http://forum.kaspersky.com/index.php?showtopic=28261

исследование хорошое

хотя могу сказать, что почти всё, что пакуется в архивы извлекается во временную папку и там уже ловится антивирусом
со сжатием исполняемых файлов ситуация немного другая — в основном мы имеем новый вирус, необнаружаемый ни одним антивирусом, через какое-то время он попадает в лабораторию и вносится в список сигнатур, тут его можно всем перепаковать и туда же добавить, хотя тут базы разрастутся, зато время проверки снизится
в другом случае мы имеем ситуацию, когда некоторый «хакер» берет уже готовый и определяемый вирус и пакует его с целью скрыть от антивируса, но тут только ламер не станет проверять успешно ли прошло скрытие или нет, а сделать это элементарно — нужно лишь стравить результат онлайн-сканнерам, которые проверяют файл сразу кучей антивирусов, более важно то, как антивирус способен распаковывать неизвестные упаковщики, которые способны менять алгоритмы и ключи шифрования
В итоге, можно сделать вывод, что факт поддержки распаковки известных упаковщиков не так уж и важен, главное, чтобы вирус определялся
Второй вывод — скрыть вирус вполне возможно и это довольно легко сделать, нужно лишь найти утилиту, на результат которой не будет жаловаться онлайн-сканнер

Quark Fusion

Цитата:

в основном мы имеем новый вирус, необнаружаемый ни одним антивирусом, через какое-то время он попадает в лабораторию и вносится в список сигнатур, тут его можно всем перепаковать и туда же добавить, хотя тут базы разрастутся, зато время проверки снизится

что значит "можно" ? Реально никто так не делает, это ерунда какая-то. Вот если в вирлаб попадает живой упакованный вирус, то да, часто вносят в базы прямо пакованным, особенно если АВ не знает данного упаковщика.


Цитата:

некоторый «хакер» берет уже готовый и определяемый вирус и пакует его с целью скрыть от антивируса, но тут только ламер не станет проверять успешно ли прошло скрытие или нет, а сделать это элементарно — нужно лишь стравить результат онлайн-сканнерам, которые проверяют файл сразу кучей антивирусов

Это ты про что? Вот есть юзер, не спец, но и не ламер, у него стоит антивирус N. Таких 90%. Этот юзер скачал себе из сети файл и честно проверил его своим АВ (уж не говоря о случае, когда вирус пролез через к-л дыру). Допустим, в этом файле был известный АВ вирус, пожатый неизвестным АВ упаковщиком. Вирус найден не будет. Требовать/ждать от юзера, чтобы каждый скачанный файл он посылал на virustotal - явный перебор.
Некоторые АВ идут таким путем - ругаются на любой файл, упакованный неизвестным для него упаковщиком.

Мне вот тоже не слишком понятно, зачем нужна поддержка архиваторов, а вот поддержка упаковщиков и всяких модификаторов действительно критична. Возможно, хорошая эвристика тоже может помочь при обнаружении неизвестного вируса, сделаного из известного всякими утилитами.
А то ведь, я читал где-то, последовательным применением нескольких товарищ умудрялся (судя по написанному им) почти все антивирусы провести, у него, кажется, только Макафи нашёл вирус...

Цитата:

что значит "можно" ? Реально никто так не делает, это ерунда какая-то.

ну я не в курсе есть ли у АВ сигнатуры пакованных вирусов — с точки зрения % обнаружения выгодней иметь универсальный распаковщик, но вот с точки зрения производительности при отключенном эвристическом анализе это было очень неплохо — сейчас встаёт вопрос жертвовать производительностью ради антивируса или отключить его вовсе. Скаченные с интернета подозрительные файлы можно и в онлайн-сканнер направлять.

Цитата:

Это ты про что?

Это я про тот случай, когда юзер А хочет подсунуть известный вирус юзеру Б — он либо проверит упакованный файл антивирусом юзера Б, либо проверит онлайн-сканнером на предмет успешности скрытия


Цитата:

Требовать/ждать от юзера, чтобы каждый скачанный файл он посылал на virustotal - явный перебор.

