Тест самозащиты антивирусов I (результаты)

[Сергей Ильин 1538]

Настройки по умолчанию, должен спрашивать, что делать с вредоносом.

[Valery Ledovskoy 1082]

Настройки по умолчанию, должен спрашивать, что делать с вредоносом.

Так они и спрашивают, когда есть интерфейс

Кстати, в дистрибутиве для серверов Windows и в Dr.Web ES спайдер совершает с вредоносами действия по умолчанию (без вопросов), поэтому убивание интерфейса не приводит к отключению защиты.

[Иван 290]

Господа по моему мы опять упираемся в извечную тему какой антивирус лучше....

SpIDerNt.exe - это лишь интерфейс и сервис. Попробуйте выгрузить драйвер spider.sys

Как уже сказал Валерий spider.sys убить нельзя, а по сему можно признать, что тест довольно не однозначный и принимать решения по нему нельзя (по крайней мере людям с начальным стажем общения с антивирусами...)

Ну а по касперскому можно применить такой способ:

1. Помещаем файл в автозагрузку (допустим, что антивирь не знает, что это зловред!!!)

2. Перезагружаем ПК..... и всё - я Вам голову даю на отсечение, что пока GUI антивируса Касперского не загрузится - зловред будет делать своё чёрное дело, даже если перед самой перезагрузкой антивирус уже будет знать зловред....

P.S. Такой тест проводил на двух машинах (с программой шуткой)...

Мышка дёргалась, пока GUI Касперского не загрузился (по умолчанию стоит проверять автозагрузку через 4 сек. после загрузки GUI....), а Dr. Web молча убил программу-шутку при загрузке....

против лома нет приема, если нет другого лома

элементарно написать вирь, который будет грузиться приоритетней доктора, т.е. запускаться заведомо раньше спайдера, после чего вообще не давать спайдеру запускать у принципе

[Kokunov Aleksey 20]

Ну а по касперскому можно применить такой способ:

1. Помещаем файл в автозагрузку (допустим, что антивирь не знает, что это зловред!!!)

2. Перезагружаем ПК..... и всё - я Вам голову даю на отсечение, что пока GUI антивируса Касперского не загрузится - зловред будет делать своё чёрное дело, даже если перед самой перезагрузкой антивирус уже будет знать зловред....

P.S. Такой тест проводил на двух машинах (с программой шуткой)...

Мышка дёргалась, пока GUI Касперского не загрузился (по умолчанию стоит проверять автозагрузку через 4 сек. после загрузки GUI....), а Dr. Web молча убил программу-шутку при загрузке....

Еще на этапе тестирования 6 версии были проведены тесты самозащиты на удаления ее унлокером. Знаете такую очень полезную утилиту?

Так вот добились того чтоб драйвер самозащиты грузился ранше всех по возможности... Счтается что драйвер унлокера грузится одним из самых первых...

А гуи каспера тут ни причем... Самозащита рализована в драйвере.... и ГУИ ей не требуется....

А подход к реализации постоянной защиты у Веба и Каспера разный, первый это реализовали в драйвере, вторые в ГУИ, но защащенном. Если у первых не известна сигнатура дропера и он запустится раньше драйвера сканера, то сканер не стартонет, а у вторых сделана ставка на максимально ранний старт самозащиты, а там уже она будет рапортовать о попытках ее вырубить, и когда запустится ГУИ будет срабатывать ПДМ модуль на неизвестную угрозу...

Добавлено спустя 43 секунды:

Да и на помещение файла в автозагрузку Каспер ругается всегда....

Добавлено спустя 3 минуты 14 секунд:

И что сможет сделать зловред? ГУИ - это графический интерфейс... А сам антивирус, точнее его ядро работать начинает не тогда, когда иконка возле часов появляется, а когда запускается его системная служба, еще до появления окошка ctrl+alt+del

Добавлено спустя 1 минуту 8 секунд:

попробуйте сделать тоже самое с какой нить малварой, а не программой шуткой, которая антивирусу до пояса как говорится.

[Chaman 0]

попробуйте сделать тоже самое с какой нить малварой, а не программой шуткой, которая антивирусу до пояса как говорится.

Так если Каспер детектит ее как зловреда, то какая разница, малвара это или нет.

