Gå til innhold

Norman eller Norton?

dmx

Av dmx
i IKT-drift og sikkerhet

Anbefalte innlegg

mrbobson

mrbobson

Skrevet
Skrevet (endret)
Er sjøl en bruker av Nod32 men fikk lyst til og teste Kaspersky...Resultatet var at sistnevnte fant noen trojanere som Nod ikke hadde funnet...Vet ikke jeg, men kan det være det at Kaspersky er bedre på trojanere enn Nod32... :hmm:

Trojanere er et meget vidt begrep som ofte også brukes feil.

Du skal ikke se bort fra at trojanerne Kaspersky fant er spyware e.l. som Nod32 ikke har prioritert da det strengt tatt faller utenfor deres foretningsområde, nemlig virus.

Ofte er det slik at rene antivirus-selskaper kun legger til deteksjon for spyware/adware når det er ødeleggende eller spesiellt plagsomt. Isåfall er det en vurderingssak for hvert enkelt selskap om en sample er plagsomt nok.

Trojaner generelt er vel en kategori for en type virus? Det er vel ikke sånn at det da generelt faller utenfor NOD32's kompetanseområde, uten å fastslå hvilken trojan det er snakk om.

Selvsagt er alle selskaper ulike på hva de er best på, men det er et ubestridt faktum at Kaspersky blandt anti-virus produktene er best på trojaner og backdoors.

 

Men: du kan sjekke om trojanen er skadelig eller ikke på kaspersky egen virus-infoside (det skal stå i loggen hvilken trojan/-er den fant)

http://www.viruslist.com/

Endret av mrbobson
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Domino

Domino

Skrevet
Skrevet
Er sjøl en bruker av Nod32 men fikk lyst til og teste Kaspersky...Resultatet var at sistnevnte fant noen trojanere som Nod ikke hadde funnet...Vet ikke jeg, men kan det være det at Kaspersky er bedre på trojanere enn Nod32... :hmm:

Trojanere er et meget vidt begrep som ofte også brukes feil.

Du skal ikke se bort fra at trojanerne Kaspersky fant er spyware e.l. som Nod32 ikke har prioritert da det strengt tatt faller utenfor deres foretningsområde, nemlig virus.

Ofte er det slik at rene antivirus-selskaper kun legger til deteksjon for spyware/adware når det er ødeleggende eller spesiellt plagsomt. Isåfall er det en vurderingssak for hvert enkelt selskap om en sample er plagsomt nok.

Trojaner generelt er vel en kategori for en type virus? Det er vel ikke sånn at det da generelt faller utenfor NOD32's kompetanseområde, uten å fastslå hvilken trojan det er snakk om.

Selvsagt er alle selskaper ulike på hva de er best på, men det er et ubestridt faktum at Kaspersky blandt anti-virus produktene er best på trojaner og backdoors.

 

Men: du kan sjekke om trojanen er skadelig eller ikke på kaspersky egen virus-infoside (det skal stå i loggen hvilken trojan/-er den fant)

http://www.viruslist.com/

En trojaner er definert som et program som utfører uønskede handlinger mens det utgir seg for å være noe annet. Denne definisjonen omfatter også mye spyware og adware.

Trojanere generellt faller ikke utenfor noe antivirus-selskaps kompetanse-område, men når det er snakk om adware/spyware er det store forskjeller på hva som tas med.

F.eks vil en fil som uten brukerens godkjenning popper opp med reklame kunne defineres som en trojaner uten at det på noen måte faller inn under definisjonen for virus eller en underkategori av denne.

Siden det finnes extreme mengder spyware/adware er dette noe de fleste antivirus-selskaper iallefall til nå har filtert kraftig. Hva som blir filtrert vekk kan variere fra selskap til selskap basert på deres egen vurdering av det enkelte tilfelle.

Dette er faktisk den aller størte årsaken til at folk klager på at et bestemt AV-program ikke nok "virus" funnet av et annet.

 

Selv om Kaspersky er gode på bakdører og trojanere finner du nok desverre ikke beskrivelser for alle disse på viruslist.com.

Dette gjelder forsåvidt alle andre leverandører også. Malware som ikke ligger på risk-listen blir det vanligvis heller ikke lagd noen detaljert analyse av. Dette stjeler bare ressurser fra andre viktigere ting.

Lenke til kommentar
  • 2 uker senere...
JKJK

JKJK

Skrevet
Skrevet
norton :w00t:

om du føler du har litt for mye systemressurser.....

Riktig. Hører rykter om at 2005'ern skal være snillere, men har ikke testa den selv enda. Blir så lei av alt mølet Symantec skal hive med. Får en form for packard bell følelse... der pc'n allerede er tjåke full av drit man ikke trenger ved første oppstart :p

Lenke til kommentar
mrbobson

mrbobson

Skrevet
Skrevet (endret)

1. Norman oopdager ikke virus

Ja, Norman tar ikke virus. Det er ikke nok å oppdage virus leeeenge etter de er oppdaget. Norman er et veldig dårlig produkt om du får mange nye virus - dersom du har eldre virus er den helt ok.

