Тестування самозахисту антивірусів 2018, високотехнологічний блог

умови тестування

  • для KIS використовувалася ОС Windows 10. для інших - Windows 7 Ultimate SP1 x64
  • використовувалися стандартні варіанти установки і настройки, за винятком Касперського і DrWeb - в них додатково були встановлені паролі на доступ до управління
  • поточний користувач складався в групі Адміністратори. Process Hacker запускався через пункт Запуск від імені адміністратора

Методика тестування

  • був створений текстовий файл з вмістом «X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7> $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *», перейменований в виконуваний eicar.com і запакований в архів з паролем
  • файл розпаковує і запускався, ми переконувалися в працездатності антивіруса - файл або віддалявся, або блокувався
  • вироблялися спроби зупинити процес служби захисту в реальному часі антивіруса - Terminate (в деяких випадках - Terminate Tree. нижче вказується окремо), а також призупинити його роботу - Suspend з подальшим відновленням - Resume
  • файл знову розпаковувати, і або запускався, або продовжував блокуватися антивірусом

Маніпулювати процесами можна як в ручному режимі, так і з командного рядка. наприклад:
ProcessHacker.exe -c -ctype process -cobject dwengine.exe -caction terminate
ProcessHacker.exe -c -ctype process -cobject dwengine.exe -caction suspend

Ось так виглядали успішний і заблокований запуски eicar.com. в разі блокування антивірус повідомляв про відмову в доступі, в разі запуску в обхід антивіруса - ОС писала, що це не виконуваний файл.

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Тестування самозахисту антивірусів 2015 року, високотехнологічний блог

тестовані антивіруси

  1. Avast! Free Antivirus 10.4.2233
  2. Avira Antivirus 15.0.13.210
  3. Dr.Web Security Space 11.0
  4. ESET NOD32 Antivirus 9.318.24
  5. Kaspersky Endpoint Security 10 SP1 10.2.2.10535
  6. Kaspersky Internet Security 16.0.0.614
  7. McAfee Internet Security (McAfee SecurityCenter 14.0.1029, Захист від вірусів і шпигунських програм McAfee 18.0.204)
  8. Norton Internet Security 22.5.4.24
  9. 360 Total Security 8.0.0.1046

Avast! Free Antivirus 10.4.2233

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Має три процесу: Avastsvc.exe. AvastUI і AvastEmUpdate.exe.

a) Спроба зупинити процес. Невдало. Avast! Не дає зупинити жоден зі своїх процесів, повідомляючи про відмову в доступі.
b) Спроба зупинити процес. Невдало. Avast! Не дає призупинити жоден зі своїх процесів, повідомляючи про відмову в доступі.

  • останов антивіруса: неможливий
  • ступінь небезпеки: нульова

Avira Antivirus 15.0.13.210

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Процесів кілька, нас буде цікавити avguard.exe.

a) Спроба зупинити процес (Terminate tree). Перші два рази викликають перезапуск служби, третій раз - її останов. Віруси можна запускати.
b) Спроба зупинити процес. Викликає сильні гальма, проте система працездатна. Можна розпакувати вірус і запустити його.

  • останов антивіруса: повний
  • ступінь небезпеки: максимальна

Dr.Web Security Space 11.0

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Процес dwengine.exe.

a) Спроба зупинити процес. Відбувається тривалий перезапуск служби (5-6 сек), протягом якого можна розпакувати вірус і спокійно його запустити до того, як Dr.Web. нарешті, видалить файл.
b) Спроба зупинити процес. Блокує запуск будь-яких нових програм (у вигляді їх зависання), можна працювати з уже запущеними провідником і PH. Після відновлення роботи процесу Dr.Web продовжує роботу в звичайному режимі.

Примітка. Якщо після Terminate для процесу dwengine.exe зробити його припинення Suspend. то процес призупиняється на невизначено тривалий період часу і ніяк не реагує на віруси, що рівнозначно повному останову сервісу.

Результат.
  • останов антивіруса: повний
  • ступінь небезпеки: максимальна

ESET NOD32 Antivirus 9.318.24

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Два процесу: служба ekrn.exe і графічна оболонка egui.exe. Зупиняємо обидва.

a) Спроба зупинити процес. Відбувається мгновеннийперезапуск служби. Видно, що змінюється PID процесу, проте вручну запустити вірус не вийде.
b) Спроба зупинити процес. Блокує запуск будь-яких нових програм (у вигляді їх зависання), можна працювати з уже запущеними провідником і PH. Після відновлення роботи процесу антивірус продовжує роботу в звичайному режимі.

  • останов антивіруса: неможливий
  • ступінь небезпеки: нульова

Kaspersky Endpoint Security 10 SP1 10.2.2.10535

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Два процесу avp.exe. процес служби (дочірній services.exe) і процес графічної оболонки (дочірній explorer.exe).

a) Спроба зупинити процес. Спочатку процес графічного інтерфейсу (Terminate), породжений explorer.exe. який відразу після цього перезапускается як дочірній процесу служби. Далі виконуємо Terminate Tree на головному процесі. Він з'являється знову, але вже один. Виконуємо на ньому Terminate. потім ще раз, і більше Касперського ми не спостерігаємо. Віруси можна запускати.
b) Спроба зупинити процес. Блокує запуск будь-яких нових програм (у вигляді їх зависання), можна працювати з уже запущеними провідником і PH. Через пару хвилин служба KES зупиняється. віруси можна запускати. Якщо процес графічної оболонки перед цим не зупинити, то служба запуститься знову. Якщо зупинити - служба зупиняється назовсім.

