【討論】Av-comparatives,2006年5月防毒軟體評比



贊助商連結


頁 : 1 [2] 3 4

proll
2006-06-04, 09:02 PM
PANDA的探測未知病毒能力決對強,可惜沒有參加測試

贊助商連結


iorittn
2006-06-04, 11:05 PM
PANDA的探測未知病毒能力決對強,可惜沒有參加測試
倒數第3個不就是嗎@@?

不過我不認為它那個探測未知病毒的功能會強就是了......:|||:

ㄚ一
2006-06-04, 11:17 PM
其實撇開台灣代理商的作為,我也是很支持卡巴
不過這個報告是要告訴我們卡巴在未知病毒上是還有需要加強的地方
而且差距是有的

在攻擊的防禦上的確是有分按照病毒碼作比對或是針對異常行為模式作偵測
早期而言前者可能會有一定的優勢
不過目前的攻擊趨勢看來後者比較有利
再說依照行為進行偵測較比對病毒碼來的有用
雖然異常行為偵測容易有誤判但是可以設定排除減少這些問題

病毒防禦的時代在改變,病毒的偵測方式確實是需要花更大的比重在未知病毒上
因此建議在行為模式偵測上也可以選用適當的產品
你說到重點了!
其實你說的就是NOD32最大的罩門
NOD32的啟發式緝毒引擎目前為止是最強
可是它的病毒庫不算大,所以相對的他的啟發式會發展的比較好
其實靠病毒庫來偵查不是說不好,病毒庫的存在是讓緝毒引擎更加完美
就好像是一位利害的補頭抓壞人,有人像的時候會比較好抓,而且人像上還可以加註此人行為特徵等

NOD32最大的其實不是病毒庫少,而是誤判率太高了...
病毒庫少,加上特強的啟發式病毒引擎,造成漏抓誤報等這些烏龍事情...
所以我個人是認為緝毒引擎跟病毒庫本身沒有說哪一個比較重要
它們應該都是相輔相乘的

dunmax
2006-06-05, 12:31 AM
Kaspersky當然絕對有一定的實力,不然怎麼有那麼多廠商用他的掃瞄引擎?
至少像是F-secure、BitDefender、AVK、eScan…等等,都採用他的。
雖然賽門鐵克使用率全世界居冠,但技術仍是卡巴斯基獨占鼇頭,無庸置疑。
不知道各位有沒有想過"熱門車"理論?像是一些車上開的熱門車都容易遭竊。
因為大家都使用同一款汽車,所以值得專門去研究他、並破解他才有意義。
所以基於這個理由,賽門鐵克被玩爛了。再接下來,會不會是卡巴斯基?
如果AVP一掛,應該很多user都會跟著倒楣。我想大家都應該心知肚明。
卡巴斯基最為人所稱讚的,就是他的更新速度,這點沒有其他家比得上。
但未來似乎也會背負著所謂"最強的"原罪,不斷被研究,甚至破解。

這是今天加班跟MIS聊到的。大家作個參考。

這樣的說法倒是太高估卡巴了
就市佔率來看卡巴不是第一,特別在北美市場...
卡巴到現在出過的幾次大事跟駭客沒啥關係大多是本身的問題
再者在西方市場看來卡巴也並非像S牌這樣又肥又大的公司
我相信卡巴是強而有力而且又平易近人的軟體
但是這點在台灣我們看不到,特別在售價!
這方面的態度有點像Microsoft的IE跟open source的Firefox之間
開放原始碼的火狐理論上應該是更容易被研究更容易被攻擊
但是因為Microsoft的樹大招風加上態度所以IE變成了各家駭客躍躍欲試的對象

其實卡巴的病毒碼檢查方式各位可以研究研究
不只是卡巴我相信其他家的病毒碼也是如此
當我們刻意繞過病毒碼檢查的項目或是內容時
依賴病毒碼的防毒軟體就無法偵測
這是為何先前我會強調異常行為的偵測能力
依照現今網路攻擊的情況其實我寧願相信要錯殺一百也不願放過一個

會有上面的說法是因為曾經作過實驗
這類的情況在原始病毒衍生出來的變種病毒最常見
甚至需要為了同一種的攻擊模式因為不斷的演變而需要一堆的病毒碼
只要作者針對病毒碼變動其中一個數值,原有的病毒碼就沒有作用
所以為何病毒碼一個小時就更新一次的作法相信各位也能夠理解了

其實如果在公司裡面有完整的網路攻擊防護架構搭配上完整的資安政策
桌面防毒系統充其量只是在避免員工個人的行為導致整個公司受到影響
而病毒碼的更新快慢也並非重點
重點在於防毒廠商對於新品種病毒的反應速度!
我想這才是卡巴斯基實驗室的價值所在

而針對異常行為進行偵測的廠家則是透過這方面的技術來防堵新品種的病毒

如果對病毒的研究有興趣建議可以朝攻擊的行為模式分析去了解
畢竟程式人人會寫而且花樣也千百種,但是這些程式最後的目的在於觸發攻擊
所以不論前面再怎麼花俏,再怎麼去做打包躲避偵測
最後終究是會觸發攻擊行為進而去做攻擊
因此只要逮住最後的攻擊行為模式去做判斷就能即時阻斷攻擊

dunmax
2006-06-05, 12:45 AM
你說到重點了!
其實你說的就是NOD32最大的罩門
NOD32的啟發式緝毒引擎目前為止是最強
可是它的病毒庫不算大,所以相對的他的啟發式會發展的比較好
其實靠病毒庫來偵查不是說不好,病毒庫的存在是讓緝毒引擎更加完美
就好像是一位利害的補頭抓壞人,有人像的時候會比較好抓,而且人像上還可以加註此人行為特徵等

