Загрузка...

Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Тесты антивирусов
Войти через профиль в соц. сети
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Ответ
Старый 28.05.2012, 23:01   #1
Форумчанин
 
Аватар для military

 
Регистрация: 02.03.2011
Сообщений: 778

military вне форума

Обсуждение наших тестов


Обсуждаем результаты тестов.
Приветствуется конструктивная критика и предложения по проводимым тестам.
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 22.06.2013, 22:58   #281
Форумчанин
 
Аватар для Jimimi

 
Регистрация: 26.06.2011
Адрес: Israel
Сообщений: 16 455

Jimimi вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Brodyaga Посмотреть сообщение
с № 20 действительно на первый алерт нужно дать добро, т.к. ничего подозрительного кроме неизвестного
А то что не имеет цифровой подписи, это не о чем не говорит? пробовал я запускать хорошие и доверенные с только именем разработчика, но без цифровой подписи, в итоге нахватал блох как собака.
__________________
  Ответить с цитированием
Пользователь сказал cпасибо:
Загрузка...
Re: Обсуждение наших тестов
Старый 22.06.2013, 23:26   #282
Форумчанин
 
Аватар для Razboynik

 
Регистрация: 09.02.2013
Сообщений: 34

Razboynik вне форума
По умолчанию Re: Обсуждение наших тестов

Интересно, а как бы отвечали на такие аллерты на коллекции чистых файлов?

Вариант 1:
Если бы не знали, что это коллекция чистых файлов?

Вариант 2:
Если бы знали, что это коллекция чистых файлов?
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: Обсуждение наших тестов
Старый 23.06.2013, 09:21   #283
The Collector
 
Аватар для Brodyaga

 
Регистрация: 24.03.2011
Адрес: Dnepropetrovsk
Сообщений: 2 094

Brodyaga вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Jimimi Посмотреть сообщение
А то что не имеет цифровой подписи, это не о чем не говорит?
Jimimi, как не говорит, вот именно после второго алерта я это и увидел, и только после него заблокировал процесс
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 09:50   #284
Форумчанин
 
Аватар для Jimimi

 
Регистрация: 26.06.2011
Адрес: Israel
Сообщений: 16 455

Jimimi вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Brodyaga Посмотреть сообщение
вот именно после второго алерта я это и увидел, и только после него заблокировал процесс
Я орентируюсь с первого алерта, сразу картина проясняется, просто еужно скрыть алерт и все там написано.
__________________
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 10:04   #285
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 344

al12800 вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Alegro Посмотреть сообщение
А для экстремального теста можно запускать и красные файлы).
Мы проверяем уровень защиты AV (и FW в том числе) или насколько опасен файл? Запускать красные - это уже другая история.
Любой алерт - это уже предупреждение - "Возможно, что то не так". Защита сработала, значить плюс. Затем нужно посмотреть остановлена ли угроза или было сделано китайское предупреждение. Если зараза остановлена и хода ей нет - это жирный плюс.
__________________
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 11:46   #286
The Collector
 