Потреблять 100% ресурсов процессора тоже перебор, особенно когда антивирус начинает приостанавливать доступ ко всем файлам пока не освободятся ресурсы для их проверки.



Добавлено:

Цитата:

Возможно, хорошая эвристика тоже может помочь при обнаружении неизвестного вируса, сделаного из известного всякими утилитами.

Эвристика всегда хороша Кстати универсальный распаковщик и является её частью, но эвристика должна быть либо опциональной, либо очень быстрой, чтобы у пользователя не возникало желания вовсе отключить антивирус, дабы тот не мешал работать и включать его только в рисковых случаях, но только последнее часто попросту забывают

Цитата:

А то ведь, я читал где-то, последовательным применением нескольких товарищ умудрялся (судя по написанному им) почти все антивирусы провести, у него, кажется, только Макафи нашёл вирус...

Если посмотреть на результаты тестирования упаковщиков, то видно, что с ASProtect никто толком и не справился.

Viewgg

Цитата:

Мне вот тоже не слишком понятно, зачем нужна поддержка архиваторов

Для сканеров и почтовых фильтров - нужна. Упаковщики конечно важнее.

Quark Fusion

Цитата:

Это я про тот случай, когда юзер А хочет подсунуть известный вирус юзеру Б — он либо проверит упакованный файл антивирусом юзера Б, либо проверит онлайн-сканнером на предмет успешности скрытия

Хакер А хочет впарить свой троян Т миллионам юзеров Б. Он пакует его паковщиком П1. Через некоторое время все антивирусы на virustotal знают троян Т - кто не знает паковщика П1, у того сигнатура упакованного трояна, кто знает - у того непакованного (+ возможно пакованного тоже).
Хакер А пакует тот же троян Т паковщиком П2. Что он видит - из 20 АВ к-рые ловили Т+П1, Т+П2 ловят 3, знающие П2, причем не самые распространённые. Это хакера А вполне устраивает.


Цитата:

Скаченные с интернета подозрительные файлы можно и в онлайн-сканнер направлять.

Юзеры не будут и не обязаны этого делать! Тем более если юзер скачал из локалки инсталляшку на 2 Г.


Цитата:

Потреблять 100% ресурсов процессора тоже перебор, особенно когда антивирус начинает приостанавливать доступ ко всем файлам пока не освободятся ресурсы для их проверки.

Торможение на упаковщиках вообще-то редкий случай. И это проблема производителя АВ, а не юзера. Пусть использует более другой АВ. Основные варианты другие
- кто знает - быстро распаковывает
- кто не знает - быстро не распаковывает
- не знает, но быстро определяет что файл упакован - радостно кричит "подозрительно"

Quark Fusion
Вероятно Ты пробовал старый билд, стоит попробовать более новый 546 (см. подпись, самый свежий билд 573 качать не стоит - не кондиция ).

Лучший антивирус - отсутствие интернета и друзей с компами. 100%-рабочий антивирус!

Пробовал каспера. последнее время не мог найти ему ключей. Поэтому перешел на НОД32. Не жалуюсь. Работает отлично.

у меня KIS 6.0.1.411.a.b, ключ до 18.12.2007 — если сменить на Kaspersky Anti-Virus for Workstation v6.0.2.542 ключ придётся менять?

Добавлено:
и будет ли польза? если последний быстрее работает, то почему первый не обновят?

Zhdan
Цитата:

Пробовал каспера. последнее время не мог найти ему ключей. Поэтому перешел на НОД32. Не жалуюсь. Работает отлично.

Потому, что не искал. Не было периода, в который ключи для Каспера отсутствовали, ключи были всегда. А даже если бы их и не стало, на несколько дней, то можно было бы работать по триальному ключику (за время его действия новый ключ Ты бы уже нашёл).

Quark Fusion
Цитата:

у меня KIS 6.0.1.411.a.b, ключ до 18.12.2007 — если сменить на Kaspersky Anti-Virus for Workstation v6.0.2.542 ключ придётся менять?

Проще всего поставить по ссылке из моей подписи.
Цитата:

и будет ли польза? если последний быстрее работает, то почему первый не обновят?

