Сергей Ильин

Тест самозащиты антивирусов I (результаты)

В этой теме 117 сообщений

Уважаемые коллеги!

Предлагаю вашему вниманию результаты нашего нового теста антивирусов.

На этот раз мы тестировали их самозащиту от активных действий со стороны вредоносных программ.

Результаты тестирования (05/08/2007)

Gold Self-Protection Award

self-protection_gold_sm.gif

Kaspersky Internet Security 7.0 (97%)

Silver Self-Protection Award

self-protection_silver_sm.gif

VBA32 Antivirus 3.11 (71%)

Symantec Internet Security 2007 (71%)

F-Secure Internet Security 2007 (61%)

Bronze Self-Protection Award

self-protection_bronze_sm.gif

ZoneAlarm Internet Security 7.0 (58%)

Panda Internet Security 2007 (48%)

McAfee Internet Security 2007 (47%)

Eset Smart Security 3.0 Beta (44%)

Trend Micro PC-Cillin 2007 (42%)

Тест провален

Avast! Professional Edition 4.7 (33%)

Avira Premium Security Suite 7.0 (33%)

Sophos Anti-Virus 6.5 (33%)

DrWeb 4.44 (32%)

Microsoft Windows Live OneCare 1.6 (32%)

BitDefender Internet Security 10 (30%)

Награду Platinum Self-Protection Award

self-protection_platinum_sm.gif

в этот раз не получил никто (Касперскому не хватило 1%).

Подробные результаты можно посмотреть тут

http://www.anti-malware.ru/index.phtml?par...=selfprotection

Методология тестирования и условия награждения доступны тут

http://www.anti-malware.ru/index.phtml?par...ion_methodology

http://www.anti-malware.ru/index.phtml?par...otection_awards

P.S. Огромная благодарность всем, кто помогал мне в подготовке и проведении данного теста, без вас бы ничего не получилось! :thanks:

Ну и, конечно, хочется получить комменты комьюнити по результатам теста :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно (а мне интереснее) было бы увидеть результаты под Vista 32 и 64. Возможно технически в данный момент?

Что точно, у KIS 7.0.0.125 на Vista 32bit процесс как USER-ский так и SYSTEM-ный будут "автоматически восстановился", и права на ключи реестра тоже можно менять. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как же недавний тест HIPS'ов? Там вроде хуки КАВа были сняты малварой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я бы отметил, что Eset Smart Security - это бета. По двум причинам: во-первых, раз он бета, то что-то могут и подправить. А во-вторых, раз он бета, то у релизной версии результат может отличаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ZoneAlarm Internet Security 7.0 (58%). Так правильнее будет?

Добавлено спустя 1 минуту 7 секунд:

Награда Platinum Self-Protection Award присваивается, если самозащита антивируса предотвратила свыше 98% атак.

Награда Gold Self-Protection Award присваивается, если самозащита антивируса предотвратила свыше 98% атак.

???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно (а мне интереснее) было бы увидеть результаты под Vista 32 и 64. Возможно технически в данный момент?

Да, действительно интересно будет посмотреть тоже самое под Vista, но это вопрос уже будущего теста.

Я бы отметил, что Eset Smart Security - это бета. По двум причинам: во-первых, раз он бета, то что-то могут и подправить. А во-вторых, раз он бета, то у релизной версии результат может отличаться.

Согласен, исправлю, это важно.

ZoneAlarm Internet Security 7.0 (58%). Так правильнее будет?

Да, именно так. Жаль, ZoneAlarm мог взять гораздо больше, так как часто убивался у него только один антиспам, но по правилам это, увы, уже +/-.

Добавлено спустя 2 минуты 28 секунд:

SuperBrat, спасибо, не заметил очепятку из-за копипаста :(

Добавлено спустя 8 минут 42 секунды:

А как же недавний тест HIPS'ов? Там вроде хуки КАВа были сняты малварой.

Они снимаются в всех, у кого это возможно, в тесте это показано. Но этот критерий не учитывался при подсчете баллов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Плачевные результаты у Битдефа. Вроде антивирь не плох. Неужели всё так безнадёжно? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Плачевные результаты у Битдефа. Вроде антивирь не плох. Неужели всё так безнадёжно? Sad

Убивается на раз просто почти любым методом - абсолютно беспомощный против активных действий со стороны malware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребята хакеры даже видео про это сняли "жестокое изнасилование Битдефендера с помощью батника". И такие же про DrWeb и прочие. Кажется, уже обсуждалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Меня лично удивил такой серьезный разрыв в результатах между первой тройкой (Kaspersky Internet Security 7.0 (97%), VBA32 Antivirus 3.11 (71%) и Symantec Internet Security 2007 (71%)) и всеми остальными.

