streSS teSt AntiVirus'ов
 

Intro

Каждый из нас сталкивался с выбором "Какой же антивирус мне установить?"
И следующий вопрос был "А какой лучше?".

В интернете можно достаточно легко найти тесты и истории сравнения антивирусов.
Однако зачастую, это либо галочка "Зачёт/Незачет", либо сухое "Нашел 7 вирей из 10".
Несколько полезных ссылок на ресурсы приведены в конце статьи.
Кроме того, самые смачные глюки находят обычно пользователи... тоесть мы с вами.

Фанаты до хрипа доказывают друг другу преимущества любимого продукта,
приводя мыслимые и немыслемые доводы.
Не будем им мешать. А тиха сядем, скачаем и протестируем сами. Чо мы, лузеры? =]
__________________________________________________ _____________________

Чёрт знает, что тварИться!!...

1. Технологии.
2. Испытуемые.
3. Обещания разработчиков.
4. Если приглядеться.
5. Сканируем файлы.
6. Проверяем почту.
7. Ловим на живца.
- Это не слон - это конь!
- Rootkit - играем в прятки.
- SpyWare - подглядим.
8. Умри, несчастный!
9. Вскрытие показало.




№_1_+++++++++++++..:: Технологии ::.. +++++++++++++
Технологии обнаружения и борьбы с вирусами.

1. Основной метод поиска вирусов состоит в использовании сигнатур(характерных фрагментов кода) вирусов,
т.е. так называемые "антивирусные базы".
Цепочка попонения антивирусных баз такова: "обнаружение вредоносного кода пользователем\разработчик� �м антивируса"
- > "отправка на проверку" -> "анализ" -> "включение сигнатур в базы" -> "обновление баз".
Слишком долго, не правда ли? Цепочка длинная и слабым звеном в ней является первоначальное обнаружение вируса.

Однако, теперь этой задачей занимается эвристик.

Перспективные направления методов детектирования вирусов:

1. Эвристический анализатор.
Эвристика (от греч. - отыскиваю, открываю) - это наука, изучающая продуктивное творческое мышление и
использующая спец. методы с целью открытия нового.
Спомощью эвристики можно распознать вируную программу по типу выполняемых действий,
путем глубокого и "интелектуального" анализа кода.
Эвристик не даёт 100% защиты и его работа сводиться к балансу между приемлемым уровнем защиты и числом
ложных срабатываний.
Эвристика на основе сигнатур: в базу эвристика заносятся сигнатуры характерных фрагментов кода вирусов и
троянских программ. Самая распространённая методика.

2. Эмулятор.
Эмулируя выполнение программы, можно проследить, какие действия она будет пытаться выполнить.
Существует онлайн проверка http://virusscan.jotti.org. Полноценное изучение программы на виртуальном ПК.
Вы можете отослать подозрительный файл на проверку и посмотреть результаты.
Эмуляция позволяет распознать полиморфные(т.е. самошифрующиеся вирусы), используя способ редуцированной маски.

3. Поведенческие анализаторы и блокираторы.
Анализируют действие запущенной программы, следит за их последовательностью.

4. SpayWare методика.
Основана на поиске характерных файлов, ключей реестра и др.

---- iChecker и iStreams("Антивирус наоборот").
Создается база данных сигнатур проверенных файлов и в дальнейшем отслеживаются лишь их изменения и создание новых файлов (снимаются подозрения с уже проверенных файлов).
Это возможно благодаря использованию базы контрольных сумм объектов и хранение контрольных сумм файлов в дополнительных потоках NTFS.

5. iChecker™ - технология, позволяющая увеличить скорость антивирусной проверки за счет исключения тех объектов,
которые не были изменены с момента предыдущей проверки, при условии, что параметры проверки (антивирусные базы и настройки) не были изменены. Информация об этом хранится в специальной базе.
Технология iChecker™ имеет ограничение: она применима только к объектам с известной Антивирусу структурой (например, файлы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).

6. iStreams™ - технология, аналогичная iChecker™. Отличие технологий состоит в том, что в iStreams™ информация о проверке объекта хранится в дополнительном потоке файла.
Кроме того, технология iStreams™ применима к объектам любого типа, независимо от того, известна или нет Антивирусу Касперского структура данного объекта.

7. iCure и iArc - технологии проверки архивов с многотомным вложением. Большинство антивирусов не способны проверять архивы, тем более, если он многотомный. Это позволяет скрыть вирус. Но с использованием данных технологий вирус будет обнаружен(если архив без пароля).

