Тест самозащиты антивирусов II (результаты)

[Сергей Ильин 1538]

Жалко, картинку не проапдейтили в отчете - а то OSS впереди KIS http://www.anti-malware.ru/files/self-prot...on_dynamics.gif - вроде обсуждалось же.

Да, это не порядок, перед выкладкой не поменяли местами после коррекции результата КИСа.

но в графике http://www.anti-malware.ru/files/self-prot...on_dynamics.gif касперский второй, а оутпост первый...

Есть же результаты в итоговой таблице

Согласен вырубить Веба сейчас трудно, базы убить тоже, но разве вы не смогли остановить спайдера с правами локального администратора? ohmy.gif

или этот метод не подходит под методологию теста?

Вырубить спайдера можно отключив замозащиту DrWeb в настройках (из контекстного меню по щелчку на иконку в трее). Но даже если убить все процессы DrWeb, то антивирусная защита будет работать, так как драйвер остается загружен.

[OiG 0]

Вырубить спайдера можно отключив замозащиту DrWeb в настройках (из контекстного меню по щелчку на иконку в трее)

под вырубить спайдера(читать "остановить его мониторинг и собственно защиту") я имел ввиду, что он елементарно(дальше уже некуда) становится на паузу из командной строки. Из ГУИ хотя-бы переспрашивает

Но даже если убить все процессы DrWeb, то антивирусная защита будет работать, так как драйвер остается загружен.

а толку от такой защиты когда монитор стоит на паузе и зловреды спокойно гуляют по машинке?

[Сергей Ильин 1538]

Мне кажется или некоторые вендоры подумали о самозащите лишь после предыдущего теста на anti-malware.ru?

Наш прошлый тест точно повлиял на индустрию, на этот аспект стали обращать большее внимание. Внимание к тесту ощущается в том числе и по письмам, которые я получаю от разных западных вендоров.

Сравните визуально насколько меньше стало голубого цвета (испытание провалено) в сводной таблице результатов.

Август 2007 года

Январь 2009 года

под вырубить спайдера(читать "остановить его мониторинг и собственно защиту") я имел ввиду, что он елементарно(дальше уже некуда) становится на паузу из командной строки.

Если разработчики DrWeb придусмотрели возможность такой остановки мониторинга, то это скорее можно назвать уязвимостью этого антивируса, но не проблемой его самозащиты.

Кстати, чтобы не быть голословным, не могли бы привести здесь команду для остановки защиты DrWeb из командной строки?

[K_Mikhail 807]

Кстати, чтобы не быть голословным, не могли бы привести здесь команду для остановки защиты DrWeb из командной строки?

sc pause spidernt

[OiG 0]

sc pause spidernt

я имел ввиду net pause spidernt

но можна и так

[dr_dizel 385]

sc pause spidernt

Да. Нам обещали, что фикс этого позора будет первоочередной задачей для защиты. На данный момент при таком отключении никаких подтверждений не запрашиваетя (а надо бы вообще капчу). Хорошо, что совсем недавно сделали хотя бы значок в трее для оповещения об отключённых компонентах.

Причём эта хохма тянется ещё с первого тестирования защиты.

Отредактировал Январь 19, 2009 dr_dizel

[Сергей Ильин 1538]

OiG, спасибо за информацию.

Да. Нам обещали, что фикс этого позора будет первоочередной задачей для защиты. На данный момент при таком отключении никаких подтверждений не запрашиваетя (а надо бы вообще капчу). Хорошо, что совсем недавно сделали хотя бы значок в трее для оповещения об отключённых компонентах.

Этот факт несколько омрачает праздник победы для Доктора. Такую уязвимость надо править как можно быстрее.

Жалко, картинку не проапдейтили в отчете - а то OSS впереди KIS

Пофиксили, в рассылку по СМИ пойдет в правильном виде, так что не критично.

[Виталий Я. 859]

ОК, мерси.

[Viktor 669]

Начал изучать self-protection2_results.pdf и заметил, что в таблице 1б есть опечатка, кол-во пропущенных атак у Sophos Antivirus 7.6 должно быть 15, а не 6.

