![[Index]](1arrow1.gif)
![[runter]](1arrow2.gif)
![[vorher]](1arrow4.gif)
|
|
|
|
Im Virus Bulletin (10/94) ist ein großer Vergleichstest von AV-NLMs
veröffentlicht worden, dessen Ergebnisse ich hier kurz zusammenfassen
moechte. Ich weise hier darauf hin, das dieser Test nicht von mir ist und auch
die Kommentare lediglich Übersetzungen aus dem Englischen sind.
Folgende Kriterien waren bei dem Test maßgebend:
Versuchsaufbau:
Ein Ethernet-Netzwerk bestehend aus einem Server
(486DX/25 MHz, 10 MB Ram, 256K Cache, 180 MB SCSI Festplatte, Netware 3.11 mit
CLIB 3.12f), einer Workstation (486DX/25) die den Server permanent beschaeftigte
(durch das DO_FILE Utility von Novell) und einer Workstation, um die NLMs zu
laden, zu administrieren und zu testen (486DX2/66, 265 K Cache, 32 MB RAM, 1,6
GB lokale Platte, MS-DOS 6.2 und Windows 3.1, QEMM 7.04, ohne Cache-Software).
Getestet wurden 3 Testsets von Viren, einmal eine Auswahl von In_the_wild
vorkommenden Viren (109), dann ein Standard-Testset (229), der einer normalen
Virensammlung entspricht und schliesslich eine Auswahl von Polymorphen Viren
(600).
Ergebnisse:
| Background Test | Real-Time Test | ||
| Produkt: | CPAV fuer NetWare v2.5 | ||
| In the Wild: | 78/233 sec | 52/240 sec | |
| Standard: | 190/242 sec | 137/254 sec | |
| Polymorphic: | 481/249 sec | 462/240 sec |
Bemerkung:
viele Features, geeignet fuer mehrere Server pro Netz,
zentrale Verwaltung aller Workstations, Alerts ,Mail-Backend
| Produkt: | IBM AV fuer NetWare v1.06 | ||
| In the Wild: | 105/242 sec | 102/387 sec | |
| Standard: | 227/251 sec | 208/420 sec | |
| Polymorphic: | 500/239 sec | 500/306 sec |
Bemerkung:
keine Menuesteuerung, insgesamt Mittelklasse in Sachen
Administration, kann nur 250 infizierte Files handlen.
| Produkt: | InocuLAN 3.0 | ||
| In the Wild: | 102/224 sec | 98/858 sec | |
| Standard: | 206/222 sec | 219/849 sec | |
| Polymorphic: | 502/227 sec | 352/839 sec |
Bemerkung:
full featured NLM mit allen nur erdenklichen
Konfigurationsoptionen. Wie CPAV und NAV sehr gute Administration.
| Produkt: | Intel Virus Protect v2.1 | ||
| In the Wild: | 92/256 sec | 92/831 sec | |
| Standard:219/249 sec | 219/826 sec | ||
| Polymorphic: | 27/246 sec | 27/828 sec |
Bemerkung:
Unterstuetzt Nomadic-Computing (Notebooks im Netz) in dem
die Virus-Signaturen auf den WS bei Bedarf upgedated werden. Gute
Administration, die aber über die schlechten Ergebnisse beim
Polymorphic-Test nicht hinwegtäuschen können.
| Produkt: | Net-Prot: F-PROT for NetWare v1.25 | ||
| In the Wild: | 94/255 sec | 90/334 sec | |
| Standard: | 214/252 sec | 212/336 sec | |
| Polymorphic: | 462/246 sec | 433/319 sec |
Bemerkung:
die Server-Variante von F-PROT, allerdings nur ein
einfachstes NLM ohne gute Administration. Erkennungsraten bei weitem nicht so
gut wie beim DOS Programm. Sehr schlechte Dokumentation. Sehr gute Performance
beim Real-Time-Modus.
| Produkt: | Norman Firebreak v3.42 | ||
| In the Wild: | 108/227 sec | 108/828 sec | |
| Standard: | 225/225 sec | 225/818 sec | |
| Polymorphic: | 480/245 sec | 480/816 sec |
Bemerkung:
einfaches Produkt, Konfiguration nur via Konsole,
beschraenkte Optionen, kein Scannen zu bestimmten Zeiten moeglich;
Log-Funktionen sind vorhanden, Report-Funktionen fehlen; Alerts koennen nur via
Netware-Messages gesetzt werden. Sehr gute Trefferquoten.
| Produkt: | Norton AV fuer NetWare v1.0 | ||
| In the Wild: | 68/237 sec | 61/561 sec | |
| Standard: | 224/243 sec | 224/551 sec | |
| Polymorphic: | 350/245 sec | 350/518 sec |
Bemerkung:
Bemerkenswertes User-Interface, insgesamt ein sehr gutes
Produkt das nur leider zu wenig Viren findet.
| Produkt: | McAfee NetShield 1.5 | ||
| In the Wild: | 98/256 sec | 95/298 sec | |
| Standard: | 223/260 sec | 198/288 sec | |
| Polymorphic: | 80/259 sec | 72/297 sec |
Bemerkung:
nur minimalste Funktionen, Administration via Konsole,
enthaelt Sicherheitsluecken.
| Produkt: | S&S AV-Toolkit fuer NetWare v6.65 | ||
| In the Wild: | 109/209 sec | 98/511 sec | |
| Standard: | 229/222 sec | 224/511 sec | |
| Polymorphic: | 583/217 sec | 0/545 sec |
Bemerkung:
Konfiguration nur via Scripts moeglich; Sehr langsam beim
Real-Time-Test. Wenig Message und Report-Moeglichkeiten. Obwohl das DOS-Produkt
zu den Besten AV Paketen der Welt gehoert, muss man von der Serverversion
unbedingt abraten.
| Produkt: | Sophos SWEEP v2.64 | ||
| In the Wild: | 109/246 sec | 109/1210 sec | |
| Standard: | 229/231 sec | 229/1200 sec | |
| Polymorphic: | 575/230 sec | 575/2726 sec |
Bemerkung:
Konfiguration nur via Konsole; Die schlechten Zeiten beim
Realtimetest basieren auf einem besonderen Verfahren und treten nur beim ersten
Scannen auf, spaeter reduzieren sich die Zeiten deutlich. Sehr gute
Trefferquoten !
Zusammenfassung:
Interessanterweise sind
Produkte, die unter DOS zu den Besten gehoeren, bei Serverversionen nicht
unbedingt sehr gut und umgekehrt. Sophos Sweep hat die besten Trefferquoten,
Net-Prot hat beim Real-Time-Test den geringsten Overhead und InocuLAN stellt ein
gutes Mittelmass an Konfigurierbarkeit und Trefferquote dar (haette es eine noch
hoehere Trefferquote waere es Testsieger geworden).
|
![[hoch]](1arrow3.gif) |
|
|