частично: источник ][aker-spec_08_2005


№_2_+++++++++++++..:: Испытуемые ::.. +++++++++++++

На операционном.. тьфу, рабочем столе:

1. Microsoft Windows XP Professional 5.1.2600 Service Pack 2 сборка 2600
число установленных исправлений - 117 ( гы! у кого больше? =] )
2. Антивирусы распространённые:
- Kaspersky_Anti-Virus_Personal_Pro_v388
(base from 2006-02-05)
- NOD32_2.50.25
Версия вирусной базы данных: 1.1381 (20060126)
Датирована: четверг, 26 января 2006 г.
Сборка вирусной базы данных: 6669
- DrWeb_4.33
Последнее обновление вирусных баз: 2006-02-07 15:01:53 MSK
Всего записей в вирусной базе: 102261
3. T
4. Вирусы разные. БАААААльшая куча.
- 120 мб разных червей и вирей вперемешку (выбирай себе любой =] )
- Trojan
- Spy_&_KeyLoger
- Rootkit
- Exploit
- HackTools

5. Хинч_1.5_alfa3 собственной персоной.
6. Руткит AFXRootkit2005
7. Кейлогер Nestor 9х/NT/2000/XP Version 2.0
8. Холодильник - пустой, совесть - деинсталированная =]



№_3_+++++++++++++..:: Обещания разработчиков ::.. +++++++++++++

Приведем-с описание важных модулей, заявленных разработчиками в мануале.
Пропустим второстепенные модули, ИМХО мы тут не цвет кнопочек разглядываем.

Итак, они мамой клянуться, что:

=======Общее
- Постоянная защита
- Проверка по требованию
- Проверка и лечение входящей/исходящей почты
- Обновление антивирусных баз
- Защита паролем
- Управление профилями работы
- Отправка объектов на экспертизу
- Логи, карантин, планировщик
- Проверка архивов.
- Internet monitor for POP3 / HTTP

=======Индивидуальное

=======Kaspersky_Anti-Virus_Personal_Pro_v388
- Защита от сетевых атак
- Очень Частое Регулярное обновление антивирусных баз, программных модулей
(включающая ВСЕ когда-либо найденные типы вирусов, эксплоитов)
- Защита от макросов и скриптов
- Обновление баз сетевых атак и программных модулей
- IChecker™ и iStreams™
- Лечение зараженных архивов(zip, arj, cab, rar), проверка вложенных архивов.

=======NOD32_2.50.25
- Защита от макросов и скриптов
- Обновление программных модулей

=======DrWeb_4.33
- Консольный сканер под винды.
- Сканер под дос.


№_4_+++++++++++++..:: Если приглядеться ::.. +++++++++++++

Здесь я приведу достоинства/недостатки/заметки, которые подметил лично я, либо другие пользователи.

=======AVP или просто Дядя Каспер :-] . За что же мы его так любим?

Достоинства:

1. Простота настроек.
2. Рускоязычный, дружелюбный к пользователю интерфейс.
3. Хорошая защита собственного процеса.
4. Защита настроек паролем.

Недостатки:

1. Фирменные ТОРМОЗА дяди Каспера ))). Но это смотря где и как настроить.
2. Отсутвие проверки сетевых дисков (в данной версии).
3. Недостаточная защита ключей настроек в реестре и баз от удаления.
4. Убивает зараженный файл, хотя мог бы и вылечить.
5. Нет поддержки Win2003 (в данной версии), скорее всего, и WinVista_Longhorn.

=======NOD32 - скорость и функциональность

Достоинства:

1. Хорошая эвристика.
2. Не тормозит на полных настройках.
3. Приемлемо лечит зараженные файлы.
4. Поддержка проверки файлов по сети.
5. Поддержка Win2003.
6. Английский, но есть русик.

Недостатки:

1. Ложное срабатывание.
2. Не всегда верно определяет версию вируса.
3. Недостаточная защита собственного процесса и сервиса.
4. При отключении AMON - отказывался включать без перезагрузки системы.
5. Не чистит архивы.

=======DrWEB - о, любезный доктор...

Достоинства:

1. Лучший эмулятор из существующих!
2. Великолепно лечит зараженные файлы, доктор ведь :-] .
3. Поддержка всех известных упаковщиков.
4. Русский и простой интерфейс.

Недостатки:

1. Ошибки с обновлением баз, зачастую недаёт обновить новую базу без обновлении версии самой программы.
2. При использовании апача некотоые скрипты глючат.
3. Процесс антивируса, его служба и ключи реестра АБСОЛЮТНО беззащитны.
4. Нет защиты настроек паролем.
5. Не поддерживает Win2003.
6. Не чистит архивы.
7. Тормоза есть, однако.



