Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов x64 (результаты)

Recommended Posts

A.
Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?

Я правильно понимаю, что все настроечки на этом экране - по умолчанию выключены ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я правильно понимаю, что все настроечки на этом экране - по умолчанию выключены ?

Да, правильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Да, правильно.

Потихоньку ХИПСовые технологии внедряете ? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
100% надо и вебу дать. У него только ГУИ-агент умер, а самозащита и функциональность осталась абсолютно вся! т.е. формально - веб устоял на все тестах

Формально антивирусный функционал устоял, согласен. Но все же баллы нужно снять, такова методика оценки. Иначе это было не справедливо к тем, кто позаботился о защите того же GUI. Да и сам Доктор в большинстве случаев его защищает, поэтому можно рассматривать снятие баллов как недоработку.

например, в корпоративной версии веба есть возможность вообще отключить гуи-агент из трея, и в данном случае все тесты будут на все 100.

Да, тогда будет 100%.

Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?

Можно будет проверить на досуге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тимур

Сергей Ильин, спасибо большое за тест. Я и не сомневался что мой комп отлично защищен Каспесрким и деньги потраченные на лицензию были потрачены не зря. Автору почет!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Я извиняюсь за оверквотинг, но:

К сожалению, в тест не попал метод:

1. Создаем службу, которая может запускаться в Safe mode

2. Ребутаем комп в Safe mode ОС

3. Выносим АВ

4. Ребутаем комп обычный режим работы ОС

Впрочем, те, кто использует правила защиты от Ранзомов, которые я предложил год назад, защищены и от этого метода до сих пор :)

Зачем так сложно? Я Danilke отправлял три строчки, которые после обычной перезагрузки гарантировано отправляют на небеса любой существующий в природе КИС. И исправления этого, насколько я понимаю, ждать ещё долго.
ага, я вот Umnik-у отправлял почти уже год назад файл с одной строчкой, который тоже после перезагрузки гарантировано вырубает любой существующий КИС и 2011 тоже...

На исправление уже надежд мало (у себе через ХИПС закрыл ) - тестирование КИС 2012 покажет...

И как всё это соотносится с этим:

"Platinum Self-Protection Award - Kaspersky Internet Security 2011 (100%)"?

Может я чего-то не понимаю?

Неужели тестировщикам не известны методы обхода самозащиты KIS? Или наоборот (судя по составу) - слишком хорошо известны и поэтому в тест не попали?

А то получается в худших традициях быдлорекламы: огромным шрифтом - "Наш суперпродукт обладает на стопицот процентов непробиваемой самозащитой!" и ниже мелким-мелким шрифтом "При таких-то идеальных условиях и с такими-то допущениями".

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

А что вас смущает? Про то что методом который описал Умник можно вынести продукты под x64 мы узнали только после публикации результатов, когда он написал об этом в этой теме. Кстати в следующий такой тест включим это.

Про то что им с Данилкой писали в ЛС мы точно не знаем ;)

У нас прямо написано, что продукт показал 100% эффективности самозащиты в нашем тестировании. А как может быть иначе? Список методов тестирования описан в методологии.

Мы же не пишем что: "Продукт, который показал 100% ничем нельзя убить!" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
А что вас смущает? Про то что методом который описал Умник можно вынести продукты под x64 мы узнали только после публикации результатов, когда он написал об этом в этой теме.
Вот как раз об этом я и писал выше: знал, но молчал, как партизан. О том, что Дмитрий работает в ЛК тестировщиком я умолчу. :)
Мы же не пишем что: "Продукт, который показал 100% ничем нельзя убить!" :lol:

А на это кагбэ намекает следующая полушутливая фраза:

А Лаборатории Касперского уже пора объявлять публичный конкурс "Завали КИС - получи приз" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Вот как раз об этом я и писал выше: знал, но молчал, как партизан. О том, что Дмитрий работает в ЛК тестировщиком я умолчу. smile.gif

1. Не знал. Публикация результатов была еще в декабре, а об этом методе я узнал буквально пару дней спустя.

2. То, что я тестировщик в ЛК тут знают все-все-все, кроме новичков :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я извиняюсь за оверквотинг, но:

И как всё это соотносится с этим:

"Platinum Self-Protection Award - Kaspersky Internet Security 2011 (100%)"?

Может я чего-то не понимаю?

Нет, вы, думаю, просто невнимательно прочитали предыдущие сообщения.

