Virensignaturen von AV Programmen, warum unterschiedlich ? |
Willkommen, Gast ( Anmelden | Registrierung )
Virensignaturen von AV Programmen, warum unterschiedlich ? |
Gast_Faith_* |
30.12.2003, 02:49
Beitrag
#1
|
Gäste |
da ich mich ja intensiv mit AV Proggis auseinander setze, kommt mir jetzt doch eine Frage auf, wegen den Virensignaturen der unterschiedlichsten Firmen.
Ich fang mal an: KAV: ca. 80000 Signaturen Panda: ca. 70000 Signaturen NAV: ca. 66000 Signaturen McAfee: ca. 65000 Signaturen andere weitaus niedriger ..... kann mir einer erklären, warum diese unterschiede ? .... das habe ich nie verstanden. muss das jetzt zwangsläufig so verstanden werden, dass AV´s die weniger Signaturen haben, weniger auffinden oder ist es so zu verstehen, dass sie die Signaturen komprimiert haben ? Oder kann man es mit den Signaturen etwas übertreiben ? kann mich da jemand mal aufklären, den ich habe bis heute keine zufriedene Antwort gefunden. Faith |
|
|
Gast_rock_* |
30.12.2003, 09:11
Beitrag
#2
|
Gäste |
hey faith,
wie kommst du denn auf diese zahlen? ich glaub die wo so viel erkennung ist, die werden auch noch all den ur-alt schmarren bemerken, der seit vielen jahren garnimmer der rede wert ist. oder eben auch viel trojanererkennung, die is ja nicht so perfekt bei allen. aber das mc afee hier aber so weit hinten ist, hätt ich nicht gedacht. gruss rock |
|
|
30.12.2003, 10:53
Beitrag
#3
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Die Anzahl der Signaturen ist von vielen Dingen abhängig und man kann schon gar nicht sagen, daß mehr auch gleich besser sein muß.
Die Anzahl kann z.B. abhängig sein von: - Anzahl der erkannten Malware - Vorhandensein ein Unpackengine - Signaturen von Uraltviren die gar nicht mehr lauffähig sind - Vohandensein von generischen Erkennungen - usw. Nur um es zu verdeutlichen, man kann um 20 verschiedene Varianten eines Wurmes auch 20 Signaturen haben oder nur eine Einzige. Je mehr Signaturen ein Programm besitzt, umso größer die Datenbank und umso (theoretisch) auch langsamer das Programm. -------------------- (-- Roman --)
|
|
|
Gast_*Christian*_* |
30.12.2003, 13:10
Beitrag
#4
|
Gäste |
Also bei KAV hab ich auf der ganzen Website die Anzahl von 80000 nicht gefunden.
Lediglich: KAV erkennt z. Zt. 80000 Viren. Die Erkennung hat ja mit den Signaturen nichts zu tun. Was ich mich schon immer fragte: Chip, PCWelt, usw. ...... Alle machen Test's. Aber warum stellen sie dann die nichtgefundene Malware den Softwareherstellern nicht zur Verfügung. So könnte man doch in kürzester Zeit den Virenschutz eines Programmes deutlich erhöhen. |
|
|
Gast_rock_* |
30.12.2003, 14:00
Beitrag
#5
|
Gäste |
ZITAT(Rokop @ 30. December 2003, 10:52) Die Anzahl kann z.B. abhängig sein von: Je mehr Signaturen ein Programm besitzt, umso größer die Datenbank und umso (theoretisch) auch langsamer das Programm. na bestens, wie sieht sowas bei antivir pe aus, der hat als ganzer nichtmal 4 MB! im vergleich zu vielen anderen scannern, die aber auch "schnell" sein können und sind, hat sowas wie Norton doch glatte 40 MB, also 10mal antivir pe würd da reinpassen!! allein die updates sind größer wie der kostenlose scanner! aber nur der virenscanner, von systemworks oder was so gibt, will ich die größe erst garnet wisssen. ich glaub das auch viel andere faktoren eine rolle spielen das ein virenscanner "langsam" oder "schnell" arbeitet. wie meinst du denn das eigentlich. langsam im hochkommen und der pc kommt einem langsam vor, oder beim absuchen der platte, die engine sozusagen. da haben ja einige hersteller schon einen schönen speed für das durchchecken der festplatte gesorgt. bei mc afee dauerts wirklich ein bissl länger beim komplett-scan auf alle dateien, panda war da ziemlich schneller was ich mich zurückerinnere. gruss rock edit: es hängt auch davon ab, wie lang ein scanner an einem archiv rumfummelt! Der Beitrag wurde von rock bearbeitet: 30.12.2003, 14:02 |
|
|
30.12.2003, 14:34
Beitrag
#6
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Ich glaube ich werde hier systematisch falsch verstanden. Mit Größe meine ich nicht die Größe in MB sondern je mehr Signaturen desto mehr Einträge in der Datenbank umso mehr muss verglichen werden also umso langsamer im Vergleich zu einer kleineren Datenbank.