[STALK:ER 0]

против лома нет приема, если нет другого лома

элементарно написать вирь, который будет грузиться приоритетней доктора, т.е. запускаться заведомо раньше спайдера, после чего вообще не давать спайдеру запускать у принципе

Да не получится, так как файл spider.sys - работает в нулевом кольце (то есть как драйвер), так что зловред уже будет убит, а GUI Спайдера убивайте как хотите... от этого Dr.Web не перестанет работать...

Добавлено спустя 5 минут 35 секунд:

Еще на этапе тестирования 6 версии были проведены тесты самозащиты на удаления ее унлокером. Знаете такую очень полезную утилиту?

Так вот добились того чтоб драйвер самозащиты грузился ранше всех по возможности... Счтается что драйвер унлокера грузится одним из самых первых...

А гуи каспера тут ни причем... Самозащита рализована в драйвере.... и ГУИ ей не требуется....

А подход к реализации постоянной защиты у Веба и Каспера разный, первый это реализовали в драйвере, вторые в ГУИ, но защащенном. Если у первых не известна сигнатура дропера и он запустится раньше драйвера сканера, то сканер не стартонет, а у вторых сделана ставка на максимально ранний старт самозащиты, а там уже она будет рапортовать о попытках ее вырубить, и когда запустится ГУИ будет срабатывать ПДМ модуль на неизвестную угрозу...

У Dr.Web для этого есть spider.sys....

Да и на помещение файла в автозагрузку Каспер ругается всегда....

А вот тут бабушка надвое сказала...

И что сможет сделать зловред? ГУИ - это графический интерфейс... А сам антивирус, точнее его ядро работать начинает не тогда, когда иконка возле часов появляется, а когда запускается его системная служба, еще до появления окошка ctrl+alt+del

Вы попробуйте, а потом поговорим... ок? Я свою попытку уже описал (см. пост выше...)

попробуйте сделать тоже самое с какой нить малварой, а не программой шуткой, которая антивирусу до пояса как говорится.

А зачем, какая разница между программой-шуткой и малварей. Если это смогла программа-шутка (которую антивирус должен детектить), значит и малваре сможет....

[Kokunov Aleksey 20]

У Dr.Web для этого есть spider.sys....

и....? Я что то не то сказал?

А вот тут бабушка надвое сказала...

хм... даже на простое копирование сработывает.... может я не прав?

Вы попробуйте, а потом поговорим... ок? Я свою попытку уже описал (см. пост выше...)

А зачем, какая разница между программой-шуткой и малварей. Если это смогла программа-шутка (которую антивирус должен детектить), значит и малваре сможет....

Если у каспера этой программы-шутки нет в базах, и не поставлено реагировать на "потенциально опасное ПО", то он и и не будет на нее реагировать...

Добавлено спустя 1 минуту 3 секунды:

И вообще, разговор о самозащите идет!

[Иван 290]

против лома нет приема, если нет

Да не получится, так как файл spider.sys - работает в нулевом кольце (то есть как драйвер), так что зловред уже будет убит, а GUI Спайдера убивайте как хотите... от этого Dr.Web не перестанет работать...

чего не получится? написать зловреда который загрузится раньше spider.sys? ну это вы зря так оптимистично

[TiX 0]

против лома нет приема, если нет другого лома

элементарно написать вирь, который будет грузиться приоритетней доктора, т.е. запускаться заведомо раньше спайдера, после чего вообще не давать спайдеру запускать у принципе

Да не получится, так как файл spider.sys - работает в нулевом кольце (то есть как драйвер), так что зловред уже будет убит, а GUI Спайдера убивайте как хотите... от этого Dr.Web не перестанет работать...

Добавлено спустя 5 минут 35 секунд:

Еще на этапе тестирования 6 версии были проведены тесты самозащиты на удаления ее унлокером. Знаете такую очень полезную утилиту?

Так вот добились того чтоб драйвер самозащиты грузился ранше всех по возможности... Счтается что драйвер унлокера грузится одним из самых первых...

А гуи каспера тут ни причем... Самозащита рализована в драйвере.... и ГУИ ей не требуется....

А подход к реализации постоянной защиты у Веба и Каспера разный, первый это реализовали в драйвере, вторые в ГУИ, но защащенном. Если у первых не известна сигнатура дропера и он запустится раньше драйвера сканера, то сканер не стартонет, а у вторых сделана ставка на максимально ранний старт самозащиты, а там уже она будет рапортовать о попытках ее вырубить, и когда запустится ГУИ будет срабатывать ПДМ модуль на неизвестную угрозу...