Неужели тестировщикам не известны методы обхода самозащиты KIS? Или наоборот (судя по составу) - слишком хорошо известны и поэтому в тест не попали?

А то получается в худших традициях быдлорекламы: огромным шрифтом - "Наш суперпродукт обладает на стопицот процентов непробиваемой самозащитой!" и ниже мелким-мелким шрифтом "При таких-то идеальных условиях и с такими-то допущениями".

Ответ на ваш вопрос уже дан выше. Читаем здесь >>>

Соглашусь, вполне такое может быть. На 100% непробиваемого продукта нет, в этом смысле абсолютный результат того же Касперского нужно воспринимать с оговорками - по данной методологии. Дима Мячин уже выше намекнул на один вариант, которым многих можно прибить.

(выделено мной - Mr. Justice)

А на это кагбэ намекает следующая полушутливая фраза:

А Лаборатории Касперского уже пора объявлять публичный конкурс "Завали КИС - получи приз" :lol:

Читаем там же >>>

А лозунг я привел в качестве шутки больше. Но конкурс и правда можно замутить, хороший был бы пиар. Предложить пару штук за пробой, премии бы окупились ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl

А я вот, например, прекрасно понимаю, что так не нравится ak_. Тест опять, по сути, свёлся к тестированию настроек по умолчанию, а не возможностей, к тестированию весьма ограниченым набором средств (я, конечно, понимаю, что Umnik'у стало известно про "убийство" через safe mode только на днях, но уже в ноябре, если я правильно помню, всплыл очередной KillAV, который пришибает через safe mode большинство известных антивирусов и с которым весьма проблематично бороться, если не грузиться в safe mode тоже). Я уже выше спрашивал, как получилось, что под Comodo тестам "удалось" изменять ACL у охраняемых файлов и охраняемые разделы реестра, не будучи доверенными приложениями. Хотя я, в принципе, знаю способы, они годятся только для режимов с минимальной защитой. Сами тесты, хотя бы просто в виде экзешников, не публикуются. Тестируемые системы никак не настраиваются, а об их текущих настройках сказано в общих чертах. Даже нельзя сделать выводы о том, как нужно настроить их, чтобы усилить защиту и можно ли это сделать в принципе для каждого из продуктов. Какой смысл этих тестов? Опять реклама?

P.S. Для Danilki. Речь шла о мютексах, я так понимаю, что это отложено на неопределённый срок.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Сами тесты, хотя бы просто в виде экзешников, не публикуются.

От чего же? Любой эксперт может получить этот набор. Никто же не думает всерьез, что наборы могут получить _вообще все_?

Тестируемые системы никак не настраиваются, а об их текущих настройках сказано в общих чертах.

1. Угу, как происходит в >90% случаев

2. http://www.anti-malware.ru/node/3539

При установке антивирусов использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.
Даже нельзя сделать выводы о том, как нужно настроить их, чтобы усилить защиту и можно ли это сделать в принципе для каждого из продуктов.

Это ж не обзор продуктов, а тест их самозащиты.

Какой смысл этих тестов?

Смысл теста - в проверке чего-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

В тесте максимальных настроек самозащиты победит выключенный компьютер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Тест опять, по сути, свёлся к тестированию настроек по умолчанию, а не возможностей

Думаю не секрет, что 80% пользователей антивирусных пакетов, являются домохозяйки и обычные юзера, которые пользуются настройками по-умолчанию. Буквально единицы ковыряют все галочки и ползунки под себя. Можно конечно перекрыть кислород всем файлам и процессам, в итоге получим максимальную защиту, ну а смысл от такого?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Неужели тестировщикам не известны методы обхода самозащиты KIS? Или наоборот (судя по составу) - слишком хорошо известны и поэтому в тест не попали?

Да полно при желании можно найти методов обхода самозащиты любого продукта. Это же понятно каждому. Поэтому я писал выше, и как процитировал Mr. Justice, результат 100% не нужно воспринимать буквально. Мы ни в коем случае не заявляем, что КИС нельзя завалить и точно. Мы говорим что на данном наборе тестовых кейсов, выбранных согласно открытому обсуждению здесь на нашем форуме и популярных в реальных малварах, одни антивирусы показывают себя лучше других.

Почитайте обсуждение методологии этого теста. Там писали, например, что можно кучей способов прибить любой антивирус из ядра. Только смысл это проверять? Пропустил я ядро - извини друг ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

@Никто же не думает всерьез, что наборы могут получить _вообще все_?@

Ммм... а что такого то?...