Аватар для Brodyaga

 
Регистрация: 24.03.2011
Адрес: Dnepropetrovsk
Сообщений: 2 094

Brodyaga вне форума
По умолчанию Re: Обсуждение наших тестов

Такие мощные фаерволы, как
Comodo
Outpost
Online Armor
Privatefirewall

c мощнейшими проактивными технологиями, поведенческим анализом на любое проникновение в систему будут выдавать алерты(исключение, если для них ранее не создавалось какое-либо правило), хоть это зловред, хоть чистое ПО, естественно разного содержания. Так вот к чему это я виду, давайте рассмотрим следующие ситуации:
1) Если вы запустите троян, который сразу начнёт перехватывать деятельность других программ, размножаться, изменять записи в реестре и выполнять явно вредоносные действия, то реакция будет однозначная с первого алерта, поведение будет заблокировано.
2) А если будет запущено некоторое ПО, как правило замаскированное под безвредную или полезную программу, чтобы пользователь запустил его на своем компьютере, у которого истинные задачи состоят в маскировке немного позже запущенного троянца, то первые, а то и пару алертов будут нам сигнализировать о запуске нового процесса, выполнении исполняемого файла(возможно и неизвестного), на что большинство пользователей дадут согласие, т.к. они устанавливают полезное ПО.
Даже при установке чистого, полезного софта, данные продукты безопасности закидают вас алертами о поведении устанавливаемого ПО.
И только увидев конкретное предупреждение о злонамеренном поведении, пользователь, хотелось бы надеяться, заблокирует его деятельность.

Мне кажется эта ситуация накладывается на реальную ситуацию и поведение пользователя.
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 14:42   #287
Форумчанин
 
Аватар для Razboynik

 
Регистрация: 09.02.2013
Сообщений: 34

Razboynik вне форума
По умолчанию Re: Обсуждение наших тестов

Друзья! Я почему спрашивал, как бы отвечали на такие алерты на коллекцию чистых файлов.

Понятно, было бы, если программа выдает алерт - что такой то процесс пытается что-то изменить, или прописаться в реестр, или ведет себя очень похоже на поведение малвари.

Но, давайте обратим внимание, что блокировка нажималась просто на саму попытку запуска:

Алерты, на которые нажималась блокировка в этом тесте http://avfor.ru/379986-post767.html
Нажмите чтобы раскрыть спойлер




Как здесь уже было сказано - если программа не имеет цифровой подписи, или от неизвестного разработчика - значит блок.

Ладно, методика понятна - пользователь продвинутый и решает, что можно запускать, а что нельзя.

Но, в таком случае - обязательно ли запускать файл из коллекции, только для того чтобы увидеть что программа не имеет цифровой подписи? Ведь просто достаточно посмотреть все файлики в коллекции не запуская их - на наличие цифровой подписи и издателя и если таковых опознавателей нет - отправить в корзину. В таком случае при тестировании ЛЮБОГО, даже самого слабого антивируса/фаера можно распаковать архив - вручную перед запуском посмотреть наличие подписи и издателя и выкинуть файлы в корзину - тест пройден (повторюсь, самым слабым антивирусом) - пользователь ведь решает. Верно?

Т.е. получается парадокс - увлекаясь тестами, мы подыгрываем в тестах тем продуктам (не фанатея от самого продукта - просто увлекшись), которые выкидывают окно сообщая не о возможном вредоносном поведении, а только о том - действительно ли хотите запустить программу (причем хорошую, доверенную программу по рейтингу продукта).

---
А теперь о вопросе про то, если бы тестировали коллекцию чистых файлов. Поскольку ответа не было, полагаю, что реагировали так-же. И вся коллекция чистых файлов ушла бы в корзину - только потому, что алерт спросил - действительно ли хотите запустить хороший файл (цифровой подписи нет - значит в топку?). Вот смеха было бы - продукт на 100% завалил тест чистых файлов. Так? Это если бы не знали, что данная коллекция представляет чистые файлы.

А если бы знали, что тестируем чистые файлы - тоже подыграли бы продукту (на этот раз разрешая запускаться всему, игнорируя алерты)?
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 15:10   #288
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 344

