Retrospective/ProActive Test Mai 2006, av-comparatives Einstellungen

[Gast_rock_*]

die neuen ergebnisse von IBK sond online!!

mhh...

kann mir jemand noch schnell sagen wie/was Retrospective / ProActive bedeutet...für den test/ergebnis

[IBK]

Es zoigt wie gut die versch. AV produkte sind neue unbekannte (noch keine signaturen verfügbar) malware on-demand zu entdecken. so ungefähr :P

vielleicht besser ein eigenes thread eröffnen...

Der Beitrag wurde von IBK bearbeitet: 31.05.2006, 22:10

[Voyager]

heuristische erkennung

[Gast_rock_*]

danke euch beiden!!

[Gast_2cool_*]

Besonders schöner Test, finde ich. Das sind sehr interessante Ergebnisse.


Hätte ich nicht erwartet, das die Dinger ohne aktuelle Signaturen so blind auf der Platte rumscannen.




Und bedeutet das jetzt, das Antivir eine bessere Heuristik hat als KAV 5?

Ich dachte immer, durch das bessere Unpacking wäre KAV im Vorteil, das braucht ja auch fast nur halb soviele Signaturen.....

Der Beitrag wurde von 2cool bearbeitet: 31.05.2006, 22:22

[Gast_rock_*]

bei antivir sind die fehlalarme viel...

so nach dem motto...einmal werden wir den virus schon dawischen....

ja, kav schaut schlimm drein!

[Gast_rock_*]

im großen und ganzen haben sich die "stars" mc und kav doch ein bissl zurückgelehnt seit november...

sollte man sich gedanken machen??

oder hat auch die enorme viren/wurmflaute seit monaten was damit zu tun....

ausser rechnung und bank mails...war an und für sich nix los...

[Gast_2cool_*]

bei antivir sind die fehlalarme viel...

so nach dem motto...einmal werden wir den virus schon dawischen....[right][snapback]152074[/snapback][/right]

hehe, So gesehen ist erstmal jede Datei Malware, bis das Gegenteil bewiesen wurde

99% Fehlalarme, aber 100% Erkennung



Kann zu dem Ergebnis nicht noch jemand was schreiben, der das mal irgendwie erklären kann?

Bin am überlegen, was (und ob überhaupt) ich wieder einen AV installieren soll.....

Der Beitrag wurde von 2cool bearbeitet: 31.05.2006, 22:35

[Gast_rock_*]

deshalb erwähnen sie ja stets das sie schon eine viertel miilion malware kennen...incl moorhuhn natürlich!

nö...die haben sich gebessert, keine frage...

anhand der dos erkennung (ein stück!!! BOAH!) sieht man das sie doch ihre arbeit aufs wesentliche konzentrieren...

fällt mir zwar nicht leicht es zuzugeben...aber haben sich gebessert, ist okey!

rock

[IBK]

antivir ist laut test schnell, erkennt viel durch heuristik usw. (außerdem laut Februar test insgesamt eine hohe erkennungsrate).
(zumindest) die fehlalarme die beim testen aufgetreten sind wurden von den herstellern mittlerweile behoben.

Der Beitrag wurde von IBK bearbeitet: 31.05.2006, 22:56

[Voyager]

na ich weiss ja nicht ob sich fehlalarme einfach so durchs daumenschnipsen beheben lassen

[SkeeveDCD]

na ich weiss ja nicht ob sich fehlalarme einfach so durchs daumenschnipsen beheben lassen

Doch, das geht. Zumindest temporär. Aber die Heuristik wurde mittlerweile auch richtig angepasst.

Das was AntiVir da gemeldet hat, sind schon sehr "schräg" programmierte Teile. Wenn ein Programm sich in Explorer.exe injected, sich per URL-Download aktualisieren kann und einen RUN-Eintrag anlegt - wo ist dann noch der Unterschied zu einem TrojanDownloader?
Es ist jedenfalls erstaunlich was mir beim Fixen von False Positives an Executables unter die Augen gekommen ist.

Die Heuristik von AntiVir ist gewollt *aggressiv* - schliesslich haben wir noch kein umfangreiches statisches Unpacking (siehe KAV, BD), die getestete Version hatte nur minimalen Unpacking-Support, kein generisches Unpacking (NOD32, VBA32, BD etc.), keine Sandbox (Norman, BD), keine Variantenerkennung (VBA32, NOD32). So gesehen finde ich es erstaunlich wie schlecht da einige Programme abschneiden die all diese Features haben. Ständen die Features mir zur Verfügung würde die Detection ganz anders aussehen.

[Luzifer]

@Rock, moin viena Schnuckerl, Abitur/Matura haste nicht?

weisst wieviel Jahre man von seinem Leben gibt um minimale Ergebnisse zubekommen?

Bist vol clever, nix Dummkopp, aber fuer dich rate mal einmal hier rein zuschauen
www.technikum-wien.at

Werd nicht gleich boese, bei mir Morgen Feiertag d.h. nach unsrem Glauben am heutigen Abend beginnt er, wie bei Euch am Sonntagmorgen, nur ihr habt auch Montag.

[Kyu]

nice work. damit kann man schon was anfangen =)

[Gast_2cool_*]

Doch, das geht. Zumindest temporär[right][snapback]152111[/snapback][/right]

Und wie kann man sich das vorstellen, führt Antivir dann eine Whitelist, in der alle bekannten False-Positives mit Hash stehen?

[Gast_Jens1962_*]

Super Arbeit, Danke!

Bleibt die Gewissensfrage: Ist ein Scanner mit eher schlechter Heuristik und dafür keinem (bzw. wenigen) Fehlalarm(en) besser als einer mit starker Heuristik, der dafür ein Risiko für das System ist?

Jens

[IBK]

eigentlich ja - je nach ansicht (einige werden sagen nein, andere ja). darum haben die die überdurchschnitllich viele FPs hatten nicht 'A+' bekommen, sondern wie jene mit niedriger % und auch weniger FP ein 'A'.

[SkeeveDCD]

Ich kann ja verstehen das man wegen zuvielen False Positives heruntergestuft wird. Aber eine schlechte Erkennung durch wenig Fehlalarme aufwerten ist absolut unsinnig. Eine wenig aggressive oder nicht vorhandene Heuristik erzeugt logischerweise automatisch weniger False Positives. Fuer nicht erbrachte Leistung belohnt werden, hm... Nicht wirklich nachvollziehbar. Genauso gut könnte man beim normalen Scantest Programme mit schlechter Trefferquote aufwerten nur weil sie den Scanvorgang schneller absolviert haben als Programme mit höherer Erkennung.

[IBK]

wegen wenig FPs wurde niemand aufgewertet (es war schon immer so dass die die zwischen 20 und 40% erkennen 'A' bekommen). Nur die die zuviele FPs haben wurden auf A herabgestuft.

Der Beitrag wurde von IBK bearbeitet: 01.06.2006, 16:17

[Gast_2cool_*]

Und wie kann man sich das vorstellen, führt Antivir dann eine Whitelist, in der alle bekannten False-Positives mit Hash stehen?
[right][snapback]152143[/snapback][/right]

Ist das ein Betriebsgeheimnis?