@Думаю не секрет, что 80% пользователей антивирусных пакетов, являются домохозяйки и обычные юзера, которые пользуются настройками по-умолчанию.@

Равнение на домохозяек:)

@Это ж не обзор продуктов, а тест их самозащиты.@

Все правильно, просто самозащита может разниться от настроек...

Как бы вам объяснить... Ну вот вы тестируете игру. Пишете по ней рецензию. Графика, там, геймплей, и тд. Мин. требования Пень-3, Оптимальные Core Quad Extreme:) И мы ставим все настройки, к примеру, видео, на среднее качество. И занижаем балл игре. Мотивируя это тем, что "не у всех квады дома с 4 гигами оперативы". Это правильно? В таком случае игрушка будет оценена объективно или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Все правильно, просто самозащита может разниться от настроек...

Как бы вам объяснить... Ну вот вы тестируете игру. Пишете по ней рецензию. Графика, там, геймплей, и тд. Мин. требования Пень-3, Оптимальные Core Quad Extreme:) И мы ставим все настройки, к примеру, видео, на среднее качество. И занижаем балл игре. Мотивируя это тем, что "не у всех квады дома с 4 гигами оперативы". Это правильно? В таком случае игрушка будет оценена объективно или нет?

Может разнится, только подавляющее большинство настройки не меняют. Поэтому бы и тестируем с настройками по умолчанию, и так почти во всех тестах. Об эту тему много копий сломано. Понятно, чтобы бы интересно посмотреть и так и сяк. Только что это будет на деле показывать? Тест утяжелится по цене и времени. В общем это утопия. Тест где 20 антивирусов проверяются со всеми возможными вариантами настроек на практике нереализуем и никому не интересен.

Теоретически, если это будет востребовано, то мы можем взять выборочно 5 антивирусов и посмотреть как изменится их самозащиты, если закрутить настройки на макс. Но я вам заранее скажу, что ничего не поменяется. Я лично не вижу связи между самозащитой и настройками параноидальности (эвристики, хипса и т.п.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Ммм... а что такого то?...

Использование утилит и их методов совсем не для перепроверки.

Равнение на домохозяек:)

Равнение на потребителя

Все правильно, просто самозащита может разниться от настроек...

Конечно, иначе бы у Каспера было 115%. Подробнее - в обзорах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
Теоретически, если это будет востребовано, то мы можем взять выборочно 5 антивирусов и посмотреть как изменится их самозащиты, если закрутить настройки на макс. Но я вам заранее скажу, что ничего не поменяется. Я лично не вижу связи между самозащитой и настройками параноидальности (эвристики, хипса и т.п.).

Как ничего не поменяется ?

Взять КИС поставить его в ручной режим и результат будет уже другим, так как трудно будет попасть в KernelMode или использовать права LocalSystem итд.

А если ещё и рессурсы подкрутить и ещё пару галок кое где поставить ... то результат будет вообще третим.... :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
От чего же? Любой эксперт может получить этот набор. Никто же не думает всерьез, что наборы могут получить _вообще все_?

Любой эксперт напишет любой из этих тестов за 10 минут. А вот обычный пользователь не знает как проверить свою систему. И, если честно, я всерьёз думаю, что если эти тесты получат все, большой беды не будет. Точно так же, "вообще все" могут получить полторы сотни матюшековских тестов, комодовский CPIL, Web Atelier, Spyshelter'овские тесты и т.д. Не надо меня уговаривать, что вирусописателям эти тесты откроют глаза на SetWindowsHookEx и т.п.

1. Угу, как происходит в >90% случаев

2. http://www.anti-malware.ru/node/3539

Это ж не обзор продуктов, а тест их самозащиты.

Это не обзор продуктов и не тест самозащиты. Это тест заводских настроек. Этот тест никак не показывает возможности продуктов.

Смысл теста - в проверке чего-либо.

Заявлен тест самозащиты. А не настроек по умолчанию. Тест возможностей продуктов, а не того, как их настроили из каких-то соображений. И когда я вижу, что в комодо "умудрились" загнать хук, я понимаю, что тулзы опять загнали в доверенные и возможности продукта никак не отражены. И точно то же самое люди видят и в отношении доктора, кто-то увидит ещё что-то. И практическая ценность тестов неясна, потому, что как были настроены продукты нужно гадать, что конкретно делали тулзы можно только гадать, благо хоть имена функций указаны, и, если кто-то захочет перекрыть конкретные дыры в конкретном продукте, когда это возможно, он должен сделать всё это заново сам.