al12800 вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Razboynik Посмотреть сообщение
В таком случае при тестировании ЛЮБОГО, даже самого слабого антивируса/фаера можно распаковать архив - вручную перед запуском посмотреть наличие подписи и издателя и выкинуть файлы в корзину - тест пройден (повторюсь, самым слабым антивирусом) - пользователь ведь решает. Верно?
Не верно.
Если просмотрел не один Outpost, а и другие, то видно, что каждый AV реагирует по разному. Кто блокирует сразу, кто с выводами (которые сейчас обсуждаем), а кто не обращает внимание на тот же файл.
Если же упираться только в Outpost, то каждый поступает как считает нужным. Главное что бы он это показал и объяснил. Кто читает тест подробно, а не верхки, тот видит - один тестёр поступил так потому что... , другой по другому - потому что...
Тестёры своё мнение и свой подход уже высказали. Что по кругу бегать?
Цитата:
Сообщение от Razboynik Посмотреть сообщение
И вся коллекция чистых файлов ушла бы в корзину - только потому, что алерт спросил - действительно ли хотите запустить хороший файл (цифровой подписи нет - значит в топку?). Вот смеха было бы - продукт на 100% завалил тест чистых файлов. Так? Это если бы не знали, что данная коллекция представляет чистые файлы.
Чистых файлов в архивах нет. Прекрати воду в ступе толочь.
Если я знаю файл, то позволю ему открыться. Если нет, то запрещу.
На крайний случай проверю в ВирусТотал.
Ещё повторить?
__________________
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Re: Обсуждение наших тестов
Старый 23.06.2013, 16:02   #289
Форумчанин
 
Аватар для Razboynik

 
Регистрация: 09.02.2013
Сообщений: 34

Razboynik вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Al-bee Посмотреть сообщение
Чистых файлов в архивах нет.
Вот как. Мы заранее знаем что в архивах?
Хорошо это заранее знать. А как быть обычным пользователям, которые просто пользуются продуктом (того или иного производителя) - когда они что либо скачивают из интернета. Там тоже ничего чистого нет? И как в таких случаях отвечать на на алерты - сразу отправлять в топку?

Цитата:
Сообщение от Al-bee Посмотреть сообщение
Если я знаю файл, то позволю ему открыться. Если нет, то запрещу.
И много файлов из коллекции, которые тестируете, Вы знаете? Были такие случаи, что распаковав архив вы говорите - вау! да ведь эти файлы я знаю!

Цитата:
На крайний случай проверю в ВирусТотал.
А какое отношение ВирусТотал имеет к результату теста самого тестируемого продукта?

Цитата:
Сообщение от Al-bee Посмотреть сообщение
Прекрати воду в ступе толочь.
...
Ещё повторить?
Ребята, не нужно обижаться. Вы выполняете колоссальную работу, спасибо вам за это. Просто хотел обратить внимание на то, что субъективная составляющая часто очень сильно влияет на сам результат. Принимать во внимание этот факт, или не принимать, конечно же решать вам.
  Ответить с цитированием
Re: Обсуждение наших тестов
Старый 23.06.2013, 16:38   #290
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 344

al12800 вне форума
По умолчанию Re: Обсуждение наших тестов

Цитата:
Сообщение от Razboynik Посмотреть сообщение
Вот как. Мы заранее знаем что в архивах?
А, как же.
Цитата:
Сообщение от Brodyaga Посмотреть сообщение
как правило замаскированное под безвредную или полезную программу
В файлах архива это как правило - косячат.
Разговоры, а том, как бы поступили... Это как и пользователю, каждому тестёру решать.
Цитата:
Сообщение от Razboynik Посмотреть сообщение
субъективная составляющая
Всегда оговаривается. Тесты читайте.

Кто следит за тестами, тот знает подход тестёра к тестам.
Если вас не устраевает. Сделайте тест, оговорите свой подход к запретам (не нарушая основные правила) и ... вперёд.
__________________
  Ответить с цитированием
3 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Результаты тестов антивирусов и обсуждения Навуходоносор Тесты антивирусов 971 19.07.2017 07:48
Обсуждение On-demand тестов military Тесты антивирусов 133 04.05.2014 19:48
Мануалы и инструкции от наших пользователей stalk Мануалы и инструкции от наших пользователей 71 16.02.2014 12:32
Тестов Александр hohotun Аудиокниги 0 12.05.2012 16:05


Часовой пояс GMT +3, время: 09:31.




Загрузка...
Яндекс.Метрика