Дискуссия - Антивирус

[Salagin]

Мое мнение - антивирус должен быть бесплатным! В каком плане - государство должно финансировать разработку антивируса. Речь ведь, по сути, идет о информационной безопасности страны, и это дело отдали на откуп частным фирмам... Я ничего не имею против DrWeb или Касперского, но.... где гарантия, что ваш антивирус не отсылает какие либо данные на сторону? По сути, фирмы-разработчики антивирусного ПО наживаюцца на "гОре", так сказать...Сравнить можно с тем, что если вы серьезно заболели, вам не помогут, пока вы не заплатите, но ведь в жизни у вас есть социальный пакет, который гарантирует вам хотя бы минимальное лечение...
Мое мнение - это только мое мнение. Оставляйте свои точки зрения...

[Jack]

Если государство что-то подобное будет финансировать, то это что-то будет отсылать данные не на сторону, а государству. Так как у государства уже предостаточно информационных баз о частной жизни граждан (читаем спам с предожениями купить любые краденые базы), то "это дело и отдали на откуп частным фирмам", чтобы те тоже могли пополнить свои базы и получить за них деньги.

[Duke]

Мое мнение - антивирус должен быть бесплатным! В каком плане - государство должно финансировать разработку антивируса.

Дак они и так почти безплатные ) Краки,вон,почти на каждом углу лежат.

Речь ведь, по сути, идет о информационной безопасности страны

На мой взгляд,реч идёт о безопастности не страны а частных фирм,контор,людей. А серьёзные канторы и гос. структуры (имеющие хоть какую то секретность) не будут пользоваться общественными антивирями,потому,как они почти все дырявые. А они разрабатываю свои системы защиты.

Я ничего не имею против DrWeb или Касперского, но.... где гарантия, что ваш антивирус не отсылает какие либо данные на сторону?

С таким успехом и винда может отсылать что либо. Нет, еслиб антивири что либо даже попытались отослать,то "антивирусописатели" бы не вывезли судебные тяжбы. А проверить легко! Файрволы,сниферы,дебагеры и т.д.
Salagin Всё равно,будут антивири выпускать частные конторы или государство! Ибо сейчас государство-это большая частная лавочка!

З.Ы Тема супер.Заставила задуматься о некоторых вещах.

[Salagin]

Duke

А серьёзные канторы и гос. структуры (имеющие хоть какую то секретность) не будут пользоваться общественными антивирями

Предприятие, испытывающие торпеды на нашем озере, можно считать секретным? Они вообще  не имеют выхода в и-нет, (ну это от дефецита спецов по линуху:-))) а антивирь у них стоит (по рассказам моих друзей, которых там много работает) Вебер еще 2.4.29 ... с обновлениями не знаю какой давности. И где гарантия того, что ушлый сын директора или бухгалтера не принесет диск "Сборник хакера" а с ним и кучу червячков... Всетки стратегическое предприятие!
Jack

Если государство что-то подобное будет финансировать, то это что-то будет отсылать данные не на сторону, а государству.

Проблема опять упираецца в человеческий фактор, все от людей зависит... С другой стороны, возможно анализ таких данных позволить выявить переписку например террористов, другие угрозы...

[Duke]

Salagin Нельзя делать выводы только по одному предприятию. Я знаю админов 2х предприятий нашего города "Казначейство" и "АЭХК"(типа топливо для ракет). Везде безопастности уделено повышенное внимание. Нескажу,что нигде не используются коммерческие антивири и брандмауэры,но всё равно на них мало кто надеется. Просто на всех раб.станциях стараются делать минимальные права.Чисто под нужды работников. Там где ненужен сидюк,там его нет.Там где не нужен ЮСБ там он не работает и т.д И обе организации держут достаточно большой штат програмеров и стараются использовать самописанные проги.

а антивирь у них стоит (по рассказам моих друзей, которых там много работает) Вебер еще 2.4.29

Согласен! Русское раздолбайство встречается повсеместно.

Проблема опять упираецца в человеческий фактор, все от людей зависит... С другой стороны, возможно анализ таких данных позволить выявить переписку например террористов, другие угрозы.

Да невозможно это и не нужно. Спец.службы на другом уровне анализируют инет данные. На уровне серверов и шлюзов.Т.е грубо говоря они весь инет трафик сниферят,типа по словам "взрыв" "теракт","шахид" и т.д

[F1y]

Мое мнение - антивирус должен быть бесплатным! В каком плане - государство должно финансировать разработку антивируса.