Что касается Kaspersky Internet Security, то ЛК неоднократно заявляли о том, что 6-ка серьезно подготовлена в плане самозащиты, результаты теста это подтвердили. Продукт защищен лучше всех.

Хотел обратить внимание на некоторые интересные вещи, обнаруженные в ходе теста:

1. В некоторых продуктах (например, Eset Smart Security и McAfee Internet Security) критические процессы часто убивались, но тут же восстанавливались. Т.е. антивирус продолжал работать, но все же убить процессы можно. В таких случаях я считал, что атака на эти процессы не возымела действие, хотя, строго говоря, процессы все же убивались.

2. Специфика продуктов класса Internet Security состоит в том, что многие модули плохо защищены, особенно если вендор особо не парился с интеграцией купленных на стороне технологий и прикручивал новый и новый функционал "как есть". От такого подхода серьезно пострадали результаты таких грандов, как, например, ZoneAlarm, Symantec, McAfee.

3. Никто кроме Касперского, Symantec и ZoneAlarm не защищает свои записи в реестре. Malware просто затирает верки реестра, перегружает комп. Антивирус естественно не стартонет, далее можно спокойно убрать все его следы пребывания в системе. :-)

4. Права доступа к своим файлам контролируют только Касперского, Symantec и Panda, последняя меня тут удивила. Результат тот же, после изменения прав доступа к папке (где лежат файлы антивируса) и перезагрузки антивирус не запустится.

5. Большинство антивирусов успешно убивается на уровне ядра, почти верняк получается.

6. Плохи дела с защитой от модификации процесса/кода, валятся многие.

P.S. AVG был исключен и теста по причине ложных срабатываний на упакованные объекты (одну из используемых в тесте утилит).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошее подспорье для начинающих разработчиков вирусов :wink: По алгоритму: вырубил антивир из автозагрузки, перезагрузил комп, расшифровал свой основной вредный код и "делай с ним что хош".

А если серьезно - спасибо за вашу работу! Данную инфу - да вендорам в руки бы, и копию желательно в те службы, которые определяют зарплату разработчикам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. В некоторых продуктах (например, Eset Smart Security и McAfee Internet Security) критические процессы часто убивались, но тут же восстанавливались. Т.е. антивирус продолжал работать, но все же убить процессы можно. В таких случаях я считал, что атака на эти процессы не возымела действие, хотя, строго говоря, процессы все же убивались.

Вот не знаю, насколько это правильно. Потому что если я убиваю сервис, то он-то умирает и потом тут же восстанавливается. Но вот если я его перед этим выставлю в disabled, то восстановиться он уже не сумеет. Поэтому всё же важно, чтобы продукт либо препятствовал убийству, либо препятствовал установке сервиса в disabled. Допустим, Eset ни того ни другого не делает. Что не есть гуд.

2. Специфика продуктов класса Internet Security состоит в том, что многие модули плохо защищены, особенно если вендор особо не парился с интеграцией купленных на стороне технологий и прикручивал новый и новый функционал "как есть". От такого подхода серьезно пострадали результаты таких грандов, как, например, ZoneAlarm, Symantec, McAfee.

Да, это тоже проблема... Если умер анти-спам, считать ли это таким уж проигрышем? Т.е. конечно проигрыш в какой-то мере, но нельзя сравнивать это со смертью фаерволла или on-access-сканера...

Ну в общем, как обычно, самое сложное в тесте - это расставить баллы =) Хотя с другой стороны, в целом расстановка сил ясна, а для правильной оценки результатов в любом случае нужно внимательно читать приложенный Excel. Так что всё ОК =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3. Никто кроме Касперского, Symantec и ZoneAlarm не защищает свои записи в реестре. Malware просто затирает верки реестра, перегружает комп. Антивирус естественно не стартонет, далее можно спокойно убрать все его следы пребывания в системе. :-)

нуну :)

а вы попробуйте какнибудь на досуге

батник вот такого вида

sc config avp start= disabledREG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun   /v AVP /fshutdown -r -f -t 00

удаляет ключ автозапуска, запрещает запуск службы и перезагружает компьютер - КИС так и остается не загруженным.