№_5_+++++++++++++..:: Сканируем файлы ::.. +++++++++++++

ВсЁ!!! Хватит нудной теории, скучных манов и наставительных советов!
Покажите себя в реальном деле! Вот вам вири. АТУ, их! АТУ!

Так, поочередно врубаем каждый сканер. Ставим МАКСИМАЛЬНЫЕ режимы.
Вобщем то, это будет пасивное сканирование, так вири я не запускал.
Поясню, что зачастую, будучи запущенным, вирус может быть определён;
тогда как в незапущенном состоянии он может абсолютно не палится.

На растерзание обозлившимся сканерам будут отданы семь типов ПО.

А именно:
1)Шутки - безвредные приколы над юзером
2)Гады =] - вредные вири(формат, тормоза, сжигание железа)
3)Trojan - воровство паролей, удаленное администрирование
4)Spy_&_KeyLoger - шпионы всех мастей
5)Rootkit - проги, скрывающие в системе процесы\записи в реестре
6)Exploit - эксплоиты
7)HackTools - самые нужные программы на вашем винте =]

Расшифровать так:
34=5678=01:45
нашёл 34 виря из 5678 проверяемых за 1 минуту 45 сек
=======AVP
/me ...обычно, вам низя лезть в эти папки, но сЁдня всё можно ))).

1)Шутки - 21=796=00:40
2)Гады - 238=583=00:13
3)Trojan - 139=2661=01:00
4)Spy_&_KeyLoger - 15=536=00:22
5)Rootkit - 36=2240=00:48
6)Exploit - 51=4785=02:12
7)HackTools - 81=56378=00:18:10

=======NOD32

1)Шутки - 7=736=00:42
2)Гады - 227=469=00:06
3)Trojan - 136=2846=02:29
4)Spy_&_KeyLoger - 23=550=00:14
5)Rootkit - 23=2227=00:28
6)Exploit - 33=4680=01:24
7)HackTools - 75=85795=00:26:10

=======DrWEB

1)Шутки - 20=917=00:40
2)Гады - 236=517=00:20
3)Trojan - 149=3280=01:45
4)Spy_&_KeyLoger - 30=836=00:33
5)Rootkit - 16=2221=00:53
6)Exploit - 47=6289=03:07
7)HackTools - 235=91831=01:19:00

Так-так, АВП у нас середнячок - и по скорости и кол-ву. Эксплоитов больше всех.
Однако, со шпионами он не так хорошо знаком, как остальные.

Нод самый шустрый. С "шутками" он не знаком, но это простительно.

Доктор думает дольше всех. Но не вовсе не зря.
Настораживает незнание руткитов. Хм..
Хак-тулзы и эксплоиты знает в лицо )))

№_6_+++++++++++++..:: Проверяем почту ::.. +++++++++++++
Не хотел ставить The Bat, но пришлось.

Предварительно закинул на свой ящик три письма. В каждом по Email-Worm.Win32.Nyxem.exe.
В первом - вирь как есть. Во втором - в RAR архиве. В третьем - RAR архив с тройным вложением.
Кадый антивирус нашел при сканированиии все вирусы.

Ну к чести антивирей зараза в почте была распознана. Так даже не интересно.


№_7_+++++++++++++..:: Ловим на живца ::.. +++++++++++++

А теперь приступим к учениям, приближенным к боевым.
Ударим по самым уязвимым местам антивирусов.
И на этот раз вири будут нападать, а не лежать мясом в бойне.

Причем, я предварительно убрал те, что палились.
Теперь всё по честному, все на равных.

=======Это не слон - это конь!

Возьмём популярного ксинча, скомпилим несколько различных его комбинаций:

1) Xinch_pass_.exe - тащит пароли, SMTP
2) Xinch_backdoor.exe - просто бэкдор
3) Xinch_irc_.exe - ирк-бот
4) Xinch_service.exe - убийство процессов для последующей атаки
5) Xinch_proxy.exe - прокси-сервер
6) Xinch_site.exe - накрутчик сайтов
7) Xinch_ftp_.exe - фтп-сервак

Просканим, их.