  • останов антивіруса: повний
  • ступінь небезпеки: максимальна

Kaspersky Internet Security 16.0.0.614

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Два процесу: avp.exe і avpui.exe.

a) Спроба зупинити процес. Вибираємо обидва процеси, після трьох спроб вони більше не з'являються. Віруси можна запускати.
b) Спроба зупинити процес. Блокує запуск будь-яких нових програм (у вигляді їх зависання), можна працювати з уже запущеними провідником і PH. Після відновлення роботи процесу антивірус підвішує всю систему, потрібно жорсткий перезапуск ОС.

  • останов антивіруса: повний
  • ступінь небезпеки: максимальна

McAfee Internet Security 18.0.204

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Багато процесів. Нас цікавить mcshield.exe.

a) Спроба зупинити процес. Процес відразу ж перезапускає, однак після третьої спроби здається. Віруси можна запускати.
b) Спроба зупинити процес. Віруси можна запускати. Після продовження роботи сервісу видаляє файл.

  • останов антивіруса: повний
  • ступінь небезпеки: максимальна

Norton Internet Security 22.5.4.24

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Два процесу NIS.exe.

a) Спроба зупинити процес (Terminate tree). Перші два рази - перезапуск служби, третій раз - її ніби як громовідвід. А тут почався найцікавіший момент у всьому тестуванні. Незважаючи на те, що зупинка служби підтверджено її станом в services.msc і відсутністю процесів в KH. Nortonпродолжал видаляти віруси. про що свідчили записи в журналі після ручного запуску служби. Було відчуття, що Norton підготувався до подібних маніпуляцій і приховує свій процес в тому числі і від Process Hacker. Браво!
b) Спроба зупинити процес. Блокував запуск будь-яких нових програм (у вигляді їх зависання), можна було працювати з уже запущеними провідником і PH. Після відновлення роботи процесу антивірус продовжив роботу в звичайному режимі.

  • останов антивіруса: неможливий
  • ступінь небезпеки: нульова

360 Total Security 8.0.0.1046

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог
Три процесу: QHActiveDefense.exe. QHWatchdog.exe. QHSafeTray.exe.

a) Спроба зупинити процесс.Terminate tree на головному процесі виносить все три процеси відразу і назавжди. Чиста перемога!
b) Спроба зупинити процес. Виконання процедури на головному процесі очікувано блокує запуск будь-яких програм. Після відновлення роботи процесу антивірус продовжив роботу в звичайному режимі.

  • останов антивіруса: повний
  • ступінь небезпеки: максимальна


результуюча таблиця

Тестування самозахисту антивірусів 2015 року, високотехнологічний блог

Що означає цей тест? Як мінімум - необхідність задуматися. Вітчизняні антивіруси неприємно здивували: ми були повністю впевнені, що Касперський і Dr.Web покажуть зразкові результати. Avast !. NOD32 і Norton - наші оплески!

Хотілося б трохи розповісти вам про тести як таких і про вибір антивіруса. Той, хто займається антивірусним захистом, знає, що порівняти антивіруси по їх головної функції практично неможливо: для будь-якого антивіруса знайдеться вірус, який той не виявить або некоректно видалить (тут і далі під вірусами будемо мати на увазі будь-який шкідливе ПЗ). Всі тестування на віруси абсолютно марні.

Чому не приносять користі аматорські тестування антивірусів на віруси?
Часто буває, що хтось із користувачів викачує знайдений десь архів на тисячу вірусів, і на якомусь форумі люди починають мірятися - у кого який антивірус більше зловив. Тут проблема в нерозумінні більшістю навіть підготовлених користувачів того, що антивірус захищає як правило тільки від актуальних вірусів.
Що таке актуальне вірус. Це вірус, який має достатнього поширення в даний час і становить певну небезпеку. Написати вірус, який пропустять всі антивіруси, для серйозного програміста взагалі не проблема, досить написати свій пакувальник (не плутати з архіватором), і помістити туди будь шкідливий код. Таким чином, якщо частина антивірусів виявляє вірус, знайдений на сторінках із сумнівним змістом, а інша частина немає - то це взагалі не перевага для перших, так як цей вірус зазвичай існує тільки на даному сайті і ще у кількох десятків таких же бідолах.
В даному контексті є ще один момент. Якщо антивірусна компанія розмістить в свою вірусну базу опису всіх відомих їй вірусів, то така база буде мати розмір в кілька гігабайт, а перевірка кожного файлу буде тривати кілька секунд. Антивірусним фірмам потрібно дотримуватися балансу між безпекою та продуктивністю сучасних комп'ютерів. Таким чином, всі ці компанії чистять свої бази від неактуальних вірусних записів. Критерій актуальності вірусів у кожної компанії свій: хтось видаляє з бази віруси, що не зустрічалися більше 10 років, хтось - більше 5 років, якщо вірус не отримав широкого поширення, то один виробник видалить запис про нього через рік, другий - не вилучено, і т.д. і т.п. Якщо ж вірус свіжий і ще серйозно не розійшовся, то виявлення його тільки одним антивірусом нічого не означає, наступного разу цей антивірус сам може виявитися в ряду «невдах». Іншими словами, тестування на форумах знайдених десь вірусів не мають ніякого сенсу.

Чому не приносять користі професійні тестування антивірусів на віруси?
Ну, для початку що робить їх професійними? В першу чергу - добірка актуальних вірусів, тобто тих, що широко поширені на момент тестування і мають достатню небезпека. Довіряти таким тестам можна з банальної причини: багато хто з них є упередженими і підігнані під спонсорів, а незалежні тести виявити серед них неможливо.

Немає схожих статей.