Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов I (результаты)

Recommended Posts

Сергей Ильин

Уважаемые коллеги!

Предлагаю вашему вниманию результаты нашего нового теста антивирусов.

На этот раз мы тестировали их самозащиту от активных действий со стороны вредоносных программ.

Результаты тестирования (05/08/2007)

Gold Self-Protection Award

self-protection_gold_sm.gif

Kaspersky Internet Security 7.0 (97%)

Silver Self-Protection Award

self-protection_silver_sm.gif

VBA32 Antivirus 3.11 (71%)

Symantec Internet Security 2007 (71%)

F-Secure Internet Security 2007 (61%)

Bronze Self-Protection Award

self-protection_bronze_sm.gif

ZoneAlarm Internet Security 7.0 (58%)

Panda Internet Security 2007 (48%)

McAfee Internet Security 2007 (47%)

Eset Smart Security 3.0 Beta (44%)

Trend Micro PC-Cillin 2007 (42%)

Тест провален

Avast! Professional Edition 4.7 (33%)

Avira Premium Security Suite 7.0 (33%)

Sophos Anti-Virus 6.5 (33%)

DrWeb 4.44 (32%)

Microsoft Windows Live OneCare 1.6 (32%)

BitDefender Internet Security 10 (30%)

Награду Platinum Self-Protection Award

self-protection_platinum_sm.gif

в этот раз не получил никто (Касперскому не хватило 1%).

Подробные результаты можно посмотреть тут

http://www.anti-malware.ru/index.phtml?par...=selfprotection

Методология тестирования и условия награждения доступны тут

http://www.anti-malware.ru/index.phtml?par...ion_methodology

http://www.anti-malware.ru/index.phtml?par...otection_awards

P.S. Огромная благодарность всем, кто помогал мне в подготовке и проведении данного теста, без вас бы ничего не получилось! :thanks:

Ну и, конечно, хочется получить комменты комьюнити по результатам теста :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Demorphis

Интересно (а мне интереснее) было бы увидеть результаты под Vista 32 и 64. Возможно технически в данный момент?

Что точно, у KIS 7.0.0.125 на Vista 32bit процесс как USER-ский так и SYSTEM-ный будут "автоматически восстановился", и права на ключи реестра тоже можно менять. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

А как же недавний тест HIPS'ов? Там вроде хуки КАВа были сняты малварой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Я бы отметил, что Eset Smart Security - это бета. По двум причинам: во-первых, раз он бета, то что-то могут и подправить. А во-вторых, раз он бета, то у релизной версии результат может отличаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

ZoneAlarm Internet Security 7.0 (58%). Так правильнее будет?

Добавлено спустя 1 минуту 7 секунд:

Награда Platinum Self-Protection Award присваивается, если самозащита антивируса предотвратила свыше 98% атак.

Награда Gold Self-Protection Award присваивается, если самозащита антивируса предотвратила свыше 98% атак.

???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно (а мне интереснее) было бы увидеть результаты под Vista 32 и 64. Возможно технически в данный момент?

Да, действительно интересно будет посмотреть тоже самое под Vista, но это вопрос уже будущего теста.

Я бы отметил, что Eset Smart Security - это бета. По двум причинам: во-первых, раз он бета, то что-то могут и подправить. А во-вторых, раз он бета, то у релизной версии результат может отличаться.

Согласен, исправлю, это важно.

ZoneAlarm Internet Security 7.0 (58%). Так правильнее будет?

Да, именно так. Жаль, ZoneAlarm мог взять гораздо больше, так как часто убивался у него только один антиспам, но по правилам это, увы, уже +/-.

Добавлено спустя 2 минуты 28 секунд:

SuperBrat, спасибо, не заметил очепятку из-за копипаста :(

Добавлено спустя 8 минут 42 секунды:

А как же недавний тест HIPS'ов? Там вроде хуки КАВа были сняты малварой.

Они снимаются в всех, у кого это возможно, в тесте это показано. Но этот критерий не учитывался при подсчете баллов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Плачевные результаты у Битдефа. Вроде антивирь не плох. Неужели всё так безнадёжно? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Плачевные результаты у Битдефа. Вроде антивирь не плох. Неужели всё так безнадёжно? Sad

Убивается на раз просто почти любым методом - абсолютно беспомощный против активных действий со стороны malware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Ребята хакеры даже видео про это сняли "жестокое изнасилование Битдефендера с помощью батника". И такие же про DrWeb и прочие. Кажется, уже обсуждалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Меня лично удивил такой серьезный разрыв в результатах между первой тройкой (Kaspersky Internet Security 7.0 (97%), VBA32 Antivirus 3.11 (71%) и Symantec Internet Security 2007 (71%)) и всеми остальными.