******AVP******
MEW-паковщик - среагировал только на пароли Xinch_pass_
UPX-паковщик - вирусов не найдено!!!

****NOD32****
MEW-паковщик - опознал всех, кроме Xinch_proxy и Xinch_site
UPX-паковщик - опознал всех, кроме Xinch_service.exe

****DrWEB****
MEW-паковщик - опознал всех!!!
UPX-паковщик - опознал всех!!!

Лана, делаем прокси+бэкдор без сжатия, пакуем ASPack_2.12.
Йййй-е-е-с!!! Никто не палит!!! Запустим... Каждый антивирь молчит!!!

=======Rootkit - играем в прятки

Большинство антивирусов не умеют бороться с руткитами.
Как известно руткит-технология позволяет изменить работу ядра системы по усмотрению хакера,
в результате чего достаточно легко можно "спрятать" файлы, ключи реестра, открытые порты и прочие проявления
работы вредоносной программы от антивируса и утилит пользователя.
Обнаружить и удалить руткит досаточно трудно, нейтрализовать на рабочей системе - ещё сложнее.

Берём AFXRootkit2005. Определяеться всеми антивирями. Мне было влом его распаковывать и вновь упаковывать.
Предположим, что антивирь временно отключён. Активируем руткит. Скрываемая папка пропадает, процесс не видно
в диспетчере задач. Включаем поочередно антивирусы...

******AVP******
Мониторинг находит руткит, если вызвать диспетчер задач и легко находит его на винте при скане дисков.

****NOD32****
Аналогично.

****DrWEB****
У Доктора есть класный глюк!!!
Сканер НЕ НАХОДИТ руткита на диске, НО ещё многое зависит от сканирования оперативы при старте сканера.
(если диспетчер задач при старте не открыт - руткит не будет обнаружен)

Не сомневаюсь, есть более продвинутые руткиты, которые не видны.

=======SpyWare - подглядим
Шпионы зачастую остаються незамечены антивирями

Я выбрал стелс-кейлогер nestor-2.0.
Он не определяеться КАВом и НОДом.
Доктор его знает, и потому для него мы намеренно запустим шпиона из папки с руткитом из предыдущего теста))

Хыхыхы =] Все антивири дружно облажались.

№_8_+++++++++++++..:: Умри, несчастный! ::.. +++++++++++++

УУу-Ха-ха!! Ща разомнемся.

Так, скомпилял ты трояна, но его палит антивирь? Или ты хочешь вырубить антивиря в компьтерном класе?
Щас рассмотрим, как это моно сбацать. Самые главные условия для таких действий - это админские или системные права.
Как это сделать - думай сам (разводи админа; ищи эксплоит).

Как оказалось, каждый из этих антивирусов уж слишком доверяет пользователю.

Предположим самый простой случай - антивирь без пароля.
Заставим выгружаться без нашей помощи (троян, IE, Opera).
Процесс авто-выгрузки инициализируется , к примеру, скриптом на Бейсике(или Джаве).
Сохрани эти строчки в текстовый файл и измени расширение на *.vbs
Бэйсик я не знаю, для полного счастья нехватает ещё мышиных операций.
Вот такой скриптик непринужденно отключит Ognitum Autpost:
источник vbs-скрипта http://www.securitylab.ru/analytics/216375.php

Теперь обходим пароль.


=======AVP
Самый страшный враг АВП - он сам.
Для того, чтобы гигант антивирусной идустрии новил вирей - слишком уж много условий ему надо.
И в наших силах ему помешать!!!
После перезапуска\перезагрузки АВП устроит забастовку, если:
1) Найти и удалить ключ лицензии ( *.key ). Делов-то.
2) Попытаться удалить базы антивиря. Благо, они в гостевой папке!!!
Загрука в АВП двойная - реестр+служба.
Если просто выгрузить, служба останется активной и будет килять всё, что её не понравиться АВТОМАТОМ.
Без всяких "Вы уверены?". РРРАЗ! И нету твоего трояна.
Идём через реестр.
Вот так запускается *.reg из консоли:
Отключаем службу в реестре(измените на эти строки):
Пихаем следуюий код в *.reg файл:
Отключаем шел-оболочку в реестре(испортить, удалить эту запись):
Усё. После ребута - вы кАроль ))

Между прочим, если расковырять редактором длл-ки, можно заменить иконку в трее на вечно красную....
А постоянную защиту вырубить. Очень эФФектно смотриться - типа усё ок'ей, а антивирь на самом деле бамбук курит.
До рядового юзверя месяцами доходит, пока реальную заразу не зацепит где-нить.