[Viktor 669]

Вот что бросается в глаза - все в один голос говорят о том, насколько важна и актуальна самозащита для антивируса, о том, что современенные тенденции развития вредоносного ПО вынуждают вендоров уделять повышенное внимание данному аспекту. Авторы теста в свою очередь отмечают положительную динамику улучшения самозащиты большинства антивирусов. Вроде бы все счастливы... Но! Давайте попробуем критически посмотреть на полученные цифры. Лишь половина решений прошла 60% тестов. Что это значит?! А значит это то, что из трех атак одна будет пропущена. Таким образом, если вредонос не настолько прост, чтобы атаковать антивирус в лоб одним способом, а будет использовать скажем три разных, то, отбросив неансы, можно ожидать, что он будет эффективен против большинства тестировавшихся антивирусов. Вообщем-то, это провал... Причем обратите внимание на проводившиеся тесты - ничего хитрого - завершение процессов, удаление баз, модулей и т.п., в подобных атаках нет ничего хитрого, уровень студента, но как показал тест, большинство антивирусов не могут защититься и от них. А если вспомнить про откровения кого-то из предыдущих ораторов, то получится, что не большинство, а все. Я сейчас очень рискую нарваться на отрицательную реакцию общественности, но все-таки повторю - это провал. Вывод таков, что самозащита у большинства антивирусов не отвечает потребностям сегодняшего дня.

[Андрей-001 1099]

Вывод таков, что самозащита у большинства антивирусов не отвечает потребностям сегодняшего дня.

Увы, это Факт! MW обманывают защиту антивирусов - только так! Позавчера сам в этом убедился.

Оставшиеся образцы не отражают всю полноту ситуации. Как писали классики за Козьму Пруткова: Зри в корень!

Скриншоты есть, но факты печальные.

[Сергей Ильин 1538]

Начал изучать self-protection2_results.pdf и заметил, что в таблице 1б есть опечатка, кол-во пропущенных атак у Sophos Antivirus 7.6 должно быть 15, а не 6.

Виктор, спасибо! Поправили ошибку.

Давайте попробуем критически посмотреть на полученные цифры. Лишь половина решений прошла 60% тестов. Что это значит?! А значит это то, что из трех атак одна будет пропущена. Таким образом, если вредонос не настолько прост, чтобы атаковать антивирус в лоб одним способом, а будет использовать скажем три разных, то, отбросив неансы, можно ожидать, что он будет эффективен против большинства тестировавшихся антивирусов. Вообщем-то, это провал...

Соглашусь с таким выводом. Именно поэтому в финальных выводах продукты, получившие бронзу не считаются надежными в плане самозащиты - слишком велика вероятность вывода их из строя целиком или отключения части функционала после атаки со стороны вредоносной программы.

Еще один важный момент. Для большинства антивирусов остаются варианты гарантированного их выноса. Тут даже не нужно париться с убийством процессов, а можно просто затереть файлы или реестр или ограничить права доступа к ним. Такие проблемы есть даже у победителей теста.

Все вендоры-партнеры портала и не только, с которыми я общался, понимают существующие проблемы и работают над этим. Есть поступательное движение, прогресс, это важно.

[Виталий Я. 859]

Я сейчас очень рискую нарваться на отрицательную реакцию общественности, но все-таки повторю - это провал. Вывод таков, что самозащита у большинства антивирусов не отвечает потребностям сегодняшего дня.

Возмущенной общественности неоткуда взяться. Та ее часть, которая видит свой антивирус в низу таблицы, просто не понимает всей трагичности. Правда, и многие пользователи победителей - всего, если некритично сказать, великолепия используемых ими решений относительно "среднего по больнице".

[Viktor 669]

Нельзя не отметить и еще один момент - в ряде случаев бывает довольно сложно провести четку границу между (+) и (+/-). Дело в том, что согласно методике под (+/-) подпадает случай, когда самозащита сработала частично, но основной функционал сохранился или автоматически восстановился. Насколько плох случай самовосстановления, и всегда ли в этом случае нужно снимать 0,5 балла - вопрос непростой. Зачастую, чтобы ответить на него, нужно очень хорошо знать продукт, а иногда и не обойтись без помощи разработчиков... Допустим, антивирус разрешает модифицировать некоторые из своих ключей в реестре, но при этом всегда без ущерба работоспособоности успешно справляется с их восстановлением. Действительно ли это плохо?! По-видимому, что нет...

[Андрей-001 1099]

Допустим, антивирус разрешает модифицировать некоторые из своих ключей в реестре, но при этом всегда без ущерба работоспособоности успешно справляется с их восстановлением. Действительно ли это плохо?! По-видимому, что нет...

Думаю, что хорошо, если не впадает в тотал-контроль.

В качестве примера для сравнения:

KAV-KIS кроме галочной опции самозащиты имеют видимую опцию контроля реестра от изменений.

У DW кроме каптчовой опции самозащиты и галочной опции защиты конфигурации, видимая опция контроля реестра от изменений скрыта в настойках SpIDer Guard в Режиме проверки "на лету" > Другие > Создание и запись.

[vovan7777 95]

интересный тест

Авира опять тут,правда в хвосте.

