AV-Comparatives Einstellungen

[markus17]

Wahnsinn, die Heuristik von NOD arbeitet anscheinend sehr zuverlässig!

Das Ergebnis von GData finde ich auch interessant. Die Avastengine erzeugte 9 False/Positives, die in GData nur 7. Vielleicht gabs ja Unterschiede mit dem Updatestand. Also Avast hat schon upgedatet und für GData User standen noch keine neueren Signaturen bereit.

[Kenshiro]

Moin,

falls erlaubt, hier ein interview mit A. Clementi über d. Test!

[Gast_Scrapie_*]

Hi

Eine Frage an die technisch eingeweihten User hier:

Bei Allen außer NOD32 und Norton ist die Erkennungsrate von Trojanern und Backdoors immer deutlich höher als bei den Würmern. Woher kommt es (mögliche Gründe), dass diese Beiden sich genau umgekehrt verhalten?
Im Prinzip ist ja genau das der richtige Weg, denn Würmer können sich u.U. sehr schnell im Zeitfenster zw. Updates verbreiten und da finde ich ihre hohe Erkennung sehr gut, bzw. ein MUSS. Backdoors und Trojaner verbreiten sich dagegen bekanntlich nicht aktiv selber und ich würde deren (heuristische) Erkennung nicht als so bedeutend wie die der Würmer ansehen.

Warum haben nur NOD32 und Norton diesen "Vorteil"?


Scrapie

[Gast_mav1976_*]

Kurze Zwischenfrage: Warum werden Riskware als Fehlalarme gewertet, die doch eigentlich signalisieren, daß sie keine Maleware im eigentlichen Sinne darstellen, aber die Routinen von Maleware mißbraucht werden kann?

[Gast_claudia_*]

wie immer sehr interessant!

Habe "nur" mit der Bewertung so meine Probleme.
AntiVir erkennt immerhin 20378 Bedrohungen, NOD 2691 und Kaspersky sogar 10253 weniger!
Da relativieren sich 16 F/P schon erheblich, wobei wenn man die Heuristik auf niedrig stellen würde 6 F/P weniger wären und damit vielleicht ADVACED erreicht würde.
Genau deshalb hab ich auch noch AntiVir (ohne Guard) zusätzlich auf dem Rechner.
Vertrauen ist gut Kontrolle ist besser

Claudia

P.S. Wobei dieser Test nochnie Kaspersky´s stärke war, aber seit der 7er stark verbessert wurde

Der Beitrag wurde von claudia bearbeitet: 01.12.2007, 13:25

[maxos]

Habe "nur" mit der Bewertung so meine Probleme.
AntiVir erkennt immerhin 20378 Bedrohungen, NOD 2691 und Kaspersky sogar 10253 weniger!
Da relativieren sich 16 F/P schon erheblich, wobei wenn man die Heuristik auf niedrig stellen würde 6 F/P weniger wären und damit vielleicht ADVACED erreicht würde.

Bin auch kein Freund von false posivites, weil sie im Fall des Falles ungeheur aufhalten beim abklären ob da nun was dran ist od. nicht.

Aber man stelle sich z.b. mal vor, obiger Test wäre von der CB gemacht worden u. diese käme zu der Bewertung.
Dann würden alle wieder sagen, vergiss die CB u. deren Tests u. ausserdem kommt bei denen Kaspersky aufgrund der beigelegten, kostenlosen Versionen zwangsläufig immer gut weg.
Wie gesagt nur mal ein vergleichsweiser Gedankenanstoss.

[rolarocka]

Bin auch kein Freund von false posivites, weil sie im Fall des Falles ungeheur aufhalten beim abklären ob da nun was dran ist od. nicht.

Aber man stelle sich z.b. mal vor, obiger Test wäre von der CB gemacht worden u. diese käme zu der Bewertung.
Dann würden alle wieder sagen, vergiss die CB u. deren Tests u. ausserdem kommt bei denen Kaspersky aufgrund der beigelegten, kostenlosen Versionen zwangsläufig immer gut weg.
Wie gesagt nur mal ein vergleichsweiser Gedankenanstoss.

fp's sind blöde showstopper. ausserdem schüren sie bei unerfahrenen usern unnötige angst vor einer infektion. CB macht nun mal nicht solche Tests und es ist auch nicht so das diese Ergebnisse jetzt aus heiterem Himmel kommen. das ist ein langjähriger prozess.

Der Beitrag wurde von rolarocka bearbeitet: 01.12.2007, 15:09

[IBK]

riskware wird nur als FP gewertet wenn es sich nichtmal um riskware handelt (=fehlalarm). kav hat das inzwischen gefixt.
man stelle sich vor, wie avira mit niedriger heuristik im august test abgeschnitten hätte. im august test werden fehlalarme nicht hergezogen um die wertung zu drosseln (obwohl viele hersteller das möchten), dafür aber beim retrospective test. außerdem ist es nahezu eine schande dass immer noch fehlalarme im clean set auftauchen, da das clean set nicht soo schnell wächst und die vorherigen fehlalarme alle zur behebung eingeschickt werden. eigentlich sollten alle nur z.b. 0-3 fehlalarme haben.

[Gast_Nightwatch_*]

Guten Abend

Ich habe mal ein paar kleine Fragen zum November-Test von IBK:

Die "Deepguard-Technologie" von F-Secure spielt ja in der gewählten Testumgebung keine tragende Rolle, weil es sich um einen "On-Demand-Test" handelt, richtig?