....и против переименования своих файлов он тоже не возражает. А глючит потом сильно)
Зато профиль с настройками, пока не выгрузишь, не заменишь. Но эт нас не Астановит.
Профиль лежит тут "C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0\Policy"

=======NOD32

Нод обычно крячится, трюк с лиц.ключом здесь не применишь.
Базы здеся "C:\Program Files\ESET\updfiles"

Защита процесса в ноде хилая.
Загрука опять двойная - реестр+служба.
Процесс и оболочку мы уже можем вырубить taskkill'ом .
Защита одна и простая, как две копейки. Сервис, умирая, перезапускает себя =]
Переименуем nod32krn.exe в мусор и снова киляем... Красота )))
Даже перегруз не нужен.
Вот скрипт в *.bat
Отключаем службу в реестре(измените на эти строки):
Отключаем шел-оболочку в реестре(испортить, удалить эту запись):



=======DrWEB

Базы лежат прямо в папке вместе с антивирём "C:\Program Files\DrWeb"
Лицензионный ключ - ТАМ ЖЕ.

Я долго искал, как задать пароль на настройки. Такой функции нет. Уряяя!!!
Сервис и шел оболочка не защищены никак. Di!
Отключаем службу в реестре(измените на эти строки):
Больше в реестре никто не живёт:


№_9_+++++++++++++..:: Вскрытие показало ::.. +++++++++++++


=======AVP

Разработчики позаботились о безопасности лучше, чем в остальных антивирусах.
Уникальных технологий в нём реализовано заметно больше.
Скорость проверки вполне приемлима, антивирусная база одна из лучших.
Однако эвристика и эмулятор не самые лучшие.
Любит удалять файлы, вместо лечения.

=======NOD32
Средняя защищённость. Большая функциональность и оригинальное модульное исполнение.
Скорость проверки - самая высокая. Однако вирусов знает меньше всех.
Тем не менее эвристик и эмулятор позволяют ему очень уверенно определять заразу.
Сносно лечит файлы, умеет сканить сетевые диски. К типу винды не придераеться.

=======DrWEB
Защищён хуже всех. При этом находит больше всех вирусов.
Низкий показатель скорости работы несколько портит впечатление.
Доктор есть доктор - лечит заражённые файлы превосходно, в чём я не раз убеждался,
востанавливая инсталяторы с защитой по контрольной сумме.
Поддержка консольного и досового сканера пожалуй уникальна.
Не раз лечил винты нерадивым пользователям из командной строки.



....каждый выбирает антивирус по потребности. зачем тогда спорить? =]


Полезные ссылки:

1) http://www.webplanet.ru/news/securit.../euristic.html
2) http://www.izcity.com/data/security/index3.htm
3) http://www.disser.ru/library/12/347.htm
4) http://www.ampula.ru/rus/personal.php

Elekt ты никогда не думал книгу написать? :) Уверен у тебя бы получилось на ура)
а теперь большими буквами. РЕСПЕКТ. уже в который раз говорю, и в который раз заслужено
ЗЫ: актуально и без зауми, как раз то что надо.

Я когда читаю данные статьи, всегда со стула падаю =). Респект - это мало!.
СуперРеспект - и то, для данной статьи этого маловато..

Нету слов вообщем..., АднИ ИмОцИИ =).

Мда.... Elekt
У тебя крышка не поехала столько писать? Я даже не успеваю всё прочитать, но как приеду с учёбы обязательно прочту, а так кул! )

Старо как мир,второй пост неасилил,напрягает вот такая строчка:"изменить работу ядра" жестач)
Мальчик,ты в каком году живешь? Хоть бы копирайты вставил)) Баянная вещь скопипастена с секлаба.Умные люди давно вырубили поддержку виндувс скриптов.

По поводу руткитов - я бы не сказал, что это неверная фраза. В примере указан именно ядерный руткит..

А ссылочку можно? =)

Мдя..
Ну я походу никогда не отличался блеском ума =).

Elekt - Зажог Танспол.... Читав эту статейку не пропустил ни строчки... Читая всё становилать интереснее и интереснее.. За это тебе огромное спасибо

vbs вообще рулез ! конечно можно сделать в любом но всеже он прост до каки !
=)))

- Я бы еще добавил в критерии оценок 1. Корректное лечение вирусов.(антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса) 2. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы. 3. Стабильность работы и отсутствие конфликтов с другими программами. 4. Загрузка системы( не стоит забывать, что обычно антивирус, дающий наибольшую защиту, тормозит сильнее, а антивирус, который не тормозит, скорее всего даёт менее надёжную защиту) -
- Но вообще молодец, интересно написал -