Перейти к содержанию
Сергей Ильин

Тест самозащиты антивирусов I (результаты)

Recommended Posts

radioelectron
новая версия авиры обзавелась защитой от убивания малварами.

http://img67.imageshack.us/img67/35/a85d71e3ad8ayv6.jpg

Молодцы, в следующем тесте посмотрим, на что она способна. Глядишь, кто-то еще подтянется в плане самозащиты :wink:

Обзавелась разве что чекбоксом. Батником прекрасно убивается, как и раньше :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
сидящие в Win под админом

ключевая фраза.

если пользователь не имеет желания защитить себя, лазая по сайтам с поревом, ССЗБ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
сидящие в Win под админом

ключевая фраза.

если пользователь не имеет желания защитить себя, лазая по сайтам с поревом, ССЗБ

а что отн-но второй части фразы? : )

В которой повествуется о простых смертных, трудящихся с правами "PowerUsers"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
часть корпоративных, работающих с правами "Опытных пользователей" или локального администратора

а отчего собственно у них эти права появятся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
часть корпоративных, работающих с правами "Опытных пользователей" или локального администратора

а отчего собственно у них эти права появятся?

На Win2k по умолчанию такие настройки:

Def_TimeCh_Win2k.png.xs.jpg

На Win2k3:

Def_TimeCh_Win2k3.png.xs.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Не нашел темы куда ещё можно написать по самозащите так что напишу сюда.

На каспере не тестилось.

"Убийство" DrWeb 4.44 - spider.sys & spidernt.exe (4.44.4.12140):

E:\temp>unzip testArchive:  test.zipextracting: test.comCreateFile error 2 when trying set file timeE:\temp>sc pause spiderntSERVICE_NAME: spidernt        TYPE               : 10  WIN32_OWN_PROCESS        STATE              : 7  PAUSED                                (STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)        WIN32_EXIT_CODE    : 0  (0x0)        SERVICE_EXIT_CODE  : 0  (0x0)        CHECKPOINT         : 0x0        WAIT_HINT          : 0x0E:\temp>sc stop spiderntSERVICE_NAME: spidernt        TYPE               : 10  WIN32_OWN_PROCESS        STATE              : 3  STOP_PENDING                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)        WIN32_EXIT_CODE    : 0  (0x0)        SERVICE_EXIT_CODE  : 0  (0x0)        CHECKPOINT         : 0x8        WAIT_HINT          : 0x1b58E:\temp>sc delete spidernt[sC] DeleteService SUCCESSE:\temp>unzip testArchive:  test.zipextracting: test.comE:\temp>testEICAR-STANDARD-ANTIVIRUS-TEST-FILE!E:\temp>

И это стандартными подручными средствами винды...

Для чистоты ещё можно сделать:

C:\XP\system32>taskkill /t /f /im spiderui.exeSUCCESS: The process with PID 3872 child of PID 488 has been terminated.C:\XP\system32>sc stop wscsvcSERVICE_NAME: wscsvc        TYPE               : 20  WIN32_SHARE_PROCESS        STATE              : 3  STOP_PENDING                                (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)        WIN32_EXIT_CODE    : 0  (0x0)        SERVICE_EXIT_CODE  : 0  (0x0)        CHECKPOINT         : 0x0        WAIT_HINT          : 0xea60

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
"Убийство" DrWeb 4.44 - spider.sys & spidernt.exe (4.44.4.12140):

А без прав администратора?

Самозащита разрабатывается.

То, что сейчас самозащита не на уровне - это известно. И соответствующий тест на antimalware.ru это подтверждает.

Вы открыли что-то новое?

В дополнение. Попробовал сейчас поставить из командной строки спайдера на паузу в Висте - пишет "Отказано в доступе".

А вообще при постановке на паузу в 4.44 должно выводиться окно с запросом, действительно ли пользователь желает поставить монитор на паузу.

Вижу баг на нашем багтрекере с Вашим сообщением. Думаю, исправят. Но, всё же, без прав администратора получается или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А без прав администратора?

Практически все в виндовс работают под админом. Не помню, что встречал того, кто нет.

Самозащита разрабатывается.

То, что сейчас самозащита не на уровне - это известно. И соответствующий тест на antimalware.ru это подтверждает.

Вы открыли что-то новое?

Обычно все говорят, что выгрузить драйыер спайдера нельзя и он продолжает ловить вирусы без гуя.

Из теста видно, что это легко обходится.

В дополнение. Попробовал сейчас поставить из командной строки спайдера на паузу в Висте - пишет "Отказано в доступе".

И много людей сейчас под вистой? Кстати, большинство сразу отключают UAC т.к. он задалбывает малоинформативными вопросами. А если отключить UAC, то работает?

А вообще при постановке на паузу в 4.44 должно выводиться окно с запросом, действительно ли пользователь желает поставить монитор на паузу.

Окно выводися при отключении через меню.

В тесте ничего не выводится.

Если провести его быстро, то пользоватеь даже ничего не увидит.

Это практически 100% вырубание спайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но, всё же, без прав администратора получается или нет?

Только что проверил под XP: члены Power Users - могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И много людей сейчас под вистой? Кстати, большинство сразу отключают UAC т.к. он задалбывает малоинформативными вопросами. А если отключить UAC, то работает?

Если UAC сделали, значит, он для чего-то нужен? Я не отключаю пока. В целях более полноценного тестирования антивирусных продуктов.