NOD32最大的其實不是病毒庫少,而是誤判率太高了...
病毒庫少,加上特強的啟發式病毒引擎,造成漏抓誤報等這些烏龍事情...
所以我個人是認為緝毒引擎跟病毒庫本身沒有說哪一個比較重要
它們應該都是相輔相乘的

提到捕頭的例子
可以這麼說,病毒碼像是指紋辨識,一個很大的資料庫蒐羅了一堆壞人的指紋
當採集到指紋就去比對然後抓人
行為模式分析是依照犯案的手法來逮人

兩者的差異在於犯罪集團的成員可能會變動,因此指紋資料永遠不夠
犯罪集團只要不斷的增加新成員就夠讓捕頭疲於奔命

而透過犯罪行為及作案手法的分析
犯罪集團需要不斷的更改作案手法,不然就很容易被逮 ^^

不過卡巴6.0也增加了行為模式分析的偵測方式
搭配上病毒碼所以不難想見卡巴6.0的威力
只是在台灣地區不論在技術上或是銷售上的問題
使得台灣的消費者無緣在第一時間享受到這樣的病毒防護技術

如果比較過KAV5.0跟KAV6.0就能理解為何我要一再強調攻擊行為模式的偵測
最近一次的測試是針對先前的WORD文件漏洞測試
KAV5.0對於病毒碼沒有的項目無法偵測出問題
KAV6.0也是如此,但是當開啟檔案的時候KAV6.0卻能偵測到異常行為!
實驗的結果兩者都無法透過檔案掃描去偵測
但是KAV6.0可以在檔案開啟時偵測到攻擊行為並阻斷!

話又說回來,台灣的代理商奕瑞是真的該加油了!

dxchen
2006-06-05, 04:03 PM
倒數第3個不就是嗎@@?

不過我不認為它那個探測未知病毒的功能會強就是了......:|||:

不錯了
比KAV F-secure Symantec等都還高
:)

josephyu
2006-06-05, 05:32 PM
NOD32最大的其實不是病毒庫少,而是誤判率太高了...
病毒庫少,加上特強的啟發式病毒引擎,造成漏抓誤報等這些烏龍事情...
所以我個人是認為緝毒引擎跟病毒庫本身沒有說哪一個比較重要
它們應該都是相輔相乘的

按照這份測試報告來看的話,誤判率最高的是Dr.Web與AntiVir Premium,
最低的反而是Symantec跟McAfee,其餘都有誤判的情形。
包括了Kaspersky與採用他掃毒引擎的廠商都有。
至於誤判率,我想每間廠商都會有,但至少就Nod32來說,
我想他37次VB100%應該不是白拿的。因為其中也有包括誤判的選項。
一些測試報告姑妄聽之即可,但也讓人思考對於未知病毒的防護問題。
也就是說,我們往往批評屁吸吸磷過度依賴病毒碼進行電腦防護,
但看這份報告似乎眾多網友所言"最強的"卡巴斯基也似乎有這種傾向。
當然,拿卡巴斯基跟屁吸吸磷比是拿大腿比雞腿,這點在下很清楚。
但似乎也得思考啟發式掃瞄以及病毒碼更新之間的平衡發展點所在。:)

畢竟,一些未知病毒不斷出現,也不單祇是一些老病毒加加殼而已,
面對未來多樣的系統安全風險,似乎也得兼顧病毒碼更新跟啟發式掃瞄。
病毒碼的收集這是每間防毒軟體公司必備的工作,不只卡巴,其他也有。
(不然每間公司病毒碼更新怎麼來的,每間都各有一套,只是有無公布而已。)
只是卡巴斯基也得思考其啟發式掃瞄的效果及改進方式,因應未來的挑戰。

iorittn
2006-06-05, 06:24 PM
不錯了
比KAV F-secure Symantec等都還高
:)
說到PANDA的未知病毒偵測TruPrevent
我在PANDA 2005鈦金版時真的覺得沒啥用@@
不知道是我上網習慣太好還是它有用而我不知道
不過我能感覺到TruPrevent有作用是我姊要玩希望的時候
因為會被擋:|||: :|||: :|||:
我得關掉它.....
後來不知有沒有修正
(應該2006有修正了....至少防火牆亂擋的問題沒了
以前玩RO要關PANDA防火牆,有夠orz...)

panda有易用度的優點
而且比PCC、NORTON、KAV 5.0個人版都還無腦
所以我幫人裝電腦都叫他們去買PANDA......:)

esjustin
2006-06-05, 09:00 PM
要是哪天KAV和NOD32結合在一起...不知道會有多強大= =|||無法想像的強...
搞不好到時Virus.Gr評測出來的結果是偵測率99.99%.....:D

esjustin
2006-06-05, 09:23 PM
剛剛逛到PcDiscuss這論壇的某則新文,其中寫說av-comparatives的未知病毒測試,其實是將防毒軟體回溯到三個月前的病毒碼及軟體最佳設定來偵測新出現的病毒蠕蟲後門木馬及惡意程式!!

原來是這樣測試啊= =|||還以為是用最新的病毒庫勒...:|||:

P.S:要是讓卡巴斯基使用最新的病毒庫...肯定會贏過NOD32:D

P.S.2:其實這次的未知病毒測試,av-comparatives的測試中所使用的卡巴斯基版本是5.0.391並非KIS6:)

http://www.pcdiscuss.com/forum/viewthread.php?tid=82001&extra=page%3D1