У Dr.Web для этого есть spider.sys....

Да и на помещение файла в автозагрузку Каспер ругается всегда....

А вот тут бабушка надвое сказала...

И что сможет сделать зловред? ГУИ - это графический интерфейс... А сам антивирус, точнее его ядро работать начинает не тогда, когда иконка возле часов появляется, а когда запускается его системная служба, еще до появления окошка ctrl+alt+del

Вы попробуйте, а потом поговорим... ок? Я свою попытку уже описал (см. пост выше...)

попробуйте сделать тоже самое с какой нить малварой, а не программой шуткой, которая антивирусу до пояса как говорится.

А зачем, какая разница между программой-шуткой и малварей. Если это смогла программа-шутка (которую антивирус должен детектить), значит и малваре сможет....

У драйверов тоже есть приоритеты загрузки - раз.

Память драйвера можно модифицировать так-же как и user-mode application.

[Kuzz 0]

У драйверов тоже есть приоритеты загрузки - раз.

Память драйвера можно модифицировать так-же как и user-mode application.

Есть зловреды, патчащие ntoskrnl.exe.

Раньше ядра работает только загрузчик OS.

Так что загрузиться раньше spider.sys вполне реально.

[Alexey Dudnikov 5]

добрый день.

а почему в списке тестируемых нет Trend Micro PC-cillin internet security?

[Иван 290]

есть вы невнимательно смотрели

[mais 10]

на самом деле вся защита каспера загибается от батника в одну (!) строчку

подсказка - перевод даты

[mais 10]

новая версия авиры обзавелась защитой от убивания малварами.

http://img67.imageshack.us/img67/35/a85d71e3ad8ayv6.jpg

[Dmitry Perets 30]

новая версия авиры обзавелась защитой от убивания малварами.

http://img67.imageshack.us/img67/35/a85d71e3ad8ayv6.jpg

Верной дорогой идут товарищи! =)

Надо фичу тестить.

[Артём 0]

новая версия авиры обзавелась защитой от убивания малварами.

http://img67.imageshack.us/img67/35/a85d71e3ad8ayv6.jpg

Интересно как оно будет на практике

Мммм.... а что за знойная девочка? Как зовут?

[vovan7777 95]

Ловите с Papid:

http://rapidshare.com/files/53787912/antiv..._en_hp.exe.html

Девочку зовут:Natalia Villaveces

На оф.сайте avira.com в downloads лежал этот релиз 5 го,а сейчас убрали почему то.

[Сергей Ильин 1538]

новая версия авиры обзавелась защитой от убивания малварами.

http://img67.imageshack.us/img67/35/a85d71e3ad8ayv6.jpg

Молодцы, в следующем тесте посмотрим, на что она способна. Глядишь, кто-то еще подтянется в плане самозащиты :wink:

[vovan7777 95]

Очень нравиться мне у немцев,что всю критику адекватно воспринимают и оперативно делают выводы-двух месяцев критики хватило,чтобы приняли меры.Не зря я в их главный офис посылал видео -убийство AVIRA.Спасибо фанатам Касперского за улучшение продуктов AVIRA:)

[mais 10]

смотрел что там к чему

ничего интересного =)

все также беззащитна

vovan7777

видео еще актуально

[Сергей Ильин 1538]

vovan7777

видео еще актуально Smile

[Сергей Ильин 1538]

Информация о результах нашего теста расходится по миру, очередь дошла уже и до Японии :-)

http://www.just-kaspersky.jp/products/info/20070919.html

[Сергей Ильин 1538]

подсказка - перевод даты

Начнем с того, что это уязвимость. Ее обещали закрыть в MP1 к 7-ке, который выйдет уже довольно скоро.

новая версия авиры обзавелась защитой от убивания малварами.

Хорошая новость, Avira меня радует своим желанием сделать продукты лучше.

[Maxim 0]

на самом деле вся защита каспера загибается от батника в одну (!) строчку

подсказка - перевод даты

а что кто-то дает простым смертным переводить дату?

[NickXists 5]

а что кто-то дает простым смертным переводить дату?

Если в группу "Простые смертные" входят домашние пользователи, сидящие в Win под админом, и часть корпоративных, работающих с правами "Опытных пользователей" или локального администратора, то по default-у - да : )