Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов x64 (результаты)

Recommended Posts

Kopeicev
Вы бы к тестам прикрепляли видео, о том как проходил тест, а то красиво писать все умеют, а что и как, это это не важно, ибо как говорится - народ и так схавает.

Да вот и народ сейчас другой пошел, и не верит красиво написаным словам, народу нужны факты!!

Ага, давайте буду снимать видео. 1 вендор тестируется примерно 3 часа (если не возникает спец. условий например у продукта 100500 процессов и т.д. тогда ещё дольше). Будете смотреть такое немое кино? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Kopeicev, да не стоит с этим тролем аля "Виталег" что-то обсуждать. Человек просто в корне не понимает, что такое тесты и как они проводятся, пишет ересь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
да? а мне всегда казалось, что они просто пытаются занять свою нишу на этом рынке ...

На рынке ПО с потенциальными уязвимостями? Не, это скорее посыл к OpenSource коммунити :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
А Лаборатории Касперского уже пора объявлять публичный конкурс "Завали КИС - получи приз"
Но конкурс и правда можно замутить, хороший был бы пиар.

Понимаю Вашу радость за подопечного. Но, не бросайтесь словами. А то возьмут и услышат. И действительно проведут конкурс, как уже проводили во Франции. Ссылка.

А вдруг Касперский окажется обычным середнячком после такого конкурса, и выяснится что существуют продукты с лучшей самозащитой. Как бы потом краснеть не пришлось за данный тест ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Виталик выложил материал, который показывает, что всегда можно получить ситуацию, когда вредонос выносит самозащиту. И всего то. При этом море эмоций - как всегда. Грустно и все это уже надоело

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Тест самозащиты антивирусов x64 (результаты), Результаты первого теста на x64

Буду критиковать...

Comodo Internet Security 5.0.32580.1142

1. CIS - не антивирус. (Как, впрочем, и большинство участников)

2. В CIS отсутствует самозащита в привычном понимании. Она реализована средствами ХИПСа, что потопаем, то и полопаем как настроим, так и будет защищаться, благо такие возможности наличествуют.

В этой связи интересно, как было настроено. Читаем:

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.0 (build-261024). Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционной системой Windows 7 (6.1.7600 x64). Хостовой операционной системой так же являлась Windows 7 (6.1.7600 x64).

При установке антивирусов использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

1. Тестирование на виртуалке, если это не "для себя", а для уважаемого издания - ересь. Например, Каспер, по неясным пока причинам, не контролирует что-то, запущеное с вмваревского "Shared Folder", а Комодо несовместим с VirtualBox'ом, это только навскидку.

2. Насколько я понимаю из приведенноё цитаты, в случае Comodo настройки были следующие: ХИПС - Safe Mode, песочница - включена. Отсюда следует, что тесты автоматом отправлялись в коробку с песком, откуда (смотрим таблицу) "File Permission Modification" для охраняемых по умолчанию файлов, изменение "Start-up Keys" т.е. охраняемых по умолчанию разделов реестра и "DLL injection" путём "SetWindowsHookEx" выглядят весьма проблематично. К тому же "убийство" ГУИ в нём "на скорость не влияет" и вовсе не означает снижения безопасности, а, при определённых настройках, даже наоборот.

Поэтому вопросы:

1. Тестовые тулзы опять, "как тады", вносили в доверенные "чтобы заработало"?

2. Смысл сравнения продуктов где самозащита, что называется, hard-coded и ненастраиваема с продуктами где её, как таковой нет, но, при желании, настраивается любой требуемый уровень "самозащиты"?

3. Смысл проверки настроек "по умолчанию"? (Особенно с учетом вопроса № 2)

4. Почему бы не выкладывать тестовые тулзы, этот вопрос, насколько я помню, уже поднимался и вразумительного ответа на него не последовало.

---------------------------------

Ну чего, примерно ожидаемо :) К сожалению, в тест не попал метод:

1. Создаем службу, которая может запускаться в Safe mode

2. Ребутаем комп в Safe mode ОС

3. Выносим АВ

4. Ребутаем комп обычный режим работы ОС

Впрочем, те, кто использует правила защиты от Ранзомов, которые я предложил год назад, защищены и от этого метода до сих пор :)

Зачем так сложно? Я Danilke отправлял три строчки, которые после обычной перезагрузки гарантировано отправляют на небеса любой существующий в природе КИС. И исправления этого, насколько я понимаю, ждать ещё долго.

---------------------------------

А Лаборатории Касперского уже пора объявлять публичный конкурс "Завали КИС - получи приз" :lol:

Разорятся на призах... :)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
а Комодо несовместим с VirtualBox'ом, это только навскидку.