Что касается Kaspersky Internet Security, то ЛК неоднократно заявляли о том, что 6-ка серьезно подготовлена в плане самозащиты, результаты теста это подтвердили. Продукт защищен лучше всех.

Хотел обратить внимание на некоторые интересные вещи, обнаруженные в ходе теста:

1. В некоторых продуктах (например, Eset Smart Security и McAfee Internet Security) критические процессы часто убивались, но тут же восстанавливались. Т.е. антивирус продолжал работать, но все же убить процессы можно. В таких случаях я считал, что атака на эти процессы не возымела действие, хотя, строго говоря, процессы все же убивались.

2. Специфика продуктов класса Internet Security состоит в том, что многие модули плохо защищены, особенно если вендор особо не парился с интеграцией купленных на стороне технологий и прикручивал новый и новый функционал "как есть". От такого подхода серьезно пострадали результаты таких грандов, как, например, ZoneAlarm, Symantec, McAfee.

3. Никто кроме Касперского, Symantec и ZoneAlarm не защищает свои записи в реестре. Malware просто затирает верки реестра, перегружает комп. Антивирус естественно не стартонет, далее можно спокойно убрать все его следы пребывания в системе. :-)

4. Права доступа к своим файлам контролируют только Касперского, Symantec и Panda, последняя меня тут удивила. Результат тот же, после изменения прав доступа к папке (где лежат файлы антивируса) и перезагрузки антивирус не запустится.

5. Большинство антивирусов успешно убивается на уровне ядра, почти верняк получается.

6. Плохи дела с защитой от модификации процесса/кода, валятся многие.

P.S. AVG был исключен и теста по причине ложных срабатываний на упакованные объекты (одну из используемых в тесте утилит).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Хорошее подспорье для начинающих разработчиков вирусов :wink: По алгоритму: вырубил антивир из автозагрузки, перезагрузил комп, расшифровал свой основной вредный код и "делай с ним что хош".

А если серьезно - спасибо за вашу работу! Данную инфу - да вендорам в руки бы, и копию желательно в те службы, которые определяют зарплату разработчикам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
1. В некоторых продуктах (например, Eset Smart Security и McAfee Internet Security) критические процессы часто убивались, но тут же восстанавливались. Т.е. антивирус продолжал работать, но все же убить процессы можно. В таких случаях я считал, что атака на эти процессы не возымела действие, хотя, строго говоря, процессы все же убивались.

Вот не знаю, насколько это правильно. Потому что если я убиваю сервис, то он-то умирает и потом тут же восстанавливается. Но вот если я его перед этим выставлю в disabled, то восстановиться он уже не сумеет. Поэтому всё же важно, чтобы продукт либо препятствовал убийству, либо препятствовал установке сервиса в disabled. Допустим, Eset ни того ни другого не делает. Что не есть гуд.

2. Специфика продуктов класса Internet Security состоит в том, что многие модули плохо защищены, особенно если вендор особо не парился с интеграцией купленных на стороне технологий и прикручивал новый и новый функционал "как есть". От такого подхода серьезно пострадали результаты таких грандов, как, например, ZoneAlarm, Symantec, McAfee.

Да, это тоже проблема... Если умер анти-спам, считать ли это таким уж проигрышем? Т.е. конечно проигрыш в какой-то мере, но нельзя сравнивать это со смертью фаерволла или on-access-сканера...

Ну в общем, как обычно, самое сложное в тесте - это расставить баллы =) Хотя с другой стороны, в целом расстановка сил ясна, а для правильной оценки результатов в любом случае нужно внимательно читать приложенный Excel. Так что всё ОК =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
3. Никто кроме Касперского, Symantec и ZoneAlarm не защищает свои записи в реестре. Malware просто затирает верки реестра, перегружает комп. Антивирус естественно не стартонет, далее можно спокойно убрать все его следы пребывания в системе. :-)

нуну :)

а вы попробуйте какнибудь на досуге

батник вот такого вида

sc config avp start= disabledREG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun   /v AVP /fshutdown -r -f -t 00

удаляет ключ автозапуска, запрещает запуск службы и перезагружает компьютер - КИС так и остается не загруженным.

