"Не все йогурты одинаково полезны" (мысли об антивирусах)
Цитата:
Приходилось ли вам сталкиваться с ложными срабатываниями при загрузке файлов на такие сайты, как VirusTotal? Бывает, что файл неверно определяется как вредоносный не одним сканером, а несколькими. В результате возникает абсурдная ситуация, когда каждый продукт, не детектирующий такой файл, автоматически предстает в невыгодном свете перед пользователями, не понимающими, что дело не в пропуске вредоносного файла одним продуктом, а в ложном срабатывании других.
Как это ни печально, с подобной ситуацией зачастую приходится сталкиваться и при тестировании антивирусных продуктов, особенно в статических тестах, основанных на проверке по требованию. Коллекции вредоносных программ, используемые в подобных тестах, могут насчитывать сотни тысяч файлов. Естественно, валидация такого большого числа образцов требует значительных ресурсов. Поэтому большинство тестовых лабораторий имеют возможность проверить лишь часть файлов. А что же остальные? Единственный способ разделить файлы на категории — это сочетать репутационную оценку источника и проверку несколькими антивирусными решениями. Как и в приведенном выше примере с VirusTotal, это означает, что любая компания, решения которой не детектируют образцы, детектируемые продуктами других компаний, будет выглядеть неубедительно — даже если на самом деле образцы испорчены или совершенно чисты.
...
То, что мы сделали, в большой степени повторяло прошлогодний опыт немецкого журнала, только на большем числе образцов. Мы создали 20 чистых файлов и добавили ложное детектирование для десяти из них. В течение следующих нескольких дней мы неоднократно загружали эти двадцать файлов на VirusTotal. Через десять дней все 10 детектируемых нами (но не вредоносных) файлов детектировались решениями максимум 14 других антивирусных компаний. В некоторых случаях это можно было объяснить настроенными на обнаружение максимального числа файлов эвристиками, но практика добавления в базы образцов, детектируемых несколькими антивирусными решениями, несомненно, повлияла на результат.
|
оригинал сообщения и более подробно можно найти здесь. |