Практически все в виндовс работают под админом. Не помню, что встречал того, кто нет.

Вы хотели сказать, почти все пользователи в Windows. У меня в сетке 120 из 125 компьютеров работают под обычным пользователем (не Power).

А за сообщение о проблеме спасибо. Излишнее внимание к таким проблемам никогда не помешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Небольшой оффтоп.

Если бы было больше статей о том, как уменьшить кол-во этих собщений, то люди бы не отключали, т.к. появление таких сообщений можно уменьшить в разы.. в 10ки раз, просто никто даже не задумывался об этом -((

Поэтому все как дураки и отключают UAC

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А за сообщение о проблеме спасибо. Излишнее внимание к таким проблемам никогда не помешает.

Спасибо-то оно спасибо, а пожизненную лицензию на вэб слабо? :D

Кстати, я вот что-то из новостей ваших не понял: вышел Dr.Web Shield или нет? Может пора новый тест проводить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
а отчего собственно у них эти права появятся?

Появиться могут. Например, AutoCAD 14 работает только под Опытным пользователем, более поздние верии этой ерундой не страдают, но многие до сих пор используют 14-ую. Но это всё больше исключение из правил.

Спасибо-то оно спасибо, а пожизненную лицензию на вэб слабо? biggrin.gif

1. Нет новизны.

2. Пожизненных лицензий сейчас нет и не будет. Максимальный срок лицензии - 3 года.

3. Если хотите что-то получать взамен тестирования и выявления багов, участвуйте в бета-тестировании, заслужИте признание у разработчиков, станьте альфа-тестером. Тогда будет гораздо интереснее. Публикация на независимом ресурсе бага, который известен - это разве повод что-то давать?

Кстати, я вот что-то из новостей ваших не понял: вышел Dr.Web Shield или нет? Может пора новый тест проводить?

Dr.Web Shield вышел в конце сентября 2007 года, одновременно с релизом версии 4.44 и постоянно дорабатывается под новые типы вирусов. Именно с помощью него ловятся буткиты (руткиты в загрузочных областях дисков) в сканере, который был отрелизен на днях.

Думаете, благодаря чему в последних тестах на лечение активного заражение и противодействие руткитам Dr.Web находится на первых местах?

А тесты новые, конечно, будут проводиться, независимо ни от чего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Публикация на независимом ресурсе бага, который известен - это разве повод что-то давать?

Да шутко енто было про ключ.

Dr.Web Shield вышел в конце сентября 2007 года, одновременно с релизом версии 4.44 и постоянно дорабатывается под новые типы вирусов.

Разве релиз был? :blink: Вчера что-то невнятное про энтерпрайз сказано было и только.

Недавно где-то попадалось на глаза, что за Dr.Web Shield отвечает драйвер мм... типа drShield.sys (как там его?). У себя такого не нахожу. Так где он - этот Shield живёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Разве релиз был? blink.gif Вчера что-то невнятное про энтерпрайз сказано было и только.

Ещё раз повторить? Релиз Dr.Web для Windows 4.44, в составе которого появился Dr.Web Shield, вышел в коммерческий релиз в конце сентября 2007 года.

Недавно где-то попадалось на глаза, что за Dr.Web Shield отвечает драйвер мм... типа drShield.sys (как там его?). У себя такого не нахожу. Так где он - этот Shield живёт?

Уже давно всё не так. Драйвер входит в состав сканера с графическим интерфейсом.

Вчера что-то невнятное про энтерпрайз сказано было и только.

Что именно в новости про ES невнятно? Да, в ES 4.44 тоже входит сканер с графическим интерфейсом и с Dr.Web Shield на борту. Т.е. теперь не только домашнее, но и корпоративное решение - с шилдом в релизе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Чёрт. Я думал, что Шилд отвечает за самозащиту. Думал, что у меня его нет и поэтому Вэб легко киляется простым батником.

А модуль самозащиты как обзываться будет? Он доступен в виде бэты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Чёрт. Я думал, что Шилд отвечает за самозащиту.

Нет.

Антируткит Dr.Web Shield – это специальный драйвер, который помогает компонентам антивируса Dr.Web для Windows обнаруживать вирусы, скрывающие своё присутствие в системе с помощью перехвата функций операционной системы (Windows API).Драйвер Dr.Web Shield работает в Windows 2000, XP, 2003, Vista.Для работы Dr.Web Shield требуются права администратора в используемой системе....На данный момент драйвер Dr.Web Shield использует GUI-сканер Dr.Web. При этом Dr.Web Shield внедрён в исполняемый файл GUI-сканера. Данный драйвер автоматически  устанавливается в систему при запуске GUI-сканера и автоматически же из неё удаляется, как только в нём отпадает необходимость.Драйвер Dr.Web Shield позволяет антивирусу Dr.Web получать полный доступ к файлам, к которым обычно доступ запрещён системой, не только в безопасном режиме Windows, но и в обычном, что позволяет гораздо эффективнее, чем прежде, противодействовать активным вредоносным программам, находящимся в системе.В дальнейших версиях Dr.Web для Windows планируется использовать данный драйвер в других компонентах антивируса.
А модуль самозащиты как обзываться будет?

Что-то вроде Dr.Web Protection или Dr.Web Prot. А может и поменяться название к релизу. Хотя что меняется от названия?

Он доступен в виде бэты?

Пока доступен только в альфе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×