Das natürlich die Geschwindigkeit der Programme untereinander nicht anhand der DB Größe verglichen werden kann ist ja wohl logisch. ZITAT bei mc afee dauerts wirklich ein bissl länger beim komplett-scan auf alle dateien, panda war da ziemlich schneller was ich mich zurückerinnere. Ist ja klar, Panda hat ja auch kein Unpacking ! = Scheinsicherheit ! -------------------- (-- Roman --)
|
|
|
Gast_rock_* |
30.12.2003, 14:41
Beitrag
#7
|
Gäste |
ZITAT(Rokop @ 30. December 2003, 14:33) Ist ja klar, Panda hat ja auch kein Unpacking ! = Scheinsicherheit ! au backe!! das hab ich garnicht gewusst!! na da bin ich aber echt platt. mensch, wie war ich verliebt in den panda, aber wenn das so ist..... gruss rock edit: wuste garnicht das man bei chip auch die Mc Afee dat's laden kann: http://www.chip.de/downloads/c_downloads_8832680.html Der Beitrag wurde von rock bearbeitet: 30.12.2003, 15:19 |
|
|
Gast_rock_* |
30.12.2003, 15:26
Beitrag
#8
|
Gäste |
ZITAT(*Christian* @ 30. December 2003, 13:09) Was ich mich schon immer fragte: Chip, PCWelt, usw. ...... Alle machen Test's. Aber warum stellen sie dann die nichtgefundene Malware den Softwareherstellern nicht zur Verfügung. hmm...so ähnlich frag ich mich das immer wenn leute in foren ihre fehlalarme posten oder seiten erwähnen wo sie Dialer oder trojaner erwischt haben. da könnte ja der virenschutz-software-hersteller auch gleich selber hinsurfen und sich die dinger einsammeln. ich glaub die wissen aber eh selbst wo was zu finden ist. aber dafür gibt's ja die vielen mailadressen der verschiedenen anbieter, wo man "gefundenes" hinsenden kann, damit es bei nächsten updates berücksichtigt wird. ich hab unlängst mal von dir gelesen das du ständig DIALER an Antivir PE sendest. bis das dann mal wirklich funktioniert und fertig sein wird bei antivir pe, falls überhaupt jemals, dann müsstens eh schon ne schöne sammling von dir haben!! |
|
|
30.12.2003, 15:33
Beitrag
#9
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Ich werde auch oft gefragt, ob ich unerkannte Malware bei Tests einschicke. In den meisten Fällen ist es jedoch so, daß ich die Malware schon vor den Tests über meinen Verteiler versendet habe. Wenn dann ein halbes Jahr später die Sigs noch nicht drin sind, kann ich es auch nicht ändern. Außerdem macht es mitunter recht viel Arbeit, aus mehreren hundert samples die unererkannten rauszusuchen. Das heisst Log Dateien studieren, Verzeichnisse durchsuchen usw.
-------------------- (-- Roman --)
|
|
|
Gast_*Christian*_* |
30.12.2003, 16:32
Beitrag
#10
|
Gäste |
ZITAT ich hab unlängst mal von dir gelesen das du ständig DIALER an Antivir PE sendest. bis das dann mal wirklich funktioniert und fertig sein wird bei antivir pe, falls überhaupt jemals, dann müsstens eh schon ne schöne sammling von dir haben!! Warum? Die Dialererkennung funktioniert doch schon längst wieder. Ja, ich frag mich auch, warum AntiVir nicht in der Lage ist bzw. nicht in der Lage sein will mehr Dialer zu erkennen. An Tausch hat man kein Interesse. Vielleicht sollten sie sich ja doch noch mit Andreas Haak in Verbindung setzen. Manchmal frage ich mich ob die bei H+B EDV eigentlich nur die Maleware zu den Signaturen einfügen, die eingeschickt wurde. ....... @rokop Versteh ich es richtig, dass du schon vor den Test's die Maleware verschickst? Was bringt dann ein Test überhaupt noch?? |
|
|
30.12.2003, 17:07
Beitrag
#11
|
|
AV-Tester Gruppe: Virenexperten Beiträge: 1.544 Mitglied seit: 05.06.2003 Wohnort: Innsbruck Mitglieds-Nr.: 99 Betriebssystem: Windows 10 Virenscanner: --- Firewall: --- |
ZITAT(*Christian* @ 30. December 2003, 13:09) warum stellen sie dann die nichtgefundene Malware den Softwareherstellern nicht zur Verfügung. So könnte man doch in kürzester Zeit den Virenschutz eines Programmes deutlich erhöhen. eigentlich verfügen die Hersteller bereits über verschiedene Sammlungen; so gut wie alle großen AV-Hersteller stellen ihre Sammlungen untereinander zur Verfügung. Hinzufügt wird aber meist nur das, was die für sinnvoll betrachten oder wenn sie mal grad Zeit haben. Ordentliche Signaturen für alle Samples zu erstellen braucht Zeit, die meisten tun sich diese Mühe nicht an. -------------------- AV Comparatives Weblog
NOT speaking on behalf of AV-Comparatives in public forums. Just personal opinions. |
|
|
30.12.2003, 17:13
Beitrag
#12
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
ZITAT(*Christian* @ 30. December 2003, 16:31) @rokop Versteh ich es richtig, dass du schon vor den Test's die Maleware verschickst? Was bringt dann ein Test überhaupt noch?? Ich verschicke nicht vorher die kompletten Testsets, sondern verteile über einen Verteiler unerkannte Malware, so wie sie reinkommt, an alle AV`s. Ob die sie nun einpflegen bzw. wann ist deren Sache. Um aber noch etwas klarzustellen: Ich mache die Tests nicht um irgendwelche Hersteller vorzuführen, sondern um daran mitzuwirken, daß die Programme mit der Zeit besser werden. Jedes unerkannte Malwaresample geht daher zeitgleich oder zeitnah an die Hersteller. Was dann letztendlich dabei rauskommt, kannst Du inunseren Tests nachlesen. -------------------- (-- Roman --)
|
|
|
Gast_*Christian*_* |
30.12.2003, 17:14
Beitrag
#13
|
Gäste |
ZITAT eigentlich verfügen die Hersteller bereits über verschiedene Sammlungen; so gut wie alle großen AV-Hersteller stellen ihre Sammlungen untereinander zur Verfügung. Hinzufügt wird aber meist nur das, was die für sinnvoll betrachten oder wenn sie mal grad Zeit haben. Ordentliche Signaturen für alle Samples zu erstellen braucht Zeit, die meisten tun sich diese Mühe nicht an. Wenn dies wäre, dann würden doch die Konkurrenten die gleichen Erkennungsraten haben. Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat. Auch für Lavasoft kommt kein Tausch in Frage. Lieber wird auf die Signatur verzichtet. Verstehe ich irgendwie nicht. |
|
|
30.12.2003, 17:16
Beitrag
#14
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
ZITAT(*Christian* @ 30. December 2003, 17:13) Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat. Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand -------------------- (-- Roman --)
|
|
|
Gast_*Christian*_* |
30.12.2003, 17:18
Beitrag
#15
|
Gäste |
ZITAT Jedes unerkannte Malwaresample geht daher zeitgleich oder zeitnah an die Hersteller. Was dann letztendlich dabei rauskommt, kannst Du inunseren Tests nachlesen Warum wird dann mit der Malware so "grob" umgegangen. Normalerweise sollten doch die Hersteller dankbar dafür sein. Also meine Dialer sind immer 2 Tage später in den Signaturen drin. |
|
|
Gast_*Christian*_* |
30.12.2003, 17:20
Beitrag
#16
|
Gäste |
ZITAT Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand Oder so. Du meinst jetzt sicherlich Andreas Haak. Wieoft hat er z. B. H+BEDV angeboten zu Tauschen. So könnte AntiVir seine Dialererkennung um ein vielfaches erhöhen. |
|
|
30.12.2003, 17:25
Beitrag
#17
|
|
AV-Tester Gruppe: Virenexperten Beiträge: 1.544 Mitglied seit: 05.06.2003 Wohnort: Innsbruck Mitglieds-Nr.: 99 Betriebssystem: Windows 10 Virenscanner: --- Firewall: --- |
ZITAT Wenn dies wäre, dann würden doch die Konkurrenten die gleichen Erkennungsraten haben. Ich weiss jedenfalls nur, dass H+BEDV kein Interesse an einem Tausch hat. Auch für Lavasoft kommt kein Tausch in Frage. Lieber wird auf die Signatur verzichtet. Verstehe ich irgendwie nicht. Haben sie mehr oder weniger auch - relativ gesehen. Tausch? Bist Du ein AV-Hersteller oder so? Also ich bekomme (einige) Sammlungen, von einigen sogar freiwillig ohne dass ich nachfragen musste. AV-Hersteller tauschen nicht Malware mit irgendjemanden; da passen die schon auf - schließlich könntest Du ja ein "Terrorist" oder ein VXer sein. Wenn eine Firma mit solche Aktivitäten in Verbindung gebracht wird (auch nur ansatzweise), dann werden die gleich ausgeschlossen und stecken in der Tinte. Wie gesagt, mit anderen zu tauschen brauchen AVer nicht, denn die bekommen bzw. haben eigentlich alles was sie wollen. Der Beitrag wurde von IBK bearbeitet: 30.12.2003, 20:46 -------------------- AV Comparatives Weblog
NOT speaking on behalf of AV-Comparatives in public forums. Just personal opinions. |
|
|
30.12.2003, 17:27
Beitrag
#18
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
ZITAT(Rokop @ 30. December 2003, 17:15) Kein Interesse mit ganz bestimmten Personen zu tauschen, das ist zumindest mein Wissensstand Das ist wohl der springende Punkt... wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
Gast_*Christian*_* |
30.12.2003, 17:29
Beitrag
#19
|
Gäste |
Ja, ich bin Top-VXer
Der Beitrag wurde von *Christian* bearbeitet: 30.12.2003, 17:30 |
|
|
Gast_rock_* |
31.12.2003, 08:27
Beitrag
#20
|
Gäste |
hey faith,
wegen der 65000 signaturen die du bei Mc Afee dazugeschrieben hattest, auf der homepage von mc steht eine story mit 81000... RAV hat über 85000 hab ich gestern auf der homepage gelesen... mc afee: More than 81,000 threats exist today. The McAfee AVERT Virus Information Library has detailed information on where viruses come from, how they infect your system, and how to remove them. gruss rock |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.06.2024, 15:40 |