самозащита программы НИКАК не распространяется на

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

а в настройках по умолчанию мониторинг реестра выключен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
нуну :)

а вы попробуйте какнибудь на досуге

батник вот такого вида

sc config avp start= disabledREG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun   /v AVP /fshutdown -r -f -t 00

удаляет ключ автозапуска, запрещает запуск службы и перезагружает компьютер - КИС так и остается не загруженным.

самозащита программы НИКАК не распространяется на

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

Это вы так шутите? =) Первая строчка (там где вы сервис ставите в disabled) вылетает сразу с Access denied. Сервис остаётся нетронутым.

Вторая строчка действительно удаляет строчку КАВ из автозапуска. Но вы попробуйте после этого перегрузить комп. Будете очень удивлены...=)

P.S. Это всё конечно на XP. На Висте пока проблемы у всех, в том числе и у ЛК. Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Да, это тоже проблема... Если умер анти-спам, считать ли это таким уж проигрышем? Т.е. конечно проигрыш в какой-то мере, но нельзя сравнивать это со смертью фаерволла или on-access-сканера...

Тут приходится действовать жестко, потому как формально процесс убит, а тестировались интегрированные продукты, т.е. защита всех компонент защиты важна. Если подходить избирательно, то мы захлебнемся к потоке критики обиженных :-)

Хотя с другой стороны, в целом расстановка сил ясна

Именно, кординальных изменений бы не произошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Тест провален

Avira Premium Security Suite 7.0 (33%)

DrWeb 4.44 (32%)

подобный тест с 4 антивирусами я как раз на днях тоже проводил.

результаты выложены в соответствующей ветке форума.

у меня DrWeb умер сразу. :!:

Антивир выжил, выловил на компе 80–90 зараженных файлов,

но не смог убить ни одного из 5 активных зловредов. :)

кстати NOD тоже оказался беззубым и неспособным к убийству. :):)

а Касперский не только выжил, но и поубивал всех кого поймать смог :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

... который большинство нормальных пользователей отключают сразу после установки Висты из-за его навязчивости ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Но с другой стороны, на Висте для этого фокуса потребуется подтверждение админа (UAC).

... который большинство нормальных пользователей отключают сразу после установки Висты из-за его навязчивости ;)

Ничего подобного. Большинство простых пользователей его не отключают по двум причинам. Во-первых, они не знают как. Во-вторых, он им не мешает, так как они не лазят по настройкам и не ставят по 50 новых софтин в час, а в остальных случаях нажать ещё одну кнопку при установке софта - не проблема, всё равно много раз на Next нужно тыкать.

Но я конечно согласен, что антивирусны продукты по мере возможности не должны полагаться на ОС для своей защиты. Поэтому все ждут с нетерпением Висту СП1. А пока делают всё, что можно. Если хотят, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но я конечно согласен, что антивирусны продукты по мере возможности не должны полагаться на ОС для своей защиты.

Большинство пользователей в диалогах UAC будут всегда нажимать "Разрешить", а в случаях социальной инженерии, под видом видео с обнаженной Шакиры запустят все что угодно. :-)

Кроме того, все вопросы со стороны ОС не внушают такой опасности, как если бы тоже самое писал антивирус. К последним доверия больше, если уж антивирус написал "опасно", то точно опасно, а Vista ... да откуда она тупая знает, что я делаю, мне только видео посмотреть.

Вот тут как раз самозащита антивируса и выходит на первый план.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Что Вы сцепились за этот UAC. Опять про каких-то непонятных домохозяек речь... И зачем если на то пошло им отключать UAC, им проще тогда и антивирус отключить, чтоб не доставал своими балунами. Ведь их UAC уже достал.

Большинство пользователей в диалогах UAC будут всегда нажимать "Разрешить", а в случаях социальной инженерии, под видом видео с обнаженной Шакиры запустят все что угодно.

+1 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Что Вы сцепились за этот UAC.

Ничего не вцепились. Просто не панацея он. Я бы сказал, даже наоборот, медвежья услуга :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Просто не панацея он. Я бы сказал, даже наоборот, медвежья услуга Smile

Согласен, не стоит расчитывать на его помощь.

Валерий, почему Доктор Веб принебрегает самозащитой в своих продуктах? Результаты теста DrWeb не впечатляют сейчас, может быть стоит ожидать каких-то изменений в 5-ке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а можно попросить программы с помсощью которых проводились тесты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а можно попросить программы с помсощью которых проводились тесты?

К сожалению, нет. Можем предоставиться только вендорам по запросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×