Mal rein theoretisch betrachtet:

Wenn dem so sein sollte, könnte die tatsächliche proaktive Erkennungsleistung des Programms in realer Umgebung nicht bei momentan ~14%, sondern bei 50/60/70/80% liegen, wenn die verwendeten Test-Samples on-access (wie im Regelfall) auf den PC einträfen.
Inwieweit kann also dieser restrospektive Test die komplette Leistung einer AV-Software in der Testumgebung simulieren?

Dass F-Secure keinen großen Wert auf die Ausbauung ihrer Heuristik legt, ist ja schon lange bekannt. Als Neuankömmling in der Branche könnte man also die Testergebnisse gänzlich mißverstehen, weil man nicht weiß, dass der komplette proaktive Schutz nicht mitgetestet worden ist.

Das betrifft im Großen und Ganze ja nicht nur F-Secure, sondern auch andere Programme, die mit Verhaltensanalysen proaktiv arbeiten.

Mal so meine Gedanken dazu....

...vielleicht habe ich auch etwas mißverstanden und bitte daher um Aufklärung

[IBK]

on-access wären die ergebnisse gleich. nur wenn du die malware ausführen (on-execution) würdest, könntest du eine meldung bekommen dass programm xy gerade versucht auf die registry zu greifen usw.
es ist also nicht so dass das ergebnis nichts aussagt, sondern er zeigt einen bestimmten aspekt. je früher eine malware erkannt/gelöscht wird, desto besser. deepguard usw. ist als letzter schutz zu verstehen, wenn alles andere nicht gegriffen hat.
aber ein test wo technologien wie deepguard usw. berücksichtigt werden, wird es auch bei av-comparatives in zukunft geben, sobald wir von der ausstattung her soweit sind.

[Gast_Nightwatch_*]

Hallo IBK!

Danke für die schnelle Antwort und Aufklärung.

Das hat ein wenig Licht ins Dunkeln bei mir gebracht. Hoffe, dass Ihr Euch in Zukunft weiter ausbauen könnt. Die erste Adresse seid Ihr ja eigentlich schon seit langer Zeit.


Beste Grüße

[diddsen]

ikb....noch einen beitrag und dann bekommst nen blumentopf zum 1000 posting

[IBK]

ikb....noch einen beitrag und dann bekommst nen blumentopf zum 1000 posting

geschafft! Endlich die 1000-Marke erreicht

hm, jetzt muss ich auf die 10000-Marke zielen...


p.s.: ikb ist die abkürzung für innsbrucker kommunalbetriebe :P - mein Nick ist aber IBK (für Innsbruck).

[Gast_Jacomofive_*]

@IBK

10000er Marke ? Kein Problem ! Du musst uns nur zu jedem Sample was in deinen Test herumgeistert etwas erzählen ! Das geht dann ganz flux

Der Beitrag wurde von Jacomofive bearbeitet: 06.12.2007, 17:03

[Julian]

hm, jetzt muss ich auf die 10000-Marke zielen...

Erlaube mir, dir einen Tipp dafür zu geben

Ich wäre dir vebunden, wenn du meine Frage beantworten könntest.
Ich tippe aber mal, dass die entsprechende Funktion aus war und der Emulator der ausschlaggebende Faktor für den langsamen Scanspeed von Kaspersky war.
Liege ich richtig?

[IBK]

ja. kann dir aber nicht sagen um was für ein faktor die erweiterte rootkitsuche die geschwindigkeit beeinflusst.

Der Beitrag wurde von IBK bearbeitet: 06.12.2007, 20:50

[Julian]

ja. kann dir aber nicht sagen um was für ein faktor die erweiterte rootkitsuche die geschwindigkeit beeinflusst.

Danke für die Antwort

[Gast_Nightwatch_*]

Der AV-Comparatives Summary Report 2007 ist online!

Thx an IBK....werd ihn mir jetzt mal in Ruhe durchlesen.

Zu finden auf der offiziellen Website...

Der Beitrag wurde von Nightwatch bearbeitet: 18.12.2007, 23:27

[diddsen]

Der AV-Comparatives Summary Report 2007 ist online!

Thx an IBK....werd ihn mir jetzt mal in Ruhe durchlesen.

Zu finden auf der offiziellen Website...

hab dank für die info


and the winner iiiiiiiiiis NOD

warten wir mal die 3erVersion ab

[Gast_Jacomofive_*]

Einmal genau die Erkennungsraten in % anschauen ! Avira hat verloren wegen den vielen "False Positives " aber im gesamten nach Abzug der "False Positves" hat die Erkennungsrate von Avira mehr gefunden als Nod32

Und das meine ich nämlich immer mit der Aussage " lieber mal False Positives die ich dann manuell bei Jotti und Virustotal nachprüfen kann" als lieber keine Erkennung

Aktuell sieht der Test ja laut IBK"s Angaben so aus :

(Ich halte es mal kurz und simpel)

Erkennungsrate im Vergleich:
Avira vs. Nod32
86% / 71% - 15%
0% / 100% + 100% ( Zooviren = Wichtig ?)
43% / 2% - 41%
94% / 96% +2%
86% / 70% - 16 %
76% / 65% - 11 %
60% / 39% - 21 %


Na fällt mal was auf = Nod32 ist the Winner

Für mich als User sind die Erkennungsraten das "Ausschlagebende" wenn es um einen Gewinner als "Sicherheitssoftware" geht. Bei "False Positives" kann ich selbst noch eingreifen und prüfen, die Virenerkennung muss aber einem Sicherheitsprogramm überlassen da ich ja nicht Hellsehen kann und hierbei ist für mich die möglichst höchste Erkenungsrate wichtig.

Der Beitrag wurde von Jacomofive bearbeitet: 19.12.2007, 08:57