MC test AntiVirusa

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Da vas malo informisem, dok cekate na rezultate.
Evo kako vrsimo testiranje:Uputstvo za test antivirus programa


Pre instalacije AV programa:
-   Arhivu sa virusima postaviti na sigurnu particiju, i u toku testiranja nemojte dozvoliti da vam AV programi obrisu neki virus. Mozda je najbolje da arhivu snimite na CD/DVD pre pocetka testova
-   Iz arhive posebno izdvojite na stranu foldere: Maybe virus, Not detected i Exotic
-   ukoliko se radi na Windowsu koji nije sveze instaliran, ocistiti sve ostatke prethodnih AV programa (foldere, registry). Norton AV za sobom ostavlja veliku kolicinu otpada, tako da obican uninstall ne vredi nista – pravice sranja svakom sledecem instaliranom AV programu. Postoji mogucnost da neki drugi AV program isto radi. Od programa za ciscenje registry baze imam dobrog iskustva sa jv16 i RegSupreme (zajendno u kombinaciji)
-   Instalirati sledece programe: FireFox, Total Commander
Zasto bas Firefox a ne neki drugi browser? Zato sto je freeware. Opera je isto cesto koriscen browser, ali bi to nepotrebno prosirilo test. Dovoljno nam je da svi imamo jedan browser koji nije IE. Ukoliko bas ne mozete/necete da instalirate Firefox, napomenite u opisu, ali bi bilo pozeljno da svi koristimo isti browser. Uz to, Firefox ima veci deo trzista od Opere.
Zasto bas Total Commander? Ukoliko znate neki drugi koji moze da radi sa ZIP, RAR i drugim arhivama interno, bez koriscenja WinRAR, WinZIP ili drugih eksternih programa, u tom slucaju moze i taj neki drugi file manager.
-   sledeci korak je napraviti image particije. Za ovo su potrebni programi Ghost (do verzije 8, verziju 9 ne preporucujem nikome) ili Acronis True Image (brzi je od Ghosta i radi sa USB. FireWire diskovima itd.)

Instalacija (ide u opis programa, u kratkim crtama i u tabeli):

-   Proveriti da li je moguce program instalirati u Safe Mode. Zapisati rezultat.
-   Pokusati pokrenuti makar skeniranje u SafeMode. Zapisati rezultat
-   Ukoliko nije bilo moguce instalirati program u SafeMode, instalirati ga normalno, pa proveriti da li sada da li je moguce pokrenuti ga u SafeMode
-   Zabeleziti da posebne mogucnosti pri instalaciji (skeniranje pre instalacije). Primer: Norton skenira pre pocetka instalacije (Norton PreScan), sa bazom koju ima na instalacionom CD-u. Ovo postaje iluzorno par meseci posle izdavanja programa zbog zastarele baze, ali ipak zabeleziti i napisati odgovarajuci komentar. Ukoliko AV program skida bazu pre provere – onda ova mogucnost dobija pravi smisao.

Posle instalacije (ovo ide u opis programa, neke stvari i u tabelu):
-   koliko resursa zauzima AV program (TaskManager, sa ukljucenim Memory Usage i Virtual Memory Usage, oba zabeleziti posebno za sada). Neki AV programi imaju vise procesa u Task Manageru, sabrati memory usage za sve procese.
-   da li trazi da uradi full scan i update posle instalacije?
-   Pogledati koja su default podesavanja kod skeniranja (skeniranje arhiva, skeniranje mail-a, redundantan scan, heuristican scan)
-   Uraditi kratak opis interfejsa i opcija programa sa screenshotovima (ne mora svakog ekrana ukoliko ih ima mnogo)
-   Dodatne opcije programa (Firewall, adware/spyware remover… sta god, a ne spada pod AV)
-   Uraditi update definicija virusa


Testovi

Ima testova koji se rade sa default i sa maksimum podesavanjima. Najlakse je prvo proci sva testiranja sa default, pa onda podesiti opcije na maksimum, i onda testirati ponovo gde je potrebno.