Это VB не совместим со многими из-за быдлокода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Зачем так сложно? Я Danilke отправлял три строчки, которые после обычной перезагрузки гарантировано отправляют на небеса любой существующий в природе КИС. И исправления этого, насколько я понимаю, ждать ещё долго.

---------------------------------

А можешь напомнить о чем речь?( в личку) Я как раз проверю - как там дела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
На портале ни слова, или я не нашел?

Хакеры не успели взломать Dr.Web

Боян, более годичной давности - обсуждалось здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKE

Думаю, что в данном тесте (собственно можно и ко всем остальным тестам применить) уместно будет процитировать глубокоуважаемого Илью Шабанова. :)

"То, что преподносится нам как тест, на самом деле является обычным конкурсом или своего рода олимпиадой по поиску уязвимостей, — комментирует Илья Шабанов, руководитель проекта Anti-Malware.ru....

Взято от сюда

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Username
Боян, более годичной давности - обсуждалось здесь

Точно, сорри как свежая новость пришла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56

историю наград обновлять будите? а то там результаты за сентябрь 2010 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Зачем так сложно? Я Danilke отправлял три строчки, которые после обычной перезагрузки гарантировано отправляют на небеса любой существующий в природе КИС. И исправления этого, насколько я понимаю, ждать ещё долго.

ага, я вот Umnik-у отправлял почти уже год назад файл с одной строчкой, который тоже после перезагрузки гарантировано вырубает любой существующий КИС и 2011 тоже...

На исправление уже надежд мало (у себе через ХИПС закрыл ) - тестирование КИС 2012 покажет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Да, жаль MSE 2.0 не вошел, а ведь все сейчас на него переходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

KIS_fan

Если мне отправлял, значит занесено в баг-трекер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Предлагаю вернуться от обсуждения багов avp к результатам теста :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Понимаю Вашу радость за подопечного. Но, не бросайтесь словами. А то возьмут и услышат. И действительно проведут конкурс, как уже проводили во Франции. Ссылка.

А вдруг Касперский окажется обычным середнячком после такого конкурса, и выяснится что существуют продукты с лучшей самозащитой. Как бы потом краснеть не пришлось за данный тест wink.gif

За какого подопечного? Какой-то неуместный намек. Я лишь предложил в шутку идею в качестве пиар-акции.

Оффтоп. На счет кейса с Францией, то поищите тут на форуме, много интересного там про сие мероприятие было написано. Не хочется тут эту тему раскручивать.

Да, жаль MSE 2.0 не вошел, а ведь все сейчас на него переходят.

Если Слава Копейцев сумеет выделить полдня, то ради спортивного интереса может прогнать MSE 2.0 на наших тулзах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

100% надо и вебу дать. У него только ГУИ-агент умер, а самозащита и функциональность осталась абсолютно вся! т.е. формально - веб устоял на все тестах, например, в корпоративной версии веба есть возможность вообще отключить гуи-агент из трея, и в данном случае все тесты будут на все 100.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
100% надо и вебу дать. У него только ГУИ-агент умер, а самозащита и функциональность осталась абсолютно вся! т.е. формально - веб устоял на все тестах, например, в корпоративной версии веба есть возможность вообще отключить гуи-агент из трея, и в данном случае все тесты будут на все 100.

А слабо методологию прочесть и посмотреть Excel-файл с результатами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
А слабо методологию прочесть и посмотреть Excel-файл с результатами?

А слабо посмотреть Excel-файл с результатами еще раз? и увидеть, что есть 4 пунта где ТОЛЬКО "+/ - GUI was killed"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А слабо посмотреть Excel-файл с результатами еще раз? и увидеть, что есть 4 пунта где ТОЛЬКО "+/ - GUI was killed"?

Ты ваще как, глупый совсем, да? Методологию прочти. Внимательно.

Я читал, я смотрел, я знаю за что там сняли 2 балла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
За какого подопечного? Какой-то неуместный намек. Я лишь предложил в шутку идею в качестве пиар-акции.

Оффтоп. На счет кейса с Францией, то поищите тут на форуме, много интересного там про сие мероприятие было написано. Не хочется тут эту тему раскручивать.

Если Слава Копейцев сумеет выделить полдня, то ради спортивного интереса может прогнать MSE 2.0 на наших тулзах.

Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?

dwp.PNG

post-270-1295976645_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?
dwp.PNG

Типо разработали 100% защиту? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Типо разработали 100% защиту? :)

Не знаю, мне интересней узнать, если тест выявил некоторые проблемы, насколько они актуальны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×