-------------------------------

Думаю не секрет, что 80% пользователей антивирусных пакетов, являются домохозяйки и обычные юзера, которые пользуются настройками по-умолчанию. Буквально единицы ковыряют все галочки и ползунки под себя. Можно конечно перекрыть кислород всем файлам и процессам, в итоге получим максимальную защиту, ну а смысл от такого?

Ну так дайте возможность этим "домохозяйкам" получить информацию об их продукте. Что где "поковырять", если им так захочется. А сейчас они что должны делать? Вставать в очередь за каспером?

-------------------------------

Там писали, например, что можно кучей способов прибить любой антивирус из ядра. Только смысл это проверять? Пропустил я ядро - извини друг ...

И вот тут в полный рост встает проблема настроек по умолчанию. Потому, что не попасть в KM, из под работающего на настройках по умолчанию каспера, не сможет только ленивый.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan
И вот тут в полный рост встает проблема настроек по умолчанию. Потому, что не попасть в KM, из под работающего на настройках по умолчанию каспера, не сможет только ленивый.

+1 Это точно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Ну так дайте возможность этим "домохозяйкам" получить информацию об их продукте. Что где "поковырять", если им так захочется. А сейчас они что должны делать? Вставать в очередь за каспером?

А кто Вам сказал что "домохозяйки" или рядовые юзеры хотят там ковырять? Им то и поставить продукт лень или страшно, мол чего-то напартачат... Максимум, если они захотят, наберут в гугле "тестирование антивирусов", попадут сюда, увидят красивую табличку и побегут за капером, вебом, авастом и т.д. в зависимости от цены и предпочтений. Тестирования ИМХО на потребителя, и это хорошо. Кому интересно провести тест "самые надежные настройки Comodo beta V10 ©ntoskrnl" вполне могут на форуме их озвучить, получить одобрение или гнев критики. Я лично за увидеть на форуме конструктивные мини-обзоры и инструкции от гуру безопасности, как настроить безопасность не в минус юзабилити.

Пардон, если чуть от темы отклонился :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
А кто Вам сказал что "домохозяйки" или рядовые юзеры хотят там ковырять?

Практика сказала. И показала, что когда пользователь узнает, что из-за настроек у его [антивируса] дыра, он эту дуры всячески хочет заткнуть. Это в том случае, разумеется, когда он ставит [антивирус] из соображений безопасности, а не "понтов". Проблема только в том, что этот пользователь не знает, как это сделать. Не потому, что он дебил или "домохозяйка", а потому, что у него нет специального образования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Проблема только в том, что этот пользователь не знает, как это сделать. Не потому, что он дебил или "домохозяйка", а потому, что у него нет специального образования.

Ну так зачем голословить здесь? Научите! Напишите статью "Как закрыть дыры в безопасности 5 (7-10) антивирусов и повысить уровень безопасности системы". Я лично Вас поблагодарю, раздам копии статьи всем знакомым с пометкой что это Ваша работа, явная забота о пользователях :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Любой эксперт напишет любой из этих тестов за 10 минут.

Голословно.

А вот обычный пользователь не знает как проверить свою систему.

Потому ему не нужно заниматься не своим делом. Как экспертам портала не стоит заниматься хирургией, например.

Точно так же, "вообще все" могут получить полторы сотни матюшековских тестов, комодовский CPIL, Web Atelier, Spyshelter'овские тесты и т.д. Не надо меня уговаривать, что вирусописателям эти тесты откроют глаза на SetWindowsHookEx и т.п.

Позволь обратить внимание, что эти утилиты убивали продукты, без всяких там соплей.

Это не обзор продуктов и не тест самозащиты. Это тест заводских настроек. Этот тест никак не показывает возможности продуктов.

Это тест на дефолтных настройках - согласно статистикам эти настройки не меняются в 90 и более процентах случаев. Вообще не меняются. И да, это не обзор продуктов, хотя обзоры также публикуются и ты можешь найти их здесь. Ну, могу дать ссылку на свой, например: http://www.anti-malware.ru/node/2149

Заявлен тест самозащиты. А не настроек по умолчанию.

Я не буду повторять в очередной раз эти фразы.

Потому, что не попасть в KM, из под работающего на настройках по умолчанию каспера, не сможет только ленивый.

В любом режиме работы KIS поднимается алерт на установку/запуск драйвера, если это делает не доверенное (т.е. слабоограниченное и ниже) приложение с не доверенным драйвером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×