самозащита программы НИКАК не распространяется на

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

а в настройках по умолчанию мониторинг реестра выключен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
нуну :)

а вы попробуйте какнибудь на досуге

батник вот такого вида

sc config avp start= disabledREG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun   /v AVP /fshutdown -r -f -t 00

удаляет ключ автозапуска, запрещает запуск службы и перезагружает компьютер - КИС так и остается не загруженным.

самозащита программы НИКАК не распространяется на

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

Это вы так шутите? =) Первая строчка (там где вы сервис ставите в disabled) вылетает сразу с Access denied. Сервис остаётся нетронутым.

Вторая строчка действительно удаляет строчку КАВ из автозапуска. Но вы попробуйте после этого перегрузить комп. Будете очень удивлены...=)

P.S. Это всё конечно на XP. На Висте пока проблемы у всех, в том числе и у ЛК. Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, это тоже проблема... Если умер анти-спам, считать ли это таким уж проигрышем? Т.е. конечно проигрыш в какой-то мере, но нельзя сравнивать это со смертью фаерволла или on-access-сканера...

Тут приходится действовать жестко, потому как формально процесс убит, а тестировались интегрированные продукты, т.е. защита всех компонент защиты важна. Если подходить избирательно, то мы захлебнемся к потоке критики обиженных :-)

Хотя с другой стороны, в целом расстановка сил ясна

Именно, кординальных изменений бы не произошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тест провален

Avira Premium Security Suite 7.0 (33%)

DrWeb 4.44 (32%)

подобный тест с 4 антивирусами я как раз на днях тоже проводил.

результаты выложены в соответствующей ветке форума.

у меня DrWeb умер сразу. :!:

Антивир выжил, выловил на компе 80–90 зараженных файлов,

но не смог убить ни одного из 5 активных зловредов. :)

кстати NOD тоже оказался беззубым и неспособным к убийству. :):)

а Касперский не только выжил, но и поубивал всех кого поймать смог :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

... который большинство нормальных пользователей отключают сразу после установки Висты из-за его навязчивости ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

... который большинство нормальных пользователей отключают сразу после установки Висты из-за его навязчивости ;)

Ничего подобного. Большинство простых пользователей его не отключают по двум причинам. Во-первых, они не знают как. Во-вторых, он им не мешает, так как они не лазят по настройкам и не ставят по 50 новых софтин в час, а в остальных случаях нажать ещё одну кнопку при установке софта - не проблема, всё равно много раз на Next нужно тыкать.

Но я конечно согласен, что антивирусны продукты по мере возможности не должны полагаться на ОС для своей защиты. Поэтому все ждут с нетерпением Висту СП1. А пока делают всё, что можно. Если хотят, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но я конечно согласен, что антивирусны продукты по мере возможности не должны полагаться на ОС для своей защиты.

Большинство пользователей в диалогах UAC будут всегда нажимать "Разрешить", а в случаях социальной инженерии, под видом видео с обнаженной Шакиры запустят все что угодно. :-)

Кроме того, все вопросы со стороны ОС не внушают такой опасности, как если бы тоже самое писал антивирус. К последним доверия больше, если уж антивирус написал "опасно", то точно опасно, а Vista ... да откуда она тупая знает, что я делаю, мне только видео посмотреть.

Вот тут как раз самозащита антивируса и выходит на первый план.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что Вы сцепились за этот UAC. Опять про каких-то непонятных домохозяек речь... И зачем если на то пошло им отключать UAC, им проще тогда и антивирус отключить, чтоб не доставал своими балунами. Ведь их UAC уже достал.

Большинство пользователей в диалогах UAC будут всегда нажимать "Разрешить", а в случаях социальной инженерии, под видом видео с обнаженной Шакиры запустят все что угодно.

+1 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что Вы сцепились за этот UAC.

Ничего не вцепились. Просто не панацея он. Я бы сказал, даже наоборот, медвежья услуга :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Просто не панацея он. Я бы сказал, даже наоборот, медвежья услуга Smile

Согласен, не стоит расчитывать на его помощь.

Валерий, почему Доктор Веб принебрегает самозащитой в своих продуктах? Результаты теста DrWeb не впечатляют сейчас, может быть стоит ожидать каких-то изменений в 5-ке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а можно попросить программы с помсощью которых проводились тесты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а можно попросить программы с помсощью которых проводились тесты?

К сожалению, нет. Можем предоставиться только вендорам по запросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS