-
specialista #5964 Az szerintem nem mérvadó,hogy a védelmi programok mekkora adatbázissal rendelkeznek,vagy hogy napi rendszerességgel mekkora menyiséget töltenek le.Itt van példának a Kaspersky 1729630 record.Bitdefender 2464777 record.Norton Total Detections (Threats & Risks): 3202667 record.Ha valaki ezekből az adatokból esetleg azt a következtetést vonja le,hogy a legjobb felismerési rátával a Norton rendelkezik,akkor szerintem nagyon téved.A nagy adatbázis nem feltétlenül egyenesen arányos a legjobb észleléssel.
Más szempontokat is figyelembe kell venni.Ha megnézzük az Eset vírusirtóját az adatbázis nagyságát nem hozzák nyilvánosságra.Viszont ő egy minta alapján is képes felismerni az adott kártevő összes variánsait.Nagymértékben támaszkodik a Program összetevőkre,mint a vírus és kémprogram kereső modul,Kiterjesztett Heurisztikai modul,stb.A beérkezett mintákat a feldolgozás után újratesztelik a vírusirtó által tartalmazott programösszetevőkkel is.Ezután döntik el hogy szükséges-e az adatbázist frissíteni,vagy elég ha csak az adott programösszetevőt frissítik.Azokat a kártevőket,melyeket a heurisztika Módosult,Valószínűleg módosultként jelöl meg,automatikusan elküldi az Eset víruslaborjába további elemzésre.Ezeket a mintákat,amelyeket a Heurisztika megjelölt,szintén nem szükséges,hogy az adatbázisba belekerüljenek.Ha esetleg valaki kevesli az adatbázisban szereplő bejegyzések mennyiségét,az ne felejtse el a mellettük lévő számot is figyelembe venni.Pl.Win32/Agent.NSH (6).Tehát egy minta,hatszor módosították és a minta összes variánsa.Plusz a Heurisztikus kereső adatbázis frissítés nélküli felismerési rátája.A rendszeresen frissített Program összetevőkkel ismételten elvégzett szimulált tesztelési folyamat,amely vonatkozik a már észlelt,feltelepült kártevők minél pontosabb eltávolítására is a rendszerből.
A másik szempont,hogy a mintákat tiszta állományokkal is tesztelni kell,hogy minél jobban kiszűrhessék a téves riasztásokat.Abban az esetben,ha egy program mondjuk túl sokszor,esetleg nagyobb mennyiséget tölt le és a mintákat nem tesztelik le megfelelően tiszta állományokkal is,nagy mértékben megnő a téves riasztások lehetősége.
Az Eset által alkalmazott technika nagy mértékben hozzájárul,az alacsony erőforrás igényhez,hiszen nem szükséges több milliós adatbázist tárolnia a felhasználó rendszerén.Nem véletlenül vezeti a Virus Bulletin tesztjeit,hiszen a szakértők által összeállított,úgynevezett WildList tesztkészleten nem csak az összes kártevőt beazonosítja,de soha nem ad téves riasztást a minták közé kevert nagy számú tiszta állományra.
Természetesen amíg erre szakosodott orosz weboldalakon 1 dollár per vizsgálat alapon az összes ismertebb keresőmotor átvizsgálja a frissen hegesztett trójai kreatúrát.És addig módosítható amíg a keresők nulla találatot adnak(A VirusTotal-l ellentétben nem küldik el a víruslaboroknak a kártevőt),addig mindig lesz olyan,hogy valami bejut a rendszerbe.De mellékesen megjegyzem,hogy saját tapasztalataim alapján a Kaspersky rendelkezik azon ideális állapotokkal,adatbázis,alkalmazott egyéb védelmi mechanizmusok,amelyekkel kiérdemelte tőlem a legjobb(tudom ilyen nincs is)antivírus címet.