Test1: Suvo testiranje arhive sa virusima. Foldere ‘maybe virus’, ‘not detected’ i ‘Exotic’ ne skenirati u ovom testu.
-   Zapisati broj prepoznati virusa (known viruses) i broj zarazenih fajlova sa fabrickim (default) podesavanjima programa. U arhivi postoje fajlovi u kojima ima vise virusa, tako da su obe brojke relevantne. Nemojte dozvoliti programu da brise viruse.
-   Sada napravite folder ‘ime_programa_max_podesavanja”, u njega iskopirajte viruse iz arhive (osim foldera ‘not detected’, ‘maybe virus’ i ‘exotic’)
-   Napravite jos jedan scan, ali sada dajte Av-u nek brise viruse koje nadje.
-   Ono sto ostane neobrisano, sklonite na stranu, trebace nam za posle testa. Iz total commandera moze da se napravi spisak ovih virusa (lista) koji su ostali, pa ukoliko neka kompanija zatrazi, mozemo im kasnije poslati taj spisak, eventualno i kompletne viruse. Za pravljenje spiska je potreban DiskDir plugin za TC. Kada se plugin instalira, selektuje se folder i odabere se u Meniju opcija PACK, a kao packer se odabere DKT. DKT fajl je isti kao LST fajlovi pravljeni drugim programima.
-   Gledajte da ovo sto ostane neobrisano od virusa, sacuvate na particiju koju necete unistiti vracanjem image fajla.
Test2: Realtime zastita na netu(klik na virus)
-   Kliknuti link http://www.xxx.xxx/virus.win32.ghost.1667.exe u IE i videti da li je fajl blokiran i prijavljen.
-   Kliknuti isti link u Firefox i videti da li je fajl blokiran i prijavljen.
Test3: Realtime zastita na netu(klik na arhivu sa virusom)
-   Kliknuti link http://www.xxx.xxx/virus.win32.ghost.1667.zip u IE i videti da li je fajl blokiran i prijavljen.
-   Kliknuti isti link u Firefox i videti da li je fajl blokiran i prijavljen.
Test4: Realtime zastita na netu(klik na virus za laznom ekstenzijom)
-   Kliknuti link http://www.xxx.xxx/virus.win32.ghost.1667.xxx u IE i videti da li je fajl blokiran i prijavljen.
-   Kliknuti isti link u Firefox i videti da li je fajl blokiran i prijavljen.
Test5: Realtime zastita u lokalu
-   Startujte test.bat iz foldera Test5 . Da li je prepoznat/prijavljen virus u folderu Podtest? Da li je blokiran?
Test6: Realtime zastita u lokalu(ulazak u folder koji sadrzi virus sa pravom ekstenzijom)
-   Uci Comanderom u folder Test6 i videti da li AV reaguje. Ukoliko reaguje, probajte ipak da fajl iskopirate u folder Temp. Da li mozete ili ste blokirani?
Test7: Realtime zastita u lokalu(ulazak u folder koji sadrzi virus sa laznom ekstenzijom)
-   Uci Comanderom u folder Test7 i videti da li AV reaguje. Ukoliko reaguje, probajte ipak da fajl iskopirate u folder Temp. Da li mozete ili ste blokirani?
Test8: Realtime zastita u lokalu(ulazak u folder koji sadrzi virus sa pravom ekstenzijom u ZIP arhivi)
-   Uci Comanderom u folder Test8 i videti da li AV reaguje. Ukoliko reaguje, probajte ipak da fajl iskopirate u neki folder. Da li mozete ili ste blokirani?
-   Ukoliko vas dosad nije opomenuo, udjite u samu arhivu i vidite da li tada reaguje?
Test9: Podrska za skeniranje arhiva
-   potrebno je da skenirate ponaosob sve arhive u folderu Test9. Zabelezite koje vrste arhiva nisu podrzane.
-   Najlakse je ako pritiskom na desno dugme misa imate ‘Scan this file’ ili slicnu opciju. Ukoliko radite u Total Commanderu, potrebno je desno dugme zadrzati pritisnuto duze vreme da bi se pojavile opcije.
Test10: Prepoznavanje razlicitih metoda pakovanja i kriptovanja
-   metoda je ista kao za Test10, potrebno je svaki fajl skenirati i u tabelu uneti one koji nisu prepoznati.
Test11: Redundantno skeniranje (trazenje virusa tamo gde ih inace nebi trebalo biti, kao u recimo TXT fajlovima)
-   skenirajte fajl iz foldera Test11 i vidite da li je virus prepoznat
Test12: Testiranje dubine skeniranja u arhivama
-   skenirajte fajl iz foldera Test12 bez raspakivanja. Fajl spakovan u arhivu, ta arhiva u drugu arhivu (i tako 10 puta)
Test13: Testiranje Multiple arhive
-   skenirajte kompletan folder Test13 i utvrdite da li je virus prepoznat
Test14: Extra
-   testirajte folder iz arhive virusa:‘Not detected’, koji su rezultati? Ovo su neobjavljeni virusi, i par jako retkih virusa. Ima i dosta exploita za igre, programe i slicno, nisu OS exploiti.
-   Posto je folder diskutabilan, ukoliko prijavi virus, obavezno zapisite i ime fajla. Imena ne upisivati u tabelu, to ce posluziti samo nama.
Test15: Extra2
-   testirajte folder iz arhive virusa:‘maybe virus’, koji su rezultati?
-   Posto je folder diskutabilan, ukoliko prijavi virus, obavezno zapisite i ime fajla. Imena ne upisivati u tabelu, to ce posluziti samo nama
Test16: Realan test
-   startujte exe fajl iz foldera Test16 (PAZNJA!!! Pravi trojanac!!!)
-   restartujte racunar
-   da li jos radi AV program (predjite misem preko ikonice u systray-u, ukoliko ikonica nestane – AV je mrtav process). TheBeast ima na spisku 381 program koje ubija.
-   ukoliko jos radi AV, skenirajte i pokusajte da otklonite trojanca. Zabeleziti da li je uspeo u normalnom modu rada Windowsa
-   Da li su jos prisutni fajlovi (delovi trojanca)
-   Obavezno zapaziti ako je AV prijavio da je odstranio trojanca, a on ostane prisutan i aktivan.
-   ukoliko nije uspelo odstranjivanje u normalnom modu, restartujte komp u SafeMode, pa opet skeniranje
-   Da li su jos prisutni fajlovi (delovi trojanca)
-   Obavezno zapaziti ako je AV prijavio da je odstranio trojanca, a on ostane prisutan i aktivan.



Upustvo za popunjavanje tabele:
Odgovarajuca polja popuniti brojkama ili sa DA ili NE (u smislu: prosao je test ili nije). Eventualno, ukoliko program nema uopste ugradjenu mogucnost da uradi test, unesite “/” (recimo nema Realtime protekciju, pa ni ne moze da skenira browsere i mail cliente u toku rada). Napisite onda i fusnotu ili u tekstu da taj AV nema tu mogucnost (mozda je poseban tip AV programa kao Avast BartPE). Ukoliko imate posebnog komentara za pojedini test, unesite “(x” iza rezultata, ‘x’ je broj. Ispod tabele onda prokomentarisite svaki od tih brojeva. Nadam se da kontate sta zelim da kazem, kao kada imate fusnote u knjizi.
U istom fajlu napisite i vas tekst o testiranom programu sa screenshotovima.




Obezbediti da distributeri dobiju neotkrivene viruse, ili barem spisak.


A ovako ide ocenjivanje:Prepoznavanje svih virusa iz baze daje tom AV programu pocetnih 100% uspesnosti.
Neuspeh na nekom od drugih testova u tabeli oduzima procente i to na sledeci nacin:
- neuspeh instalacije u SafeMode: - 5% (mada sam ovde i za zesce oduzimanje poena)
- neuspeh rada u SafeMode nakon instalacije: -5%
- neuspeh rada u SafeMode nakon normalne instalacije: -10% (dovoljno je da moze da skenira, ostale komponente nisu vazne)
- Test2-8: svako polje oduzima 1% ukoliko je neuspesan test
- Test9: -2% za svaku nepodrzanu arhivu
- Test10: -2% za svaki nepodrzani packer
- Test11-13: -2% ukoliko ne detektuje ni na Max podesavanjima (dovoljno je da ga barem jednom detektuje)
- Test14 i 15 ulaze u Test1 na kraju
- Test16: +2% ukoliko ga ocisti u NormalMode, -2% ukoliko ga ne ocisti ni u SafeMode

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

svaka cast.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

U Testu9 je virus arhiviran sa 15 razlicitih tipova arhivera.
U Testu10 je virus pakovan sa 30 vrsta EXE packera i cryptera.
Moze se videti da, ukoliko AV program ne podrzava dovoljan broj packera, da mu se moze srozati i do 60% rezultata.
Ja ne mislim da je ovo rigorozno, jer zabadava moze da prepozna nepakovan virus, kada i dete moze da spakuje taj isti virus EXE packerom i da ga posalje nekom.
Za neobavestene, EXE packer je program koji ce izvrsni fajl da spakuje i kompresuje opet kao izvrsni fajl. Ostaje ikonica i sve ostalo od starog fajla. Kada se startuje ovakav fajl, on ce da se raspakuje tek u memoriji i tamo ce da se odmah i izvrsi.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

aha... profi deluje! BTW, zasto se instistira na Firefoxu? (ajde da je dobar browser, pa da razumem )

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Moze i Opera, sve jedno samo da nije IE. Mnogi kozmeticki AV-i bi mogli da se skoncetrisu samo na integraciju u IE, dok ce neki ozbiljniji da ide na implementaciju API hook-a, pa da prati sve promene fajlova na sistemu.
btw. imamo IE i FF, dovoljno za dokazivanje teorije.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