Ikke veldig overraskende det, siden alle de større antivirusleverandørene utveksler virusdatabaser en gang i måneden.

Bare tull. Hvor har du dette fra?

1: Norman holder seg på gjennomsnittet når det gjelder hvor lang tid det tar fra et virus blir kjent til det slippes signatur-filer. Unntaket er virus som ikke er in the wild og dermed ingen trussel. Enkelte antivirus-selskaper hyper alle virus og slipper definisjons-filer asap selv om viruset ikke er i spredning. Det sier seg selv at det er dumt å skremme vettet av folk for noe det ikke er noen fare for at de blir infisert med?

Hei Domino....

 

Holdt nesten på å glemme det, men her er testen jeg refererte til hvor Normam ikke tar et eneste virus:

http://www.rokop-security.de/main/article.php?sid=494

 

(nå skal jeg vel i sannheten også si at NOD32 ikke kom spesielt godt ut heller)

Endret av mrbobson
Lenke til kommentar
Domino

Domino

Skrevet
Skrevet

1. Norman oopdager ikke virus

Ja, Norman tar ikke virus. Det er ikke nok å oppdage virus leeeenge etter de er oppdaget. Norman er et veldig dårlig produkt om du får mange nye virus - dersom du har eldre virus er den helt ok.

Ikke veldig overraskende det, siden alle de større antivirusleverandørene utveksler virusdatabaser en gang i måneden.

Bare tull. Hvor har du dette fra?

1: Norman holder seg på gjennomsnittet når det gjelder hvor lang tid det tar fra et virus blir kjent til det slippes signatur-filer. Unntaket er virus som ikke er in the wild og dermed ingen trussel. Enkelte antivirus-selskaper hyper alle virus og slipper definisjons-filer asap selv om viruset ikke er i spredning. Det sier seg selv at det er dumt å skremme vettet av folk for noe det ikke er noen fare for at de blir infisert med?

Hei Domino....

 

Holdt nesten på å glemme det, men her er testen jeg refererte til hvor Normam ikke tar et eneste virus:

http://www.rokop-security.de/main/article.php?sid=494

 

(nå skal jeg vel i sannheten også si at NOD32 ikke kom spesielt godt ut heller)

Hei du. Her skal du få en forklaring. Håper den er forståelig.

 

Dette er ingen vanlig antivirus-test.

Det de har testet her er et produkts deteksjon av repacked filer - eller med andre ord hvor bra et program er på å gjenkjenne virus som har blitt repacka med et exe-pakke program som f.eks UPX og Yoda.

 

Alle antivirus-program baserer seg i all hovedsak på å detektere virus ved hjelp av enten signaturer eller en CRC av filen.

Ved CRC deteksjon må filen (eller iallefall bestemte deler av filen) være en exact match for at filen skal detekteres.

En signatur kan derimot tillate for flere avvik slik at f.eks infiserte exe-filer (altså vanlige exe-filer som er infisert med et filinfisertende virus) blir detektert selv om filen som scannes ikke matcher den som ble analysert.

I tillegg til disse to formene for deteksjon har man to typer proaktiv deteksjon.

Først har man programmer som Normans Sandbox som på forskjellige måter analyserer filen og avgjør om det er malware uten CRC eller signatur.

Den andre metoden er generiske signaturer - signaturer som tillater så store avvik at den kan fange opp flere varianter av samme malware.

 

 

Testen du viser til avhenger av to ting.

1: Programmets evne til å pakke opp filer som er pakket med exe-pakkere

2: Programmets evne til å fange opp virus generisk.

Testerne har nemlig selv pakket ned test-samplene med forskjellige exe-pakkere, så ingen av filene de testet med har noen gang vært "in the wild" eller blitt analysert av et antivirus-selskap.

 

Norman versjonen de har testet med er en rimelig gammel versjon. Sandbox var fortsatt i barndommen og ble trolig ikke brukt i testen (måtte skrus på manuellt).

Norman hadde heller ikke serlig gode utpakkings-rutiner på den tiden.

 

I praksis kan man si at testerne har lagd nye varianter av eksisterende virus og testet programmene mot disse.

Norman hadde kommet ut på en helt annen måte om testen hadde blitt gjort i dag med Sandbox aktivert.

Legg også merke til følgende sitat fra testen: "In addition, all test programs were able to detect our six test samples in their primitive state."

Så alle antivirus programmene de testet med detekterte altså samtlige samples før de ble pakket om.

Lenke til kommentar
Domino

Domino

Skrevet
Skrevet
Norman hadde kommet ut på en helt annen måte om testen hadde blitt gjort i dag med Sandbox aktivert

 

hm... Intelesting! :!:

Hadde vært kjekt å få testet om sandboxteknologien egentlig fungerer i praksis, evt. HVOR godt den fungerer!

Blitt gjort noen gode tester på dette i det siste.

Om du vil teste selv kan du submitte infiserte filer på http://sandbox.norman.no eller bare se på listen av filer andre har sendt inn.

Automatisk sandbox analyse blir automatisk publisert på sidene.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...