как пользователю ,использующему еще и файервол (comodo3,outpost) и не нажимающему,не подумав-разрешить действие над реестром или процессом,то насколько шанс обойти все защиты у такого вируса?

и если он обойдет все и вынесет все,то как стыкуется с этим победы авиры в тесте на проактивную защиту и детект?

т.е логично предположить,что те вирусы,которые детектила,к примеру,авира и не детектили доктор и касперский и не ставили себе такую цель в своем действии и успешно вредили и при "живом" антивирусе системе...

иными словами,у меня вывод получается такой:что 100% в самозащите доктора не говорит мне о том,что он лучше-возможно ведь так ,что серьезный вирус убьет в системе сначала авиру потом систему,а с доктором система ляжет тоже,но антивирус "будет жить "

ведь вирусный писатель пишет вирус ,который по его мнению,не будет детектить вся линейка вирустотала или большинство популярных продуктов.

и конкретно у него не стоит цель "поиметь" всех только авировцев или касперовцев или поклонников симантека.

пишется универсальный вирус ведь.

а так чтобы конкретно под именно ваш антивирус вам подсунули такой вирус,который и антивирус согнет и данные уведет и потом еще отформатирует все и выключит свет за собой-это надо чтобы именно вами занялся специалист,а если он хороший спец,то он любой антивирус проведет.

и у того же доктора он прекрасно знает слабые места и использует их по полной.

теперь ,смотря на такой процент у доктора по лечению и самозащите-прямо возникают мысли,что круче него только яйца дайте им еще пять лет и будет 99.9% детект и тогда этот форум будет в зелененьких тонах...

никто не интересовался у того же Клементи почему он самозащиты не тестирует?

[Сергей Ильин 1538]

Насколько плох случай самовосстановления, и всегда ли в этом случае нужно снимать 0,5 балла - вопрос непростой.

Если процесс или ключи успешно восстанавливались после их убийства/удаления, то баллы не снимались.

Конкретные примеры:

1. McAfee Internet Security 2009 - во многих случаях главные процессы убиваются, но восстанавливаются автоматически. Но были и процессы, которые убивались, поэтому ставился +/-. Если бы восстанавливались все, то были бы +.

2. Microsoft Windows Live OneCare 2.5 - тоже самое, но есть и случаи успешного восстановления всех убитых процессов и как результат +.

3. Kaspersky Internet Security 2009 - в части TerminateThreads убивается avp.exe, но восстанавливается, поэтому +.

Ну и т.д. Все эти данные есть в подробном отчете xls.

Для меня была неоднозначная ситуация в другом. Предположим убивается какой-то процесс, но визуаль все как бы работ, вирусы ловятся, стенка стоит, все ОК. Что ставить? + (все работает) или +/- (процесс убит)? Вот тут нужны доскональные знания архитектуры тестируемых продуктов.

Как и в прошлый раз я пошел тут по жесткому варианту оценки результатов. Любой процесс валится - плюса не видать. И не важно, какой функционал упал, был это гуй или модуль антиспама. ИМХО самозащита должна быть целостной, а не закрывать особо чувствительные места. Именно по этой причине серьезно пострадали BitDefender и ZoneAlarm. У BitDefender почти всегда валятся 2 некритичных процесса seccenter.exe и/или bdagent.exe, при этом защита работает. У ZoneAlarm как и раньше убивается антиспам (mantispam.exe). Еще суда же проблемы у Microsoft Windows Live OneCare с winssnotify.exe - почти всегда валился.

Про убийства гуя я вообще молчу, это проблема всех антивирусных продуктов с наградой Bronze Self-Protection Award. Eset мог бы круто подняться если бы у него не валился пользовательский гуй - непорядок.

и конкретно у него не стоит цель "поиметь" всех только авировцев или касперовцев или поклонников симантека.

пишется универсальный вирус ведь.

Вирусы все равно через какое-то время будут детектить и очень даже скоро. Кроме того проактивные методы никто не отменял. Результаты недавнего динамического теста антивирусов все видели? Многое прекрасно детектится проактивкой не смотря на молчание VirusTotal. Так вот выносить наиболее популярные антивирусы очень даже не помешает. Это может существенно продлить жизненный цикл вредоносной программы (больше заражений, и дольше они будут жить), а следовательно и обеспечить для киберпреступников больший доход и возврат инвестиций, ведь вредоносные коды, эксплойты и т.п. надо покупать и все это должно многократно окупаться.

[anip 50]

А вот интересно, почему в этом тесте (да и не только в этом, но и в других, например, защиты HIPS) не тестируется бесплатный Comodo Internet Security (я не говорю про тесты на matousec.com)? Как он на фоне платных продуктов выглядит?