To je zdrava logika ako se testiraju browseri koji zajedno imaju 99% trzista....a od toga IE 96%

Mislim da malo postaje test elitisticki ako se ne obavi i za IE koji koristi jos uvek ogromna vecina ljudi

Edit: Aha, sad sam video da ce biti i IE... sorry

I jos par stvari... potrudite se da distri dobiju ne spisak virusa koje nisu njihovi programi otkrili vec fajlove za koje tvrdite da su tim virusima zarazeni a nisu detektovani... spisak nista ne znaci

oko self extracting arhive.... ukoliko govorimo o .EXE ekstenziji vecina AV programa ce ga ukaciti kao executive fajl i skenirati njega samog kao EXE a ne kao arhivu, ali pri raspakivanju ce ga uhvatiti Real time zastita. Kako se ovo posmatra tokom testiranja?

Takodje za 6-8
Postoji mogucnost (zavisno od arhive pa cak i virusa) da AV ne reaguje na sam ulaz u folder Total Commanderom ali da ne dozvoljava bilo kakve operacije sa arhivom (copy, extract i sl) . Obratiti paznju i na to

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Imam jednu zamerku za testove od 6-8.

Sam ulazak TC-om u folder u kome je virus ne mora uvek da znaci i da ce AV da reaguje trenutno...sta ako je u istom folderu 300 virusa?

Mislim da ce kod svakog AV-a nekad da reaguje odmah na virus u folderu, nekad malo kasnije...samo je bitno da kada korisnik pokusa da ga aktivira da "skoci"

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Zasad su reagovali svi, tako da nije problem.
Kod testa gde je virusu promenjena ekstenzija ili je spakovan u ZIP, vecina su reagovali (osim jednog za sada) na pokusaj kopiranja fajla u drugi folder (isto spada u test), tako da je i ovaj test OK.

Iznecu vam drugi problem, koji ce po svemu sudeci napraviti veliku razliku izmedju AV programa.
Kopiram tekst iz mog posta u AV Test forumu (u koji vi ne mozete da udjete): Test9 i Test10 ce biti pravi terminatori za AV programe, jos ce neki da ima i ispod nula poena, tacno osecam.
Bruka test...
Pazite sada ovako, na Test9 KAV ima samo -2%, na Test10 ima -4%.
AVG ima na T9 ima -10%, na T10 ima - 56%
Sta li ce ostali jadnici da imaju.

Ukoliko smanjimo kriterijume za oduzimanje poena, test gubi smisao.

Da predstavim to ovako:
Ukoliko jedan AV moze da prepozna 10000 virusa, i prepoznaje sve packere (30 komada), to mu je isto kao da prepoznaje 310000 virusa.
Drugi AV ima bazu od 50000 virusa, a prepoznaje samo 2 packera, to mu je isto ko da prepoznaje 150000 virusa.

Sta je sada vaznije, i kako da budemo pravedni? Svaki virus moze da se zapakuje i da se posalje. Zapakovan virus je podjednako opasan kao i nepakovan. Ovde mislim na EXE packere, ne na arhivere.

Pojedini AV programi, kao AVG su apsolutno OK za Mainstream. Ali... radi iskljucivo sa popularnim formatima arhiva za Windows (ni jednu Linux arhivu ne podrzava) i definitivno izgleda da ne prepoznaje starije viruse, kao ni ne-Win viruse (DOS, Linux).
Da nije malo ironicno da vam prastari CIH za DOS ubije BIOS ko zeca?

Predlazite promene u ocenjivanju, ili cemo imati samo dva programa sa vise od 60% uspeha, a ostali ce biti ispod 20%.
Po meni je ovo sasvim realno, ali ce nas neko zbog toga razapeti na krst.


Predlozite bolje (fer) ocenjivanje. Ja nisam dovoljno pametan.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

pa mozda ipak da se gleda raspakivanje? virus u arhivi je nemocan sve dok se arhiva ne raspakuje.... tako da mozda treba smanjiti kaznu za neprepoznavanje arhiva na -1% a ako ne zaustavi raspakivanje onda dodati neku veliku kaznu

Ili jos bolje odvojiti taj test... izbaciti posebne rezultate za sve vece segmente testa a onda u zakljucku oceniti zvezdicama ukupan dojam ili tako nesto ...

nisam jos imao priliku da se bavim ovako kompleksnim testom pa ni sam nisam pametan... verovatno ima razloga zasto se to sve posebno testira

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

btw, testirate li i Avast (Home Edition)???