411 - релиз MP1, 546 - пока что Бета MP2. Релиз MP2 будет a феврале. Задача релиза MP2 - полная поддержка Висты.
Файл C:\Windows\system 32\wuauclt.exe нужно внести в доверенные для Проактивной защиты (это проблема касается только Бета-версии, в релизе будет исправлена). В Веб-Антивирусе поставить проверку с буферизацией, иначе после обновлений будет запрашивать перезагрузку. (тоже проблема Бета-версии)
Для повышения производительности рекомендуется отключить контроль целостности (По-умолчанию отключен), в файловом антивирусе режим проверку выставить Рекомендуемый. И Самое Главное: после установки в ближайшее время провести полную проверку Моего Компьютера - это очень сильно скажется на росте производительности, так как во время работы многие, не изменившиеся со времени последней проверки файлы, не будут проверятся повторно.

Цитата:

И Самое Главное: после установки в ближайшее время провести полную проверку Моего Компьютера - это очень сильно скажется на росте производительности, так как во время работы многие, не изменившиеся со времени последней проверки файлы, не будут проверятся повторно.

это только при первом обращении к файлам скажется, а полная проверка компьютера — это на ночь надо запускать, лично мне больше по нраву первый раз во время доступа проверять, к тому же время проверки новых файлов от этого не уменьшится

Quark Fusion
Не обязательно на ночь, там ведь есть галка "Уступать ресурсы другим приложениям", тогда проверка будет не очень мешать (с ней конечно параллельно не поиграешь, но вполне можно писать диски, смотреть видео, работать с почтой и Интернет).

ну это тогда всё равно намного большая нагрузка, чем при первом доступе фактически, проверка при доступе это очень сильно растянутая во времени полная проверка а некоторым файлам пользователь может вообще ни разу не обращаться, так что в сумме даже меньше
полная проверка хороша для проверки факта наличия вирусов, а не защиты от них — запускать её или нет — это личное предпочтение, имхо.

Теоретически да, но после проведения полной проверки (а так же её периодическое повторение в будущем; последующие полные проверки будут проводится гораздо быстре: у меня почти до отказа заполненная 320-а на сегодня целиком проверяется за один час и десять минут) комфортность работы увеличивается, а это в интересах пользователя.

мне вот интересно, если файлы записываются под контролем антивируса, то они по идее должны сразу же и проверяться (нагрузка на CPU от АВ возрастает) и, следовательно, при открытии должны проверяться гораздо быстрее? или он при записи не ставит флаг проверки?

Quark Fusion
Цитата:

мне вот интересно, если файлы записываются под контролем антивируса, то они по идее должны сразу же и проверяться

Если просто скидвается файл на диск, то он проверяется чуть позже, если попытатся открыть файл, то он будет проверен сразу.

RussianNeuroMancer
Quark Fusion
Разве здесь филиал темы по Касперу ??

это и к прочим АВ тоже относится — есть у них файловый монитор или нет и если есть, то как быстро он работает

насколько я знаю, каспер приписывает хэши к проверенным файлам, а SAV хранит линки на файлы в своём кэше

По этому вопросу на форуме Бета-тестирования Каспа тема есть, ссылку сейчас подкинуть не смогу, сижу с мобильного. Тему эту можно найти поиском на том форуме по ключевому слову iSwift.

Quark Fusion

Цитата:

это и к прочим АВ тоже относится — есть у них файловый монитор или нет

Серьезный АВ немыслим без файлового монитора.

Quark Fusion
Добрался до компа, вот ссылки
Про iChecker/iSwift: http://forum.kaspersky.com/index.php?showtopic=22986&st=0
По поводу быстродействия: http://forum.kaspersky.com/index.php?showtopic=29076&st=0
Причиной замеделния работы антивируса может стать не полное удаление других продуктов аналогичного назначения, ранее установленных на компьютере. Для удаления хвостов можно воспользоваться утилитой KIS Tweak Util, самую свежую версию которой можно найти здесь: http://forum.kaspersky.com/index.php?showtopic=18948&st=1400

Цитата:

Серьезный АВ немыслим без файлового монитора.

никто и не спорит, главное чтобы у пользователя не возникало мысли его отключить из-за снижения производительности