[DWState 30]

А вот интересно, почему в этом тесте (да и не только в этом, но и в других, например, защиты HIPS) не тестируется бесплатный Comodo Internet Security (я не говорю про тесты на matousec.com)? Как он на фоне платных продуктов выглядит?

Думаю ответ кроется во времени, так как на время проведения теста такогог продукта еще не было...могу ошибаться

[Сергей Ильин 1538]

А вот интересно, почему в этом тесте (да и не только в этом, но и в других, например, защиты HIPS) не тестируется бесплатный Comodo Internet Security (я не говорю про тесты на matousec.com)?

Можно сказать, что это упущение теста. В силу ограничений по ресурсам пришлось пожертвовать этим продуктов. К тому же пока нельзя сказать, что это серьезный игрок на мировом или российском рынке.

Если будет время, то можно будет прогнать его по этому тесту дополнительно. Тут в отличие от других тестов нет существенного ограничения по времени.

[anip 50]

Можно сказать, что это упущение теста. В силу ограничений по ресурсам пришлось пожертвовать этим продуктов. К тому же пока нельзя сказать, что это серьезный игрок на мировом или российском рынке.

Если будет время, то можно будет прогнать его по этому тесту дополнительно.

Думаю, что упущение. Пользователям ведь интересно узнать, на что способны бесплатные продукты, может, и платить-то и не надо, поставил фривар - и живи спокойно. И ладно, что Comodo IS не является серьёзным игроком, все с чего-то начинали. А файервол их в числе лучших

Прогоните, пожалуйста, дюже интересно.

[bse 115]

Так вот выносить наиболее популярные антивирусы очень даже не помешает.

Скажите пожалуйста, какой малвари в природе больше:

1. которая способна выносить антивирусы незаметно для самого антивируса и для его пользователя?

2. которая, вынося антивирус, тем самым обнаруживает свое присутствие в системе?

3. которая ничего не выносит, а наоборот, прячется чтобы

продлить жизненный цикл вредоносной программы (больше заражений, и дольше они будут жить), а следовательно и обеспечить для киберпреступников больший доход и возврат инвестиций, ведь вредоносные коды, эксплойты и т.п. надо покупать и все это должно многократно окупаться.

[Сергей Ильин 1538]

1. которая способна выносить антивирусы незаметно для самого антивируса и для его пользователя?

2. которая, вынося антивирус, тем самым обнаруживает свое присутствие в системе?

Немного некорректное разделение на заметно и незаметно. Если иконка тихо исчезла из трея - это заметно или нет? В ряде случаем антивирус может умирать с ошибкой, которая выводится пользователю, но что он может подумать? Да мало ли что, как вариант, что антивирус просто заглючил.

3. которая ничего не выносит, а наоборот, прячется чтобы

Не нужно путать две связанные, все таки разные задачи: установку в системе и обеспечение живучести. Они обе важны. Для гарантированной установки проще вынести защиты, о чем я и написал выше. Живучесть мы исследовали в тесте антивирусов на лечение активного заражения.

[bse 115]

Не нужно путать две связанные, все таки разные задачи: установку в системе и обеспечение живучести.

Зачем их делить? Ради академического интереса? А если попытаться оценить практическую ценность этого теста. Эти задачи могут решаться зловредом последовательно или параллельно. И цикл жизни зловреда зависит от поставленной перед ним задачи, что более ценно с практичекской точки зрения. Если просто убить АВ, потом убить диск с данными, это одно. Если незаметно сделать из ПК бота на длительный срок - другое. А любой глюк АВ - это уже повод для прекращения обработки критичных данных, выхода из сети, выключения ПК и т.д. И последующей диагностики системы. Например, если в природе миллион зловредов, крутящих порно, и из них всего один на миллион, ворующий пароли, то для кого-нибудь это может быть поводом как раз самому отключить АВ и наслаждаться просмотром. Установка зловреда в систему и самозащита АВ - это же и то, и другое, не самоцель. Точно так же, как информация о том, что после одного АВ другой нашел 100 каких-то "зловредов". Ну и что, если ни один из 100 ничего опасного не делал.

[Сергей Ильин 1538]

Установка зловреда в систему и самозащита АВ - это же и то, и другое, не самоцель.

Не самоцель для кого? Без запуска вредоносный код не сработает Самозащита для антивируса - не сама цель, разве кто-то с этим спорит, это еще одно средство защиты.

очно так же, как информация о том, что после одного АВ другой нашел 100 каких-то "зловредов". Ну и что, если ни один из 100 ничего опасного не делал.

В таком случае зачем вам вообще антивирус и участие в этом форуме? Ну подумаешь будет у вас на компе 100 "каких-то зловредов", ни один из них может и не опасен вовсе