Если государство что-то подобное будет финансировать, то это что-то будет отсылать данные не на сторону, а государству
Что правда то правда государству на всеобщий пипл как-то до ... если бы государство и финансирововало создание антивируса то оно это делало это только для собственной выгоды - или для себя или на продажу(а если на продажу то мож ет антивирь был бы и непробиваемый но и лаве бы они требовали т.к. у гос. некогда нехватка $)  

а антивирь у них стоит (по рассказам моих друзей, которых там много работает) Вебер еще 2.4.29

Согласен! Русское раздолбайство встречается повсеместно.
На счёт етого причинами етого бывают разные их 3:
1. Леность-ну как же влом влезть и обновить.
2. Незнание
3.А зачем нужен другой если уже есть .  

[Семеныч]

Настоятельно рекомендую дочитать до конца, чтоб не возникало лишних вопросов...
(Используются сокращения КАВ- Касперский Анти Вирус, НАВ- Нортон Анти Вирус)
Критерии оценки антивирусов:
1. Количество известных «зверей».
Часто можно встретить фразы типа «Касперский лучше чем Др Веб, потому что Касперский знает 100000+ «зверей», а Др Веб 60000+". На самом деле не всё так просто. Число, публикуемое антивирусными компаниями - это не количество известных «зверей», а количество записей в базах антивируса. При этом при помощи одной записи антивирус может определять несколько разновидностей «зверя», и даже несколько разных «зверей». Поэтому нет прямой связи между количеством записей в базах антивируса и числом «зверей» которые антивирус определяет.

Кроме того, даже сами разработчики не знают точно сколько «зверей» определяет их антивирус, поскольку запись, добавленная для определённой модификации «зверя», может определять и новые модификации, которые разработчики могли даже не видеть.
Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.

2. Тесты на коллекциях «зверей».
Казалось бы - всё просто. Берёшь коллекцию «зверей», и сравниваешь, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?
2.1 Вопрос - как собиралась коллекция. Допустим у меня стоит КАВ, и всех «зверей», которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КАВ найдёт всех «зверей», а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КАВ лучше всех остальных антивирусов.
Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КАВ, то можно получить некоторое представление об остальных антивирусах.
2.2 Дополнительная проблема в том, что считать «зверем», а что нет. К примеру, КАВ с расширенными базами считает «зверем» adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как Др Веб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КАВ найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных «зверей» он тоже будет в 2 раза лучше.
Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше.
Так что тесты на коллекциях «зверей» не дают полной картины, и не являются надёжным критерием надёжности антивируса ...

3. Скорость реакции на новых «зверей», т.е. количество времени с момента появления «зверя», до того момента когда антивирус начинает его обнаруживать.
Рассмотрим такую ситуацию. На официальном сайте NAV заявлено, что обновления выходят раз в неделю. На оффсайте КАВ заявлено, что обновления выходят каждый час. Предположим что оба утверждения соответствуют истине. Теперь представьте себе, что кул хацкер Вася Пупкин написал вирус, который через 3 дня после заражения компьютера уничтожает всю информацию на диске, и выложил его на сайте кряков под именем Norton Antivirus 2005 crack.exe. Это даёт гарантию, что за пару дней сотни, если не тысячи, человек его скачают и запустят. Несложно понять, что в такой ситуации пользователи NAV практически гарантированно потеряют всю информацию на дисках, а у пользователей КАВ есть неплохие шансы обнаружить и удалить вирус до того, как он успеет что-либо сделать.
Отсюда ещё один недостаток сравнительных тестов, основанных на коллекциях «зверей». Понятно, что в коллекции большинство «зверей» довольно старые, и никакой разницы между антивирусами, у которых высокая скорость реакции и теми, у которых низкая, нет. На деле же антивирусы с высокой скоростью реакции намного более надёжны.
Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых «зверях»?
Какое-то количество «зверей» разработчики могут находить сами, гуляя по всяким «злачным местам». Однако большую роль в деле обнаружения новых «зверей» играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. По этому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.

4. Поддержка всевозможных паковщиков и крипторов.
Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду.
Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального.
Т.е. берём «зверя», который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность «зверя» сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, которым упакован «зверь», то для него файл теперь стал чистым.
Хочу сказать, что паковка и шифрование «зверей» - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее, и тем сложнее вирусописателю спрятать от него «зверя».
С другой стороны, чем больше пакеров и крипторов знает антивирус, тем медленнее он работает (к примеру, это одна из причин медленной работы КАВ, который на сегодня лидирует по количеству поддерживаемых пакеров/крипторов). Так что если Вы нашли антивирус, который быстро работает, скорее всего его надёжность оставляет желать лучшего. Конечно, выбор между скоростью и надёжностью - личное дело каждого.
5. Эмулятор.
О наличии эмулятора у антивирусов скорее всего мало кто слыхал. Что же это такое?
Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями, чтобы спрятать «зверей» от антивирусов. Понятно что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.
Понятно так же и то, что наличие эмулятора не увеличивает скорость работы антивируса. Опять же - или скорость, или безопасность. Насколько я могу судить, хорошими эмуляторами обладают Др Веб, NAV и КАВ.

6. Эвристический анализ
Многие о нём слыхали, но не уверен, что все понимают, что это такое.
Для начала стоит понять, как вообще антивирус находит «зверей». А делает он это просто. Для каждого «зверя» находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий «зверь». Понятно что для того, чтобы сигнатура появилась в базе антивируса, сначала этот «зверь» должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления «зверя». Эвристический анализ работает по другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для «зверей». Таким образом можно обнаружить «зверей», которые никогда не попадали вирусным аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующх антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных «зверей». К тому же, чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания. Примером может служить Др Веб, у которого с одной стороны хороший эвристик, а с другой - куча ложных срабатываний. Хотя в последней версии ложных срабатываний стало поменьше. Скорее всего за счёт худшения чувствительности эвристика. Довольно неплохой эвристик был разработан специалистами антивирусной компании "Вирус Блок Ада". Возможно лучший из существующих на данный момент.
7. Корректное лечение вирусов.
Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.

8. Работа на зараженной системе.
Если с обнаружением неактивных «зверей» всё более-менее просто, то с обнаружением и удалением активных (работающих) «зверей» всё намного сложнее.
8.1. Начнём с того, что часть «зверей» скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких «зверей». Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах.
Для обнаружения таких зверей используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у Др Веб).
8.2. Другая часть «зверей» при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таком попыткам. Например завершить процесс КАВ дело весьма не простое, и по зубам далеко не любому «зверю». Др Веб работает на уровне драйвера, и завершение его процесса не приводит к прекращению антивирусного мониторинга.
8.3. Удалить с диска файл активного «зверя» - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить «зверя», но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.
Часто Вы можете обнаружить на диске или в автозагрузке непонятные
файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики КАВ и Др Веб обычно отвечают в течении суток - и в случае, если файл является «зверем», и в случае, если он чист. Вирусные аналитики многих других фирм вообще никогда не отвечают на письма с подозрительными файлами. Так что Вам останется только мучаться подозрениями бессонными ночами

10. Отсутствие ложных срабатываний.
Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление «зверей». Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы. К сожалению относительно высоким количеством ложных срабатываний страдает Др Веб, хотя в последних версиях есть некоторые улучшения в этом плане.

11. Стабильность работы и отсутствие конфликтов с другими программами.
Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться со «зверями», перехватывают многие системные функции. Это может привести к всякого рода конфликтам с другими программами.
К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся со «зверями» благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов.
Так что «безконфликтность» антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, «на поверхности», и не сможет справиться со сложными «зверями» (в случае, если по какой-то причине они будут запущены).

12. Загрузка системы
Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу «тормозит - не тормозит». Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, «тормозит» сильнее, а антивирус, который «не тормозит», скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

[Salagin]

Похоже я нашел, что искал!  [Для просмотра ссылки зарегистрируйтесь]  Лицензия GPL рулит... будем ставить... к тому же есть модуль который можно прикрутить к почтовому серверу и проверять всю входящую почту... в общем, судя по докам - очень даже ничего!

[Duke]

Salagin Интерестно, а как у него с базой....и насколько она хорошо обновляется ....

[Salagin]

Duke
Ну, как написано в доках это полнофункциональный антивирь, с периодическими обновлениями и прочим... просто нет времени протестировать... как